Menerapkan prinsip Zero Trust untuk mengenkripsi komunikasi jaringan berbasis Azure

Artikel ini menyediakan panduan untuk menerapkan prinsip Zero Trust untuk mengenkripsi komunikasi jaringan ke, dari, dan di seluruh lingkungan Azure dengan cara berikut.

Prinsip Zero Trust	Definisi	Terpenuhi oleh
Memverifikasi secara eksplisit	Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia.	Menggunakan kebijakan Akses Bersyar untuk koneksi Azure VPN Gateway anda dan Secure Shell (SSH) dan Remote Desktop Protocol (RDP) untuk koneksi komputer pengguna-ke-virtual Anda.
Gunakan akses yang paling tidak istimewa	Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data.	Mengonfigurasi perangkat Microsoft Enterprise Edge (MSEE) Anda untuk menggunakan kunci asosiasi konektivitas statis (CAK) untuk Azure ExpressRoute dengan port langsung dan menggunakan identitas terkelola untuk mengautentikasi sumber daya sirkuit ExpressRoute.
Mengasumsikan pembobolan	Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.	Melindungi lalu lintas jaringan dengan metode dan protokol enkripsi yang memberikan kerahasiaan, integritas, dan keaslian data Anda saat transit. Menggunakan Azure Monitor untuk menyediakan metrik dan pemberitahuan performa jaringan ExpressRoute. Menggunakan Azure Bastion untuk mengelola sesi individual dari layanan Bastion dan menghapus atau memaksa pemutusan sambungan.

Tingkat enkripsi untuk lalu lintas jaringan adalah:

• Enkripsi lapisan jaringan

  • Mengamankan dan memverifikasi komunikasi dari internet atau jaringan lokal Anda ke Azure VNet dan komputer virtual

  • Mengamankan dan memverifikasi komunikasi di dalam dan di seluruh Azure VNet

• Enkripsi lapisan aplikasi

  • Perlindungan untuk Aplikasi Web Azure

• Perlindungan untuk beban kerja yang berjalan di komputer virtual Azure

Arsitektur referensi

Diagram berikut menunjukkan arsitektur referensi untuk panduan Zero Trust ini untuk komunikasi terenkripsi antara pengguna dan admin lokal atau di internet dan komponen di lingkungan Azure untuk langkah-langkah yang dijelaskan dalam artikel ini.

Dalam diagram, angka sesuai dengan langkah-langkah di bagian berikut.

Apa yang ada di artikel ini?

Prinsip Zero Trust diterapkan di seluruh arsitektur referensi, dari pengguna dan admin di internet atau jaringan lokal Anda ke dan di dalam cloud Azure. Tabel berikut menjelaskan rekomendasi untuk memastikan enkripsi lalu lintas jaringan di seluruh arsitektur ini.

Langkah	Tugas	Prinsip Zero Trust diterapkan
1	Menerapkan enkripsi lapisan jaringan.	Verifikasi secara eksplisit Gunakan akses dengan hak istimewa paling sedikit Mengasumsikan pembobolan
2	Amankan dan verifikasi komunikasi dari jaringan lokal ke Azure VNets.	Verifikasi secara eksplisit Mengasumsikan pembobolan
3	Amankan dan verifikasi komunikasi di dalam dan di seluruh Azure VNets.	Mengasumsikan pembobolan
4	Menerapkan enkripsi lapisan aplikasi.	Verifikasi secara eksplisit Mengasumsikan pembobolan
5	Gunakan Azure Bastion untuk melindungi komputer virtual Azure.	Mengasumsikan pembobolan

Langkah 1: Menerapkan enkripsi lapisan jaringan

Enkripsi lapisan jaringan sangat penting saat menerapkan prinsip Zero Trust ke lingkungan lokal dan Azure Anda. Ketika lalu lintas jaringan melalui internet, Anda harus selalu berasumsi ada kemungkinan intersepsi lalu lintas oleh penyerang, dan data Anda mungkin terekspos atau diubah sebelum mencapai tujuannya. Karena penyedia layanan mengontrol bagaimana data dirutekan melalui internet, Anda ingin memastikan bahwa privasi dan integritas data Anda dipertahankan sejak meninggalkan jaringan lokal Anda hingga ke cloud Microsoft.

Diagram berikut menunjukkan arsitektur referensi untuk menerapkan enkripsi lapisan jaringan.

Di dua bagian berikutnya, kita membahas Keamanan Protokol Internet (IPsec) dan Keamanan Kontrol Akses Media (MACsec), layanan jaringan Azure mana yang mendukung protokol ini, dan bagaimana Anda dapat memastikannya digunakan.

IPsec

IPsec adalah sekelompok protokol yang menyediakan keamanan untuk komunikasi Protokol Internet (IP). Ini mengautentikasi dan mengenkripsi paket jaringan menggunakan sekumpulan algoritma enkripsi. IPSec adalah protokol enkapsulasi keamanan yang digunakan untuk membuat jaringan privat virtual (VPN). Terowongan VPN IPsec terdiri dari dua fase, fase 1 yang dikenal sebagai mode utama dan fase 2 yang dikenal sebagai mode cepat.

Fase 1 IPsec adalah penetapan terowongan, di mana rekan-rekan menegosiasikan parameter untuk asosiasi keamanan Internet Key Exchange (IKE), seperti enkripsi, autentikasi, hashing, dan algoritma Diffie-Hellman. Untuk memverifikasi identitas mereka, rekan-rekan bertukar kunci yang telah dibagikan sebelumnya. Fase 1 IPsec dapat beroperasi dalam dua mode: mode utama atau mode agresif. Azure VPN Gateway mendukung dua versi IKE, IKEv1 dan IKEv2, dan hanya beroperasi dalam mode utama. Mode utama memastikan enkripsi identitas koneksi antara Azure VPN Gateway dan perangkat lokal.

Pada fase 2 IPsec, rekan-rekan menegosiasikan parameter keamanan untuk transmisi data. Dalam fase ini, kedua rekan menyepakati algoritma enkripsi dan autentikasi, nilai seumur hidup asosiasi keamanan (SA), dan pemilih lalu lintas (TS) yang menentukan lalu lintas apa yang dienkripsi melalui terowongan IPsec. Terowongan yang dibuat pada fase 1 berfungsi sebagai saluran aman untuk negosiasi ini. IPsec dapat mengamankan paket IP menggunakan protokol Authentication Header (AH) atau protokol Encapsulating Security Payload (ESP). AH memberikan integritas dan autentikasi, sementara ESP juga memberikan kerahasiaan (enkripsi). IPsec fase 2 dapat beroperasi dalam mode transportasi atau mode terowongan. Dalam mode transportasi, hanya payload paket IP yang akan dienkripsi, sementara dalam mode terowongan seluruh paket IP dienkripsi dan header IP baru ditambahkan. IPsec fase 2 dapat dibuat di atas IKEv1 atau IKEv2. Implementasi IPsec Azure VPN Gateway saat ini hanya mendukung ESP dalam mode terowongan.

Beberapa layanan Azure yang mendukung IPsec adalah:

• Azure VPN Gateway

  • Sambungan VPN Situs-ke-Situs

  • Koneksi VNET-ke-VNET

  • Koneksi Titik-ke-Situs

• Azure Virtual WAN

  • Situs VPN

  • Konfigurasi VPN Pengguna

Tidak ada pengaturan yang perlu Anda ubah untuk mengaktifkan IPsec untuk layanan ini. Mereka diaktifkan secara default.

MACsec dan Azure Key Vault

MACsec (IEEE 802.1AE) adalah standar keamanan jaringan yang menerapkan prinsip Asumsikan pelanggaran Zero Trust pada lapisan tautan data dengan menyediakan autentikasi dan enkripsi melalui tautan Ethernet. MACsec mengasumsikan bahwa setiap lalu lintas jaringan, bahkan di jaringan area lokal yang sama, dapat disusupi atau dicegat oleh aktor jahat. MACsec memverifikasi dan melindungi setiap bingkai menggunakan kunci keamanan yang dibagikan di antara dua antarmuka jaringan. Konfigurasi ini hanya dapat dicapai antara dua perangkat berkemampuan MACsec.

MACsec dikonfigurasi dengan asosiasi konektivitas, yang merupakan sekumpulan atribut yang digunakan antarmuka jaringan untuk membuat saluran keamanan masuk dan keluar. Setelah dibuat, lalu lintas melalui saluran ini akan ditukar dengan dua tautan aman MACsec. MACsec memiliki dua mode asosiasi konektivitas:

• Mode kunci asosiasi konektivitas statis (CAK): Tautan aman MACsec dibuat menggunakan kunci yang telah dibagikan sebelumnya yang menyertakan nama kunci asosiasi konektivitas (CKN) dan CAK yang ditetapkan. Kunci ini dikonfigurasi di kedua ujung tautan.
• Mode CAK dinamis: Kunci keamanan dihasilkan secara dinamis menggunakan proses autentikasi 802.1x, yang dapat menggunakan perangkat autentikasi terpusat seperti server Layanan Pengguna (RADIUS) Dial-In Autentikasi Jarak Jauh.

Perangkat Microsoft Enterprise Edge (MSEE) mendukung CAK statis dengan menyimpan CAK dan CKN di Azure Key Vault saat Anda mengonfigurasi Azure ExpressRoute dengan port langsung. Untuk mengakses nilai di Azure Key Vault, konfigurasikan identitas terkelola untuk mengautentikasi sumber daya sirkuit ExpressRoute. Pendekatan ini mengikuti prinsip Gunakan akses paling tidak istimewa Zero Trust karena hanya perangkat yang berwenang yang dapat mengakses kunci dari Azure Key Vault. Untuk informasi selengkapnya, lihat Mengonfigurasi MACsec pada port ExpressRoute Direct.

Langkah 2: Amankan dan verifikasi komunikasi dari jaringan lokal ke Azure VNets

Ketika migrasi cloud menjadi lebih lazim di seluruh bisnis dengan skala yang berbeda, konektivitas hibrid memainkan peran utama. Sangat penting untuk tidak hanya mengamankan dan melindungi, tetapi juga untuk memverifikasi dan memantau komunikasi jaringan antara jaringan lokal Anda dan Azure.

Diagram berikut menunjukkan arsitektur referensi untuk mengamankan dan memverifikasi komunikasi dari jaringan lokal ke Azure VNets.

Azure menyediakan dua opsi untuk menyambungkan jaringan lokal Anda ke sumber daya di Azure VNet:

• Azure VPN Gateway memungkinkan Anda membuat terowongan VPN situs-ke-situs menggunakan IPsec untuk mengenkripsi dan mengautentikasi komunikasi jaringan antara jaringan Anda di kantor pusat atau jarak jauh dan Azure VNet. Ini juga memungkinkan klien individual untuk membuat koneksi titik-ke-situs untuk mengakses sumber daya di Azure VNet tanpa perangkat VPN. Untuk kepatuhan Zero Trust, konfigurasikan autentikasi ID Entra dan kebijakan Akses Bersyar untuk koneksi Azure VPN Gateway Anda untuk memverifikasi identitas dan kepatuhan perangkat yang terhubung. Untuk informasi selengkapnya, lihat Menggunakan gateway VPN Terowongan Microsoft dengan kebijakan Akses Bersyar.

• Azure ExpressRoute menyediakan koneksi privat bandwidth tinggi yang memungkinkan Anda memperluas jaringan lokal ke Azure dengan bantuan penyedia konektivitas. Karena lalu lintas jaringan tidak melakukan perjalanan melalui internet publik, data tidak dienkripsi secara default. Untuk mengenkripsi lalu lintas Anda melalui ExpressRoute, konfigurasikan terowongan IPsec. Namun, perlu diingat bahwa saat menjalankan terowongan IPsec melalui ExpressRoute, bandwidth terbatas pada bandwidth terowongan dan Anda mungkin perlu menjalankan beberapa terowongan agar sesuai dengan bandwidth sirkuit ExpressRoute. Untuk informasi selengkapnya, lihat Koneksi VPN Situs-ke-Situs melalui peering privat ExpressRoute - Azure VPN Gateway.

  Jika Anda menggunakan port ExpressRoute Direct, Anda dapat meningkatkan keamanan jaringan dengan mengaktifkan autentikasi saat membuat rekan BGP atau mengonfigurasi MACsec untuk mengamankan komunikasi lapisan 2. MACsec menyediakan enkripsi untuk bingkai Ethernet, memastikan kerahasiaan data, integritas, dan keaslian antara router edge Anda dan router edge Microsoft.

  Azure ExpressRoute juga mendukung Azure Monitor untuk metrik dan pemberitahuan performa jaringan.

Enkripsi dapat melindungi data Anda dari penyadapan yang tidak sah, tetapi juga memperkenalkan lapisan pemrosesan tambahan untuk mengenkripsi dan mendekripsi lalu lintas jaringan yang dapat memengaruhi performa. Lalu lintas jaringan yang melalui internet juga tidak dapat diprediksi karena harus melakukan perjalanan melalui beberapa perangkat jaringan yang dapat memperkenalkan latensi jaringan. Untuk menghindari masalah performa, Microsoft merekomendasikan penggunaan ExpressRoute karena menawarkan performa jaringan yang andal dan alokasi bandwidth yang dapat Anda sesuaikan untuk beban kerja Anda.

Saat memutuskan antara Azure VPN Gateway atau ExpressRoute, pertimbangkan pertanyaan berikut:

1. Jenis file dan aplikasi apa yang Anda akses antara jaringan lokal anda dan Azure? Apakah Anda memerlukan bandwidth yang konsisten untuk mentransfer data dalam volume besar?
2. Apakah Anda memerlukan latensi yang konsisten dan rendah agar aplikasi Anda dapat berkinerja optimal?
3. Apakah Anda perlu memantau performa jaringan dan kesehatan konektivitas hibrid Anda?

Jika Anda menjawab ya untuk salah satu pertanyaan ini, maka Azure ExpressRoute harus menjadi metode utama Anda untuk menyambungkan jaringan lokal Anda ke Azure.

Ada dua skenario umum di mana ExpressRoute dan Azure VPN Gateway dapat hidup berdampingan:

• Azure VPN Gateway dapat digunakan untuk menyambungkan kantor cabang Anda ke Azure sambil membuat kantor utama Anda terhubung menggunakan ExpressRoute.
• Anda juga dapat menggunakan Azure VPN Gateway sebagai koneksi cadangan ke Azure untuk kantor pusat Anda jika layanan ExpressRoute Anda mengalami pemadaman.

Langkah 3: Amankan dan verifikasi komunikasi di dalam dan di seluruh Azure VNets

Lalu lintas dalam Azure memiliki tingkat enkripsi yang mendasar. Saat lalu lintas berpindah antar VNet di berbagai wilayah, Microsoft menggunakan MACsec untuk mengenkripsi dan mengautentikasi lalu lintas peering di lapisan tautan data.

Diagram berikut menunjukkan arsitektur referensi untuk mengamankan dan memverifikasi komunikasi di dalam dan di seluruh Azure VNet.

Namun, enkripsi saja tidak cukup untuk memastikan Zero Trust. Anda juga harus memverifikasi dan memantau komunikasi jaringan di dalam dan di seluruh Azure VNets. Enkripsi dan verifikasi lebih lanjut antara VNet dimungkinkan dengan bantuan Azure VPN Gateway atau appliance virtual jaringan (NVA) tetapi bukan praktik umum. Microsoft merekomendasikan merancang topologi jaringan Anda untuk menggunakan model inspeksi lalu lintas terpusat yang dapat memberlakukan kebijakan terperinci dan mendeteksi anomali.

Untuk mengurangi overhead mengonfigurasi gateway VPN atau appliance virtual, aktifkan fitur enkripsi VNet untuk ukuran komputer virtual tertentu untuk mengenkripsi dan memverifikasi lalu lintas antara komputer virtual di tingkat host, dalam VNet, dan di seluruh peering VNet.

Langkah 4: Menerapkan enkripsi pada lapisan aplikasi

Enkripsi lapisan aplikasi memainkan faktor kunci untuk Zero Trust yang mengamanatkan semua data dan komunikasi dienkripsi ketika pengguna berinteraksi dengan aplikasi web atau perangkat. Enkripsi lapisan aplikasi memastikan bahwa hanya entitas terverifikasi dan tepercaya yang dapat mengakses aplikasi web atau perangkat.

Diagram berikut menunjukkan arsitektur referensi untuk menerapkan enkripsi di lapisan aplikasi.

Salah satu contoh enkripsi paling umum di lapisan aplikasi adalah Hypertext Transfer Protocol Secure (HTTPS), yang mengenkripsi data antara browser web dan server web. HTTPS menggunakan protokol Keamanan Lapisan Transportasi (TLS) untuk mengenkripsi komunikasi server klien dan menggunakan sertifikat digital TLS untuk memverifikasi identitas dan kepercayaan situs web atau domain.

Contoh lain dari keamanan lapisan aplikasi adalah Secure Shell (SSH) dan Remote Desktop Protocol (RDP) yang mengenkripsi data antara klien dan server. Protokol ini juga mendukung autentikasi multifaktor dan kebijakan Akses Bersyarat untuk memastikan bahwa hanya perangkat atau pengguna yang berwenang dan patuh yang dapat mengakses sumber daya jarak jauh. Lihat Langkah 5 untuk informasi tentang mengamankan koneksi SSH dan RDP ke komputer virtual Azure.

Perlindungan untuk aplikasi web Azure

Anda dapat menggunakan Azure Front Door atau Azure Application Gateway untuk melindungi aplikasi web Azure Anda.

Azure Front Door

Azure Front Door adalah layanan distribusi global yang mengoptimalkan pengiriman konten kepada pengguna akhir melalui lokasi tepi Microsoft. Dengan fitur seperti Web Application Firewall (WAF) dan layanan Private Link, Anda dapat mendeteksi dan memblokir serangan berbahaya pada aplikasi web Anda di tepi jaringan Microsoft sambil mengakses asal Anda secara privat menggunakan jaringan internal Microsoft.

Untuk melindungi data Anda, lalu lintas ke titik akhir Azure Front Door dilindungi menggunakan HTTPS dengan TLS end-to-end untuk semua lalu lintas yang masuk ke dan dari titik akhirnya. Lalu lintas dienkripsi dari klien ke asal dan dari asal ke klien.

Azure Front Door menangani permintaan HTTPS dan menentukan titik akhir mana di profilnya yang memiliki nama domain terkait. Kemudian memeriksa jalur dan menentukan aturan perutean mana yang cocok dengan jalur permintaan. Jika penembolokan diaktifkan, Azure Front Door memeriksa cache-nya untuk melihat apakah ada respons yang valid. Jika tidak ada respons yang valid, Azure Front Door memilih asal terbaik yang dapat melayani konten yang diminta. Sebelum permintaan dikirim ke asal, seperangkat aturan dapat diterapkan ke permintaan untuk mengubah header, string kueri, atau tujuan asal.

Azure Front Door mendukung TLS ujung depan dan ujung belakang. Front end TLS mengenkripsi lalu lintas antara klien dan Azure Front Door. TLS back-end mengenkripsi lalu lintas antara Azure Front Door dan asal. Azure Front Door mendukung TLS 1.2 dan TLS 1.3. Anda dapat mengonfigurasi Azure Front Door untuk menggunakan sertifikat TLS kustom atau menggunakan sertifikat yang dikelola oleh Azure Front Door.

Catatan

Anda juga dapat menggunakan fitur Private Link untuk konektivitas ke NVA untuk inspeksi paket lebih lanjut.

Azure Application Gateway

Azure Application Gateway adalah penyeimbang beban regional yang beroperasi di Lapisan 7. Ini merutekan dan mendistribusikan lalu lintas web berdasarkan atribut URL HTTP. Ini dapat merutekan dan mendistribusikan lalu lintas menggunakan tiga pendekatan yang berbeda:

• Hanya HTTP: Application Gateway menerima dan merutekan permintaan HTTP masuk ke tujuan yang sesuai dalam bentuk yang tidak terenkripsi.
• Penghentian SSL: Application Gateway mendekripsi permintaan HTTPS masuk di tingkat instans, memeriksanya, dan merutekannya tidak terenkripsi ke tujuan.
• TLS End-to-End: Application Gateway mendekripsi permintaan HTTPS masuk di tingkat instans, memeriksanya, dan mengenkripsi ulang sebelum merutekannya ke tujuan.

Opsi yang paling aman adalah TLS end-to-end, yang memungkinkan enkripsi dan transmisi data sensitif dengan memerlukan penggunaan Sertifikat Autentikasi atau Sertifikat Akar Tepercaya. Ini juga mengharuskan mengunggah sertifikat ini ke server backend dan memastikan server back end ini diketahui oleh Application Gateway. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS end-to-end dengan menggunakan Application Gateway.

Selain itu, pengguna atau pengguna lokal di komputer virtual di VNet lain dapat menggunakan ujung depan internal Application Gateway dengan kemampuan TLS yang sama. Seiring dengan enkripsi, Microsoft menyarankan agar Anda selalu mengaktifkan WAF untuk perlindungan front-end yang lebih banyak untuk titik akhir Anda.

Langkah 5: Gunakan Azure Bastion untuk melindungi komputer virtual Azure

Azure Bastion adalah layanan PaaS terkelola yang memungkinkan Anda terhubung dengan aman ke komputer virtual Anda melalui koneksi TLS. Konektivitas ini dapat dibuat dari portal Azure atau melalui klien asli ke alamat IP privat pada komputer virtual. Keuntungan menggunakan Bastion meliputi:

• Komputer virtual Azure tidak memerlukan alamat IP publik. Koneksi lebih dari port TCP 443 untuk HTTPS dan dapat melintasi sebagian besar firewall.
• Komputer virtual dilindungi dari pemindaian port.
• Platform Azure Bastion terus diperbarui dan dilindungi dari eksploitasi nol hari.

Dengan Bastion, Anda dapat mengontrol konektivitas RDP dan SSH ke komputer virtual Anda dari satu titik masuk. Anda dapat mengelola sesi individual dari layanan Bastion di portal Azure. Anda juga dapat menghapus atau memaksa pemutusan sambungan sesi jarak jauh yang sedang berlangsung jika Anda mencurigai pengguna tidak seharusnya terhubung ke komputer tersebut.

Diagram berikut menunjukkan arsitektur referensi untuk menggunakan Azure Bastion untuk melindungi komputer virtual Azure.

Untuk melindungi komputer virtual Azure Anda, sebarkan Azure Bastion dan mulai gunakan RDP dan SSH untuk menyambungkan ke komputer virtual Anda dengan alamat IP privat mereka.

Pelatihan yang direkomendasikan

• Koneksi jaringan lokal Anda ke Azure dengan VPN Gateway
• Koneksi jaringan lokal Anda ke jaringan global Microsoft dengan menggunakan ExpressRoute
• Pengantar Azure Front Door
• Mengonfigurasi Azure Application Gateway
• Pengantar Azure Bastion

Langkah berikutnya

Untuk informasi tambahan tentang menerapkan Zero Trust ke jaringan Azure, lihat:

• Mengamankan jaringan dengan Zero Trust
• Jaringan virtual spoke di Azure
• Jaringan virtual hub di Azure
• Jaringan virtual spoke dengan layanan Azure PaaS
• Azure Virtual WAN

Referensi

Lihat tautan ini untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.

• Azure VPN Gateway
• Azure Virtual WAN
• Mengonfigurasi MACsec pada port ExpressRoute Direct
• Menggunakan gateway VPN Terowongan Microsoft dengan kebijakan Akses Bersyar
• Azure ExpressRoute
• Enkripsi VNet
• Azure Front Door
• Application Gateway
• Azure Bastion