Menerapkan prinsip Zero Trust ke jaringan virtual spoke dengan Azure PaaS Services
Artikel ini membantu Anda menerapkan prinsip model keamanan Zero Trust ke beban kerja PaaS menggunakan jaringan virtual Azure (VNet) dan titik akhir privat dengan cara berikut:
| Prinsip Zero Trust | Definisi | Terpenuhi oleh |
|---|---|---|
| Memverifikasi secara eksplisit | Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. | Gunakan deteksi ancaman di Azure Firewall dan Azure Application Gateway untuk memvalidasi lalu lintas dan memverifikasi apakah lalu lintas dapat diterima. |
| Gunakan akses yang paling tidak istimewa | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. | Kurangi masuk ke dan keluar dari layanan Azure ke jaringan privat Anda. Gunakan grup keamanan jaringan untuk hanya mengizinkan masuknya tertentu dari VNet Anda. Gunakan instans Azure Firewall pusat untuk memberikan akses lalu lintas non-VNet ke layanan Azure. |
| Mengasumsikan pembobolan | Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. | Batasi komunikasi yang tidak perlu antar sumber daya. Pastikan Anda masuk dari grup keamanan jaringan dan Anda memiliki visibilitas yang tepat ke dalam lalu lintas anomali. Lacak perubahan pada kelompok keamanan jaringan. |
Untuk informasi selengkapnya tentang cara menerapkan prinsip Zero Trust di seluruh lingkungan Azure IaaS, lihat gambaran umum Menerapkan Zero Trust ke Azure IaaS.
Zero Trust berdiri sendiri atau jaringan spoke untuk layanan Azure PaaS
Banyak layanan PaaS berisi fungsionalitas ingress dan egress asli layanan mereka sendiri. Anda dapat menggunakan kontrol ini untuk mengamankan akses jaringan ke sumber daya layanan PaaS tanpa perlu infrastruktur seperti VNet. Contohnya:
- Azure SQL Database memiliki firewall sendiri yang dapat digunakan untuk memungkinkan alamat IP klien tertentu yang perlu mengakses server database.
- Akun penyimpanan Azure memiliki opsi konfigurasi yang memungkinkan koneksi dari VNet tertentu atau untuk memblokir akses jaringan publik.
- Azure App Service mendukung pembatasan akses untuk menentukan daftar izinkan/tolak yang diurutkan prioritas yang mengontrol akses jaringan ke aplikasi Anda.
Namun, untuk implementasi terpandu Zero Trust, kontrol akses asli layanan ini sering kali tidak cukup. Ini menciptakan diffusion kontrol akses dan pengelogan yang dapat meningkatkan manajemen dan mengurangi visibilitas.
Selain itu, layanan PaaS dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) yang menyelesaikan alamat IP publik yang ditetapkan secara dinamis yang dialokasikan dari kumpulan alamat IP publik di wilayah tertentu untuk jenis layanan. Karena itu, Anda tidak akan dapat mengizinkan lalu lintas dari atau ke layanan PaaS tertentu dengan menggunakan alamat IP publik mereka, yang dapat berubah.
Microsoft menyarankan agar Anda menggunakan titik akhir privat. Titik akhir privat adalah antarmuka VNet yang menggunakan alamat IP privat dari VNet Anda. Antarmuka jaringan ini menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Dengan mengaktifkan titik akhir privat, Anda membawa layanan ke VNet Anda.
Bergantung pada skenario solusi Anda, Anda mungkin masih memerlukan akses masuk publik ke layanan PaaS Anda. Tetapi kecuali Anda melakukannya, Microsoft merekomendasikan agar semua lalu lintas tetap privat untuk menghilangkan potensi risiko keamanan.
Panduan ini memberikan instruksi untuk arsitektur referensi tertentu, tetapi prinsip dan metode dapat diterapkan ke arsitektur lain sesuai kebutuhan.
Arsitektur referensi
Diagram berikut menunjukkan arsitektur referensi umum untuk beban kerja berbasis PaaS.
Dalam diagram:
- VNet spoke menyertakan komponen untuk mendukung aplikasi PaaS.
- Aplikasi PaaS adalah aplikasi dua tingkat yang memanfaatkan Azure Application Services untuk aplikasi web/front end dan Azure SQL Database untuk database relasional.
- Setiap tingkatan terkandung dalam subnet khusus untuk masuk dengan kelompok keamanan jaringan khusus.
- Tingkat web berisi subnet khusus untuk egress.
- Akses ke aplikasi disediakan melalui Application Gateway yang terkandung dalam subnetnya sendiri.
Diagram berikut menunjukkan arsitektur logis komponen-komponen ini dalam langganan Azure.
Dalam diagram, semua komponen VNet spoke terkandung dalam grup sumber daya khusus:
- Satu VNet
- Satu Azure Application Gateway (App GW), termasuk Web Application Firewall (WAF)
- Tiga grup keamanan jaringan (dinamai dengan "NSG" dalam diagram) untuk tingkat database, aplikasi, dan front-end
- Dua kelompok keamanan aplikasi (dinamai dengan "ASG" dalam diagram)
- Dua titik akhir privat
Selain itu, sumber daya untuk VNet hub disebarkan dalam langganan konektivitas yang sesuai.
Apa yang ada di artikel ini
Prinsip Zero Trust diterapkan di seluruh arsitektur, dari tingkat penyewa dan direktori hingga penetapan VM ke grup keamanan aplikasi. Tabel berikut menjelaskan rekomendasi untuk mengamankan arsitektur ini.
| Langkah | Tugas |
|---|---|
| 1 | Manfaatkan Microsoft Entra RBAC atau siapkan peran kustom untuk sumber daya jaringan. |
| 2 | Mengisolasi infrastruktur ke dalam grup sumber dayanya sendiri. |
| 3 | Buat grup keamanan jaringan untuk setiap subnet. |
| 4 | Amankan lalu lintas dan sumber daya dalam VNet:
|
| 5 | Ingress dan egress aman untuk layanan Azure PaaS. |
| 6 | Akses aman ke VNet dan aplikasi. |
| 7 | Aktifkan deteksi, peringatan, dan perlindungan ancaman tingkat lanjut. |
Panduan ini mengasumsikan bahwa Anda sudah memiliki Azure Application Service dan Azure SQL Database yang disebarkan dalam grup sumber daya mereka sendiri.
Langkah 1: Manfaatkan Microsoft Entra RBAC atau siapkan peran kustom untuk sumber daya jaringan
Anda dapat memanfaatkan peran bawaan Microsoft Entra RBAC untuk kontributor jaringan. Namun, pendekatan lain adalah memanfaatkan peran kustom. Manajer jaringan Spoke VNet tidak memerlukan akses penuh ke sumber daya jaringan yang diberikan oleh peran Kontributor Jaringan Microsoft Entra RBAC tetapi memerlukan lebih banyak izin daripada peran umum lainnya. Peran kustom dapat digunakan untuk mencakup akses ke apa yang diperlukan.
Salah satu cara mudah untuk menerapkan ini adalah dengan menyebarkan peran kustom yang ditemukan di Arsitektur Referensi Zona Pendaratan Azure.
Peran spesifik yang dapat digunakan adalah peran kustom Manajemen Jaringan, yang memiliki izin berikut:
- Membaca semua dalam cakupan
- Tindakan apa pun dengan penyedia jaringan
- Tindakan apa pun dengan penyedia dukungan
- Tindakan apa pun dengan penyedia sumber daya
Peran ini dapat dibuat menggunakan skrip di repositori GitHub Arsitektur Referensi Zona Pendaratan Azure atau dapat dibuat melalui ID Microsoft Entra dengan peran kustom Azure.
Langkah 2: Mengisolasi infrastruktur ke dalam grup sumber dayanya sendiri
Dengan mengisolasi sumber daya jaringan dari sumber daya komputasi, data, atau penyimpanan, Anda mengurangi kemungkinan izin berdarah. Selain itu, dengan memastikan bahwa semua sumber daya terkait berada dalam satu grup sumber daya, Anda dapat membuat satu penetapan keamanan dan mengelola pengelogan dan pemantauan dengan lebih baik ke sumber daya ini.
Daripada memiliki sumber daya jaringan spoke yang tersedia dalam beberapa konteks dalam grup sumber daya bersama, buat grup sumber daya khusus. Diagram arsitektur berikut menunjukkan konfigurasi ini.
Dalam diagram, sumber daya dan komponen di seluruh arsitektur referensi dibagi menjadi grup sumber daya khusus untuk layanan aplikasi, database Azure SQL, akun penyimpanan, sumber daya VNet hub, dan sumber daya VNet spoke.
Dengan grup sumber daya khusus, Anda dapat menetapkan peran kustom menggunakan tutorial Memberikan akses pengguna ke sumber daya Azure menggunakan portal Azure.
Rekomendasi tambahan:
- Referensikan grup keamanan untuk peran tersebut alih-alih bernama individu.
- Kelola akses ke grup keamanan melalui praktik manajemen identitas perusahaan Anda.
Jika Anda tidak menggunakan kebijakan yang memberlakukan penerusan log pada grup sumber daya, konfigurasikan ini di log aktivitas untuk grup sumber daya:
- Temukan grup sumber daya di portal Azure.
- Buka Log aktivitas -> Ekspor Log Aktivitas lalu pilih + Tambahkan pengaturan diagnostik.
- Pada layar Pengaturan diagnostik, pilih semua kategori log (terutama Keamanan) dan kirimkan ke sumber pengelogan yang sesuai, seperti ruang kerja Analitik Log untuk pengamatan, atau akun penyimpanan untuk penyimpanan jangka panjang. Berikut contohnya:
Lihat Pengaturan diagnostik untuk memahami cara meninjau log ini dan memberi tahu log tersebut.
Demokratisasi langganan
Meskipun tidak terkait langsung dengan jaringan, Anda harus merencanakan RBAC langganan Anda dengan cara yang sama. Selain mengisolasi sumber daya secara logis menurut grup sumber daya, Anda juga harus mengisolasi langganan berdasarkan area bisnis dan pemilik portofolio. Langganan sebagai unit manajemen harus dilingkup secara sempit.
Lihat prinsip desain zona pendaratan Azure untuk informasi selengkapnya.
Langkah 3: Membuat grup keamanan jaringan untuk setiap subnet
Grup keamanan jaringan Azure digunakan untuk memfilter lalu lintas jaringan antara sumber daya Azure di Azure VNet. Disarankan untuk menerapkan kelompok keamanan jaringan ke setiap subnet. Ini diberlakukan melalui kebijakan Azure secara default saat menyebarkan Zona Pendaratan Azure. Kelompok keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas jaringan masuk ke, atau, lalu lintas jaringan keluar dari, beberapa jenis sumber daya Azure. Untuk setiap aturan, Anda dapat menentukan alamat IP sumber dan tujuan, protokol (seperti TCP atau UDP), dan port.
Untuk aplikasi multi-tingkat, rekomendasinya adalah membuat grup keamanan jaringan khusus ("NSG" dalam diagram berikut) untuk setiap subnet yang menghosting komponen jaringan.
Dalam diagram:
- Setiap tingkat aplikasi memiliki subnet ingress khusus, seperti satu untuk tingkat web dan yang lain untuk tingkat data.
- Azure Application Services memiliki subnet keluar khusus untuk layanan aplikasi tertentu.
- Grup keamanan jaringan dikonfigurasi untuk masing-masing subnet ini.
Mengonfigurasi grup keamanan jaringan dengan cara yang berbeda dari diagram dapat mengakibatkan konfigurasi yang salah dari beberapa atau semua grup keamanan jaringan dan dapat membuat masalah dalam pemecahan masalah. Ini juga dapat menyulitkan untuk memantau dan mencatat.
Lihat Membuat, mengubah, atau menghapus grup keamanan jaringan Azure untuk mengelola pengaturan grup keamanan jaringan Anda.
Baca selengkapnya tentang Kelompok keamanan jaringan untuk memahami bagaimana mereka dapat digunakan untuk mengamankan lingkungan Anda.
Langkah 4: Mengamankan lalu lintas dan sumber daya dalam VNet
Bagian ini menjelaskan rekomendasi berikut:
- Menyebarkan aturan tolak garis besar untuk grup keamanan jaringan
- Menyebarkan aturan khusus aplikasi
- Merencanakan lalu lintas manajemen di VNet
- Menyebarkan pengelogan alur kelompok keamanan jaringan
Menyebarkan aturan tolak garis besar untuk grup keamanan jaringan
Elemen kunci Zero Trust menggunakan tingkat akses paling sedikit yang diperlukan. Secara default, kelompok keamanan jaringan memiliki aturan yang diizinkan . Dengan menambahkan garis besar aturan tolak , Anda dapat menerapkan tingkat akses paling sedikit. Setelah disediakan, buat tolak semua aturan di setiap aturan masuk dan keluar dengan prioritas 4096. Ini adalah prioritas kustom terakhir yang tersedia, yang berarti Anda masih memiliki cakupan yang tersisa untuk mengonfigurasi tindakan izinkan.
Untuk melakukan ini, di grup keamanan jaringan, buka Aturan Keamanan Keluar dan pilih Tambahkan. Isi hal-hal berikut:
- Sumber: Semua
- Rentang port sumber: *
- Tujuan: Semua
- Layanan: Kustom
- Rentang Port Tujuan: *
- Protokol: Semua
- Tindakan: Tolak
- Prioritas: 4096
- Nama: DenyAllOutbound
- Deskripsi: Menolak semua lalu lintas keluar kecuali diizinkan secara khusus.
Berikut adalah contoh.
Ulangi proses ini dengan aturan masuk, sesuaikan nama dan deskripsi yang sesuai.
Tab Aturan keamanan masuk menampilkan tanda peringatan pada aturan. Berikut adalah contoh.
Klik aturan dan gulir ke bagian bawah untuk melihat detail selengkapnya. Berikut contohnya:
Pesan ini memberikan dua peringatan berikut:
- Azure Load Balancer tidak akan, secara default, dapat mengakses sumber daya menggunakan grup keamanan jaringan ini.
- Sumber daya lain di VNet ini tidak akan, secara default, dapat mengakses sumber daya menggunakan grup keamanan jaringan ini.
Untuk tujuan kami di Zero Trust, ini adalah bagaimana seharusnya. Ini berarti bahwa hanya karena ada sesuatu di VNet ini, tidak berarti bahwa itu akan memiliki akses langsung ke sumber daya Anda. Untuk setiap pola lalu lintas, buat aturan yang secara eksplisit mengizinkannya dan Anda harus melakukannya dengan jumlah izin paling sedikit.
Jika Anda memiliki koneksi keluar khusus untuk manajemen, seperti ke pengontrol domain Active Directory Domain Services (AD DS), VM DNS privat, atau ke situs web eksternal tertentu, mereka perlu dikontrol di sini.
Aturan penolakan alternatif
Catatan
Rekomendasi di bagian ini hanya berlaku untuk subnet web-egress.
Jika Anda menggunakan Azure Firewall untuk mengelola koneksi keluar Anda, alih-alih melakukan tolak-keluar-semua, Anda dapat membuat aturan alternatif untuk koneksi keluar. Sebagai bagian dari implementasi Azure Firewall, Anda menyiapkan tabel rute yang mengirim lalu lintas rute default (0.0.0.0/0) ke firewall. Ini akan menangani lalu lintas di luar VNet.
Anda kemudian dapat membuat tolak semua aturan keluar VNet, atau mengizinkan semua aturan keluar tetapi mengamankan item dengan aturan masuk mereka.
Lihat Azure Firewall dan Tabel Rute untuk memahami bagaimana mereka dapat digunakan untuk lebih meningkatkan keamanan lingkungan.
Menyebarkan aturan khusus aplikasi
Tentukan pola lalu lintas dengan jumlah izin paling sedikit dan hanya mengikuti jalur yang diizinkan secara eksplisit. Menggunakan subnet sebagai sumber, tentukan pola jaringan dalam kelompok keamanan jaringan. Berikut adalah contoh.
Gunakan kelola grup keamanan jaringan: Buat proses aturan keamanan untuk menambahkan aturan ke grup keamanan jaringan Anda.
Untuk mengamankan skenario ini, tambahkan aturan berikut:
| Grup keamanan jaringan untuk Subnet | Arah | Sumber | Detail Sumber | Port sumber | Tujuan | Detail Tujuan | Layanan | Nama grup keamanan jaringan | Deskripsi kelompok keamanan jaringan |
|---|---|---|---|---|---|---|---|---|---|
| App Service Subnet | Masuk | Alamat IP | Rentang Alamat IP Privat Subnet Application Gateway Anda | 443 | Alamat IP | Alamat IP eksplisit titik akhir privat App Service Anda | MS SQL | AllowGWtoAppInbound | Mengizinkan akses masuk ke App Service dari Application Gateway. |
| Subnet Integrasi App Service | Keluar | Alamat IP | Rentang Alamat IP Subnet Integrasi App Service Anda | 1433 | Alamat IP | Alamat IP eksplisit titik akhir privat SQL DB Anda | MS SQL | AllowApptoSQLDBOutbound | Memungkinkan akses keluar ke titik akhir privat SQL dari subnet Integrasi App Service. |
| Azure SQL Subnet | Masuk | Alamat IP | Rentang Alamat IP Subnet Integrasi App Service Anda | 1433 | Alamat IP | Alamat IP eksplisit titik akhir privat SQL DB Anda | MS SQL | AllowApptoSQLDBInbound | Memungkinkan akses masuk ke titik akhir privat SQL dari subnet Integrasi App Service. |
Catatan
Terkadang lalu lintas sumber dapat berasal dari port yang berbeda dan jika pola ini terjadi, Anda dapat menambahkan rentang port sumber ke "*" untuk mengizinkan port sumber apa pun. Port tujuan lebih signifikan, dan beberapa rekomendasinya adalah selalu menggunakan "*" untuk port sumber.
Catatan
Untuk prioritas, gunakan nilai antara 100 dan 4000. Anda dapat mulai dari 105.
Ini selain aturan grup keamanan jaringan di Subnet Application Gateway Anda.
Dengan aturan ini, Anda telah menentukan pola konektivitas Zero Trust untuk satu tingkat aplikasi. Anda dapat mengulangi proses ini sesuai kebutuhan untuk alur tambahan.
Merencanakan lalu lintas manajemen di VNet
Selain lalu lintas khusus aplikasi, rencanakan untuk lalu lintas manajemen. Namun, karena lalu lintas manajemen biasanya berasal dari luar VNet spoke, lebih banyak aturan diperlukan. Pertama, pahami port dan sumber tertentu yang akan berasal dari lalu lintas manajemen. Biasanya, semua lalu lintas manajemen harus mengalir dari firewall atau appliance virtual jaringan (NVA) lainnya yang terletak di jaringan hub untuk spoke.
Lihat Menerapkan prinsip Zero Trust ke gambaran umum Azure IaaS untuk arsitektur referensi lengkap.
Konfigurasi Anda akan bervariasi berdasarkan kebutuhan manajemen spesifik Anda. Namun, Anda harus menggunakan aturan pada appliance firewall dan aturan pada kelompok keamanan jaringan untuk secara eksplisit mengizinkan koneksi di sisi jaringan platform dan jaringan beban kerja.
Merencanakan penyebaran
Karena layanan dan database aplikasi Anda sekarang menggunakan jaringan privat, rencanakan bagaimana penyebaran kode dan data ke sumber daya ini beroperasi. Tambahkan aturan untuk mengizinkan server build privat Anda mengakses titik akhir ini.
Menyebarkan pengelogan alur kelompok keamanan jaringan
Bahkan jika kelompok keamanan jaringan Anda memblokir lalu lintas yang tidak perlu, itu tidak berarti bahwa tujuan Anda terpenuhi. Untuk mendeteksi serangan, Anda masih perlu mengamati lalu lintas yang terjadi di luar pola eksplisit Anda.
Lalu lintas ke titik akhir privat tidak dicatat, tetapi jika layanan lain disebarkan ke subnet nantinya log ini akan membantu mendeteksi aktivitas.
Untuk mengaktifkan pengelogan alur kelompok keamanan jaringan, ikuti Tutorial: Mencatat arus lalu lintas jaringan ke dan dari komputer virtual untuk grup keamanan jaringan yang ada untuk titik akhir privat.
Catatan
Ingatlah rekomendasi ini:
Anda harus membatasi akses ke log sesuai kebutuhan.
Log harus mengalir ke Log Analytics dan Microsoft Sentinel sesuai kebutuhan.
Langkah 5: Mengamankan ingress dan egress untuk layanan Azure PaaS
Bagian ini berisi dua langkah yang diperlukan untuk mengamankan masuk dan keluar untuk Layanan PaaS Anda:
- Sebarkan titik akhir privat untuk masuk ke layanan Anda.
- Sebarkan integrasi VNet untuk memungkinkan Layanan Aplikasi Anda berbicara dengan VNet Anda.
Selain itu, Anda juga harus mempertimbangkan konfigurasi DNS Anda untuk memungkinkan resolusi nama.
Menyebarkan titik akhir privat untuk ingress
Meskipun banyak layanan memungkinkan Anda membuat titik akhir privat dari bilah khusus sumber daya di portal Azure, pengalaman yang lebih konsisten adalah membuat titik akhir privat dari pembuatan sumber dayanya sendiri. Untuk melakukannya, sumber daya harus sudah disebarkan. Setelah disebarkan, Anda dapat membuat titik akhir privat.
Saat menyebarkan titik akhir privat, konfigurasikan sebagai berikut:
- Tempatkan mereka di grup sumber daya tertentu yang menampung sumber daya induk untuk menjaga sumber daya dengan siklus hidup yang sama bersama-sama dan untuk menyediakan akses pusat.
- Tempatkan mereka di subnet yang sesuai di VNet berdasarkan perannya.
- Untuk Azure Application Service, Anda dapat mengonfigurasi titik akhir privat baik untuk frontend normal maupun titik akhir SCM-nya, yang digunakan untuk penyebaran dan manajemen.
Selain itu, sebagai bagian dari penyebaran ini, Anda harus memastikan bahwa firewall khusus layanan diatur untuk menolak lalu lintas masuk. Ini akan menolak setiap upaya di ingress publik.
Untuk database Azure SQL, kelola aturan firewall IP tingkat server-nya. Pastikan bahwa Akses jaringan publik diatur ke Nonaktifkan dari panel jaringan di portal Azure.
Untuk Azure Application Service, menambahkan titik akhir privat mengatur firewall tingkat layanannya untuk memblokir akses masuk secara default. Untuk informasi selengkapnya, lihat Menggunakan Titik Akhir Privat untuk aplikasi App Service.
Menyebarkan integrasi VNet untuk egress
Selain titik akhir privat untuk ingress, aktifkan integrasi VNet. Setiap Paket App Service dapat mengaktifkan integrasi VNet dan melakukannya mengalokasikan seluruh subnet untuk App Service. Untuk informasi selengkapnya, lihat Mengintegrasikan aplikasi Anda dengan Azure VNet.
Untuk mengonfigurasi App Service Anda, lihat Mengaktifkan integrasi VNet di Azure App Service. Pastikan Anda menempatkannya di subnet yang ditunjuk untuk keluar.
Pertimbangan DNS
Sebagai bagian dari menggunakan titik akhir privat, aktifkan resolusi DNS FQDN sumber daya ke alamat IP privat baru mereka. Untuk instruksi untuk menerapkan ini dengan berbagai cara, lihat Konfigurasi DNS Titik Akhir Privat.
Catatan
Resolusi DNS perlu diterapkan ke semua lalu lintas. Sumber daya di VNet yang sama tidak akan dapat diselesaikan kecuali mereka menggunakan zona DNS yang benar.
Langkah 6: Akses aman ke VNet dan aplikasi
Mengamankan akses ke VNet dan aplikasi meliputi:
- Mengamankan lalu lintas dalam lingkungan Azure ke aplikasi
- Menggunakan kebijakan autentikasi multifaktor (MFA) dan Akses Bersyar untuk akses pengguna ke aplikasi.
Diagram berikut menunjukkan kedua mode akses di seluruh arsitektur referensi.
Mengamankan lalu lintas dalam lingkungan Azure untuk VNet dan aplikasi
Sebagian besar pekerjaan lalu lintas keamanan dalam lingkungan Azure sudah selesai. Lihat Menerapkan prinsip Zero Trust ke penyimpanan Azure untuk mengonfigurasi koneksi aman antara sumber daya penyimpanan dan VM.
Lihat Menerapkan prinsip Zero Trust ke VNet hub di Azure untuk mengamankan akses dari sumber daya hub ke VNet.
Menggunakan kebijakan MFA dan Akses Bersyarah untuk akses pengguna ke aplikasi
Artikel Terapkan prinsip Zero Trust ke komputer virtual merekomendasikan cara melindungi permintaan akses langsung ke VM dengan MFA dan Akses Bersyariah. Permintaan ini kemungkinan besar berasal dari administrator dan pengembang. Langkah selanjutnya adalah mengamankan akses ke aplikasi dengan MFA dan Akses Bersyar. Ini berlaku untuk semua pengguna yang mengakses aplikasi.
Pertama, jika aplikasi belum terintegrasi dengan MICROSOFT Entra ID, lihat Jenis aplikasi untuk platform identitas Microsoft.
Selanjutnya, tambahkan aplikasi ke cakupan kebijakan akses identitas dan perangkat Anda.
Saat mengonfigurasi MFA dengan Akses Bersyarkat dan kebijakan terkait, gunakan kebijakan yang direkomendasikan yang ditetapkan untuk Zero Trust sebagai panduan. Ini termasuk Kebijakan titik awal yang tidak memerlukan pengelolaan perangkat. Idealnya, perangkat yang mengakses VM Anda dikelola dan Anda dapat menerapkan tingkat Perusahaan , yang direkomendasikan untuk Zero Trust. Untuk informasi selengkapnya, lihat Identitas Common Zero Trust dan kebijakan akses perangkat.
Diagram berikut menunjukkan kebijakan yang direkomendasikan untuk Zero Trust.
Langkah 7: Aktifkan deteksi dan perlindungan ancaman tingkat lanjut
VNet spoke Anda yang dibangun di Azure dapat dilindungi oleh Microsoft Defender untuk Cloud karena sumber daya lain dari lingkungan bisnis TI Anda yang berjalan di Azure atau lokal juga dapat dilindungi.
Seperti disebutkan dalam artikel lain dari seri ini, Defender untuk Cloud adalah alat Cloud Security Posture Management (CSPM) dan Cloud Workload Protection (CWP) yang menawarkan rekomendasi keamanan, pemberitahuan, dan fitur canggih seperti penguatan jaringan adaptif untuk membantu Anda saat Anda maju dalam perjalanan keamanan cloud Anda.
Artikel ini tidak menjelaskan Defender untuk Cloud secara rinci, tetapi penting untuk dipahami bahwa Defender untuk Cloud berfungsi berdasarkan kebijakan Dan log Azure yang diserap di ruang kerja Analitik Log. Setelah diaktifkan pada langganan dengan VNet spoke dan sumber daya terkait, Anda dapat melihat rekomendasi untuk meningkatkan postur keamanan mereka. Anda dapat memfilter rekomendasi ini lebih lanjut oleh taktik MITRE, Grup Sumber Daya, dan lainnya. Pertimbangkan untuk memprioritaskan untuk menyelesaikan rekomendasi yang berdampak lebih besar pada Skor Aman organisasi Anda. Berikut adalah contoh.
Ada rencana Defender untuk Cloud yang menawarkan perlindungan beban kerja tingkat lanjut yang mencakup rekomendasi penguatan jaringan adaptif untuk meningkatkan aturan kelompok keamanan jaringan yang ada. Berikut adalah contoh.
Anda dapat menerima rekomendasi dengan memilih Berlakukan, yang akan membuat aturan grup keamanan jaringan baru atau memodifikasi yang sudah ada.
Pelatihan yang direkomendasikan
- Mengamankan sumber daya Azure Anda dengan kontrol akses berbasis peran Azure (Azure RBAC)
- Mengonfigurasi dan mengelola Azure Monitor
- Mengonfigurasi grup keamanan jaringan
- Merancang dan mengimplementasikan keamanan jaringan
- Merancang dan menerapkan akses privat ke Azure Services
Langkah berikutnya
Lihat artikel tambahan ini untuk menerapkan prinsip Zero Trust ke Azure:
- Untuk Azure IaaS:
- Azure Virtual Desktop
- Azure Virtual WAN
- Aplikasi IaaS di Amazon Web Services
- Microsoft Sentinel dan Microsoft Defender XDR
Referensi
- Mencakup keamanan proaktif dengan Zero Trust
- Mengamankan jaringan dengan Zero Trust
- Jaringan zero-trust untuk aplikasi web dengan Azure Firewall dan Application Gateway
- Kebijakan Zona Pendaratan Azure
- Identitas dan perangkat Common Zero Trust di seluruh kebijakan
- Apa itu titik akhir privat?
- Konfigurasi DNS titik akhir privat
- Mengintegrasikan aplikasi Anda dengan Azure VNet
- Menggunakan titik akhir privat untuk aplikasi App Service
- Koneksi ke server Azure SQL menggunakan titik akhir privat Azure
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk