Menerapkan prinsip Zero Trust untuk menghentikan teknologi keamanan jaringan warisan
Artikel ini menyediakan panduan untuk menerapkan prinsip Zero Trust untuk menghentikan teknologi keamanan jaringan warisan di lingkungan Azure. Berikut adalah prinsip Zero Trust.
| Prinsip Zero Trust | Definisi |
|---|---|
| Memverifikasi secara eksplisit | Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. |
| Gunakan akses yang paling tidak istimewa | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. |
| Mengasumsikan pembobolan | Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. Tingkatkan pertahanan untuk lingkungan Azure Anda dengan menghapus atau meningkatkan layanan jaringan warisan Anda untuk tingkat keamanan yang lebih tinggi. |
Artikel ini adalah bagian dari serangkaian artikel yang menunjukkan cara menerapkan prinsip Zero Trust ke jaringan Azure.
Area jaringan Azure yang akan ditinjau untuk menghentikan penggunaan teknologi keamanan jaringan warisan adalah:
- Layanan fondasi jaringan
- Layanan penyeimbangan beban dan pengiriman konten
- Layanan konektivitas hibrid
Transisi menjauh dari penggunaan teknologi keamanan jaringan lama dapat mencegah penyerang mengakses lingkungan atau bergerak melintasinya untuk menimbulkan kerusakan yang luas ( prinsip Asumsikan pelanggaran Zero Trust).
Arsitektur referensi
Diagram berikut menunjukkan arsitektur referensi untuk panduan Zero Trust ini untuk menghentikan teknologi keamanan jaringan warisan untuk komponen di lingkungan Azure Anda.
Arsitektur referensi ini meliputi:
- Beban kerja Azure IaaS yang berjalan di komputer virtual Azure.
- Layanan Azure.
- Jaringan virtual keamanan (VNet) yang berisi Azure VPN Gateway dan Azure Application Gateway.
- VNet tepi Internet yang berisi Azure Load Balancer.
- Azure Front Door di tepi lingkungan Azure.
Apa yang ada di artikel ini?
Anda menerapkan prinsip Zero Trust di seluruh arsitektur referensi, dari pengguna dan admin di Internet atau jaringan lokal Anda ke dan dalam lingkungan Azure Anda. Tabel berikut mencantumkan tugas utama untuk menghentikan teknologi keamanan jaringan warisan di seluruh arsitektur ini untuk prinsip Asumsikan pelanggaran Zero Trust.
| Langkah | Tugas |
|---|---|
| 1 | Tinjau layanan fondasi jaringan Anda. |
| 2 | Tinjau layanan pengiriman konten dan penyeimbangan beban Anda. |
| 3 | Tinjau layanan konektivitas hibrid Anda. |
Langkah 1: Tinjau layanan fondasi jaringan Anda
Tinjauan Anda tentang layanan fondasi jaringan meliputi:
- Berpindah dari SKU IP Publik Dasar ke SKU IP Publik Standar.
- Memastikan bahwa alamat IP komputer virtual menggunakan akses keluar eksplisit.
Diagram ini menunjukkan komponen untuk memperbarui layanan fondasi jaringan Azure dalam arsitektur referensi.
SKU IP Publik Dasar
Alamat IP (publik dan privat) adalah bagian dari layanan IP di Azure yang memungkinkan komunikasi di antara sumber daya privat dan publik. IP publik ditautkan ke layanan seperti gateway VNet, gateway aplikasi, dan lainnya yang memerlukan konektivitas keluar ke Internet. IP privat memungkinkan komunikasi antara sumber daya Azure secara internal.
SKU IP Publik Dasar dipandang sebagai warisan saat ini dan memiliki lebih banyak batasan daripada SKU IP Publik Standar. Salah satu batasan utama untuk Zero Trust untuk SKU IP Publik Dasar adalah bahwa penggunaan kelompok keamanan jaringan tidak diperlukan tetapi direkomendasikan, sementara itu wajib dengan SKU IP Publik Standar.
Fitur penting lainnya untuk SKU IP Publik Standar adalah kemampuan untuk memilih Preferensi Perutean, seperti perutean melalui jaringan global Microsoft. Fitur ini mengamankan lalu lintas dalam jaringan backbone Microsoft jika memungkinkan dan lalu lintas keluar keluar sedekat mungkin dengan layanan atau pengguna akhir.
Untuk informasi selengkapnya, lihat Layanan IP Azure Virtual Network.
Catatan
SKU IP Publik Dasar akan dihentikan pada Bulan September 2025.
Akses keluar default
Secara default, Azure menyediakan akses keluar ke Internet. Konektivitas dari sumber daya diberikan secara default dengan rute sistem dan dengan aturan keluar default untuk grup keamanan jaringan di tempat. Dengan kata lain, jika tidak ada metode konektivitas keluar eksplisit yang dikonfigurasi, Azure mengonfigurasi alamat IP akses keluar default. Namun, tanpa akses keluar eksplisit, risiko keamanan tertentu muncul.
Microsoft menyarankan agar Anda tidak membiarkan alamat IP komputer virtual terbuka untuk lalu lintas Internet. Tidak ada kontrol atas akses IP keluar default dan alamat IP, bersama dengan dependensinya, dapat berubah. Untuk komputer virtual yang dilengkapi dengan beberapa kartu antarmuka jaringan (NIC), tidak disarankan untuk mengizinkan semua alamat IP NIC memiliki akses keluar Internet. Sebagai gantinya, Anda harus membatasi akses hanya ke NIC yang diperlukan.
Microsoft menyarankan agar Anda menyiapkan akses keluar eksplisit dengan salah satu opsi berikut:
-
Untuk port terjemahan alamat jaringan sumber maksimum (SNAT), Microsoft merekomendasikan Azure NAT Gateway untuk konektivitas keluar.
Load Balancer Azure SKU Standar
Ini memerlukan aturan penyeimbangan beban untuk memprogram SNAT, yang mungkin tidak seefisien Azure NAT Gateway.
Penggunaan alamat IP publik yang dibatasi
Menetapkan alamat IP publik langsung ke komputer virtual harus dilakukan hanya untuk lingkungan pengujian atau pengembangan karena skalabilitas dan pertimbangan keamanan.
Langkah 2: Tinjau layanan pengiriman konten dan penyeimbangan beban Anda
Azure memiliki banyak layanan pengiriman aplikasi yang membantu Anda mengirim dan mendistribusikan lalu lintas ke aplikasi web Anda. Terkadang versi atau tingkat layanan baru meningkatkan pengalaman dan memberikan pembaruan terbaru. Anda dapat menggunakan alat migrasi dalam setiap layanan pengiriman aplikasi untuk dengan mudah beralih ke versi terbaru layanan dan mendapat manfaat dari fitur baru dan yang ditingkatkan.
Tinjauan Anda tentang layanan pengiriman konten dan penyeimbangan beban meliputi:
- Memigrasikan tingkat Azure Front Door Anda dari tingkat Klasik ke tingkat Premium atau Standar.
- Memigrasikan Azure Application Gateway Anda ke WAF_v2.
- Bermigrasi ke Standard SKU Azure Load Balancer.
Diagram ini memperlihatkan komponen untuk memperbarui layanan pengiriman konten dan penyeimbangan beban Azure.
Azure Front Door
Azure Front Door memiliki tiga tingkatan berbeda: Premium, Standar, dan Klasik. Tingkat Standar dan Premium menggabungkan fitur dari tingkat Azure Front Door Classic, Azure Content Delivery Network, dan Azure Web Application Firewall (WAF) ke dalam satu layanan.
Microsoft merekomendasikan untuk memigrasikan profil Azure Front Door klasik Anda ke tingkat Premium atau Standar untuk menikmati fitur dan pembaruan baru ini. Tingkat Premium berfokus pada fitur keamanan yang ditingkatkan seperti konektivitas privat ke layanan backend Anda, aturan WAF terkelola Microsoft, dan perlindungan bot untuk aplikasi web Anda.
Selain fitur yang ditingkatkan, Azure Front Door Premium menyertakan laporan keamanan yang dibangun ke dalam layanan tanpa biaya tambahan. Laporan ini membantu Anda menganalisis aturan keamanan WAF dan melihat jenis serangan apa yang dapat dihadapi aplikasi web Anda. Laporan keamanan juga memungkinkan Anda memeriksa metrik dengan dimensi yang berbeda, yang membantu Anda memahami dari mana lalu lintas berasal dan perincian peristiwa teratas berdasarkan kriteria.
Tingkat Azure Front Door Premium menyediakan langkah-langkah keamanan Internet yang paling kuat antara klien dan aplikasi web.
Azure Application Gateway
Azure Application Gateway memiliki dua jenis SKU, v1 dan v2, dan versi WAF yang dapat diterapkan ke salah satu SKU. Microsoft merekomendasikan migrasi Azure Application Gateway Anda ke SKU WAF_v2 untuk mendapatkan manfaat dari peningkatan performa dan fitur baru seperti penskalaan otomatis, aturan WAF kustom, dan dukungan untuk Azure Private Link.
Aturan WAF kustom memungkinkan Anda menentukan kondisi untuk mengevaluasi setiap permintaan yang melewati Azure Application Gateway. Aturan ini memiliki prioritas yang lebih tinggi daripada aturan dalam seperangkat aturan terkelola dan dapat disesuaikan agar sesuai dengan kebutuhan aplikasi dan persyaratan keamanan Anda. Aturan WAF kustom juga dapat membatasi akses ke aplikasi web Anda menurut negara atau wilayah dengan mencocokkan alamat IP ke kode negara.
Manfaat lain dari migrasi ke WAFv2 adalah Anda dapat terhubung ke Azure Application Gateway melalui layanan Azure Private Link saat mengakses dari VNet lain atau langganan yang berbeda. Fitur ini memungkinkan Anda memblokir akses publik ke Azure Application Gateway sambil hanya mengizinkan pengguna dan perangkat mengakses melalui titik akhir privat. Dengan konektivitas Azure Private Link, Anda harus menyetujui setiap koneksi titik akhir privat, yang memastikan bahwa hanya entitas yang tepat yang dapat mengakses. Untuk informasi selengkapnya tentang perbedaan antara SKU v1 dan v2, lihat Azure Application Gateway v2.
Penyeimbang Beban Azure
Dengan penghentian SKU IP Publik Dasar yang direncanakan pada bulan September 2025, Anda perlu meningkatkan layanan yang menggunakan alamat IP SKU IP Publik Dasar. Microsoft merekomendasikan untuk memigrasikan SKU Dasar Azure Load Balancer Anda saat ini ke Azure Load Balancer SKU Standar untuk menerapkan langkah-langkah keamanan yang tidak disertakan dengan SKU Dasar.
Dengan Standard SKU Azure Load Balancer, Anda aman secara default. Semua lalu lintas Internet masuk ke load balancer publik diblokir kecuali diizinkan oleh aturan kelompok keamanan jaringan yang diterapkan. Perilaku default ini mencegah secara tidak sengaja mengizinkan lalu lintas Internet ke komputer atau layanan virtual Anda sebelum Anda siap dan memastikan bahwa Anda mengontrol lalu lintas yang dapat mengakses sumber daya Anda.
Azure Load Balancer SKU Standar menggunakan Azure Private Link untuk membuat koneksi titik akhir privat, yang berguna jika Anda ingin mengizinkan akses privat ke sumber daya Anda di belakang load balancer, tetapi Anda ingin pengguna mengaksesnya dari lingkungan mereka.
Langkah 3: Tinjau layanan konektivitas hibrid Anda
Tinjauan layanan konektivitas hibrid Anda mencakup penggunaan SKU generasi baru untuk Azure VPN Gateway.
Diagram ini memperlihatkan komponen untuk memperbarui layanan konektivitas hibrid Azure dalam arsitektur referensi.
Cara paling efektif untuk menyambungkan jaringan hibrid di Azure saat ini adalah dengan SKU generasi baru untuk Azure VPN Gateway. Meskipun Anda mungkin terus menggunakan gateway VPN klasik, ini sudah kedaluarsa dan kurang andal dan efisien. Gateway VPN klasik mendukung maksimum 10 terowongan Internet Protocol Security (IPsec), sedangkan SKU Azure VPN Gateway yang lebih baru dapat menskalakan hingga 100 terowongan.
SKU yang lebih baru beroperasi pada model driver yang lebih baru dan menggabungkan pembaruan perangkat lunak keamanan terbaru. Model driver yang lebih lama didasarkan pada teknologi Microsoft yang kedaluarsa yang tidak cocok untuk beban kerja modern. Model driver yang lebih baru tidak hanya menawarkan performa dan perangkat keras yang unggul, tetapi juga memberikan ketahanan yang ditingkatkan. Kumpulan AZ SKU gateway VPN dapat diposisikan di zona ketersediaan dan mendukung koneksi aktif-aktif dengan beberapa alamat IP publik, yang meningkatkan ketahanan dan menawarkan opsi yang ditingkatkan untuk pemulihan bencana.
Selain itu, untuk kebutuhan perutean dinamis, gateway VPN klasik tidak dapat menjalankan Border Gateway Protocol (BGP), hanya menggunakan IKEv1, dan tidak mendukung perutean dinamis. Singkatnya, gateway VPN SKU klasik dirancang untuk beban kerja yang lebih kecil, bandwidth rendah, dan koneksi statis.
Gateway VPN klasik juga memiliki batasan dalam keamanan dan fungsionalitas terowongan IPsec mereka. Mereka hanya mendukung mode Berbasis Kebijakan dengan protokol IKEv1 dan serangkaian enkripsi terbatas dan algoritma hashing yang lebih rentan terhadap pelanggaran. Microsoft menyarankan agar Anda beralih ke SKU baru yang menawarkan berbagai opsi yang lebih luas untuk protokol Fase 1 dan Fase 2. Keuntungan utamanya adalah VPN Gateway berbasis rute dapat menggunakan mode utama IKEv1 dan IKEv2, memberikan fleksibilitas implementasi yang lebih besar dan algoritma enkripsi dan hash yang lebih kuat.
Jika Anda memerlukan keamanan yang lebih tinggi daripada nilai enkripsi default, VPN Gateway berbasis rute memungkinkan penyesuaian parameter Fase 1 dan Fase 2 untuk memilih cipher dan panjang kunci tertentu. Grup enkripsi yang lebih kuat termasuk Grup 14 (2048-bit), Grup 24 (Grup MODP 2048-bit), atau ECP (grup kurva elips) masing-masing 256 bit atau 384 bit (Grup 19 dan Grup 20). Selain itu, Anda dapat menentukan rentang awalan mana yang diizinkan untuk mengirim lalu lintas terenkripsi menggunakan pengaturan Pemilih Lalu Lintas untuk lebih melindungi negosiasi terowongan dari lalu lintas yang tidak sah.
Untuk informasi selengkapnya, lihat Kriptografi Azure VPN Gateway.
SKU Azure VPN Gateway memfasilitasi koneksi VPN Point-to-Site (P2S) untuk menggunakan protokol IPsec berdasarkan protokol standar IKEv2 dan VPN berdasarkan SSL/TLS, seperti OpenVPN dan Secure Socket Tunneling Protocol (SSTP). Dukungan ini memberi pengguna berbagai metode implementasi dan memungkinkan mereka terhubung ke Azure menggunakan sistem operasi perangkat yang berbeda. SKU Azure VPN Gateway juga menawarkan banyak opsi autentikasi klien, termasuk autentikasi sertifikat, autentikasi ID Microsoft Entra, dan autentikasi Active Directory Domain Services (AD DS).
Catatan
Gateway IPSec klasik akan dihentikan pada 31 Agustus 2024.
Pelatihan yang direkomendasikan
- Mengonfigurasi dan mengelola jaringan virtual untuk administrator Azure
- Mengamankan dan mengisolasi akses ke sumber daya Azure dengan menggunakan kelompok keamanan jaringan dan titik akhir layanan
- Pengantar Azure Front Door
- Pengantar Azure Application Gateway
- Pengantar Azure Web Application Firewall
- Pengantar Azure Private Link
- Menyambungkan jaringan lokal Anda ke Azure dengan VPN Gateway
Langkah berikutnya
Untuk informasi selengkapnya tentang menerapkan Zero Trust ke jaringan Azure, lihat:
- Mengenkripsi komunikasi jaringan berbasis Azure
- Segment komunikasi jaringan berbasis Azure
- Mendapatkan visibilitas ke dalam lalu lintas jaringan Anda
- Mengamankan jaringan dengan Zero Trust
- Jaringan virtual spoke di Azure
- Jaringan virtual hub di Azure
- Jaringan virtual spoke dengan layanan Azure PaaS
- Azure Virtual WAN
Referensi
Lihat tautan ini untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.