Menerapkan prinsip Zero Trust untuk mengesegmentasi komunikasi jaringan berbasis Azure
Artikel ini menyediakan panduan untuk menerapkan prinsip Zero Trust untuk mensegmentasi jaringan di lingkungan Azure. Berikut adalah prinsip Zero Trust.
| Prinsip Zero Trust | Definisi |
|---|---|
| Memverifikasi secara eksplisit | Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. |
| Gunakan akses yang paling tidak istimewa | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. |
| Mengasumsikan pembobolan | Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. Anda dapat meminimalkan radius ledakan serangan cyber dan akses segmentasi dengan melakukan segmentasi jaringan di berbagai tingkatan dalam infrastruktur Azure Anda. |
Artikel ini adalah bagian dari serangkaian artikel yang menunjukkan cara menerapkan prinsip Zero Trust ke jaringan Azure.
Saat organisasi tumbuh dari bisnis kecil menjadi perusahaan besar, mereka sering kali perlu berpindah dari satu langganan Azure ke beberapa langganan ke sumber daya terpisah untuk setiap departemen. Penting untuk merencanakan segmentasi jaringan Anda dengan hati-hati untuk membuat batas logis dan isolasi antar lingkungan.
Setiap lingkungan, biasanya mencerminkan departemen terpisah organisasi Anda, harus memiliki izin akses dan kebijakannya sendiri untuk beban kerja tertentu. Misalnya, pengguna dari langganan pengembang perangkat lunak internal Anda seharusnya tidak memiliki akses untuk mengelola dan menyebarkan sumber daya jaringan dalam langganan konektivitas. Namun, lingkungan ini masih memerlukan konektivitas jaringan untuk mencapai fungsionalitas yang diperlukan ke layanan dasar, seperti DNS, konektivitas hibrid, dan dapat menjangkau sumber daya lain di berbagai jaringan virtual Azure (VNet).
Segmentasi infrastruktur Azure Anda tidak hanya menyediakan isolasi tetapi juga dapat menciptakan batas keamanan yang mencegah penyerang bergerak di seluruh lingkungan dan menimbulkan kerusakan tambahan ( asumsikan pelanggaran prinsip Zero Trust).
Arsitektur referensi
Anda dapat menggunakan berbagai tingkat segmentasi di Azure untuk membantu melindungi sumber daya Anda dari akses yang tidak sah atau serangan berbahaya. Tingkat segmentasi ini dimulai di tingkat langganan dan turun ke aplikasi yang berjalan di komputer virtual. Segmentasi menciptakan batas yang memisahkan satu lingkungan dari lingkungan lain, masing-masing dengan aturan dan kebijakannya sendiri. Dengan asumsi bahwa pelanggaran dapat terjadi, Anda perlu mengesegmentasi jaringan Anda untuk mencegah penyebarannya.
Jaringan Azure menggunakan tingkat segmentasi berikut:
Langganan
Langganan Azure adalah kontainer logis yang digunakan untuk menyediakan sumber daya di Azure. Ini ditautkan ke akun Azure di penyewa ID Microsoft Entra dan berfungsi sebagai unit penagihan tunggal untuk sumber daya Azure yang ditetapkan ke langganan. Langganan Azure juga merupakan batas logis untuk akses ke sumber daya yang terkandung dalam langganan. Akses antar sumber daya dalam langganan yang berbeda memerlukan izin eksplisit.
VNet
Azure VNet adalah jaringan privat terisolasi yang secara default memungkinkan semua komputer virtual di dalamnya berkomunikasi satu sama lain. Secara default, VNet tidak dapat berkomunikasi dengan VNet lain kecuali Anda membuat koneksi di antara mereka melalui peering, koneksi VPN, atau ExpressRoute. VNet individual dapat digunakan sebagai batas kepercayaan yang membagi berbagai aplikasi, beban kerja, departemen, atau organisasi.
Azure Virtual Network Manager (AVNM) adalah layanan manajemen jaringan yang memungkinkan satu tim administrasi mengelola VNet dan menerapkan aturan keamanan di beberapa langganan secara global. Anda dapat menggunakan AVNM untuk menentukan grup jaringan untuk menentukan VNet mana yang dapat berkomunikasi satu sama lain. Anda juga dapat menggunakan AVNM untuk memantau perubahan konfigurasi jaringan.
Beban kerja dalam VNet
Untuk beban kerja dalam VNet—seperti komputer virtual atau layanan PaaS apa pun yang mendukung integrasi VNet seperti Azure Databricks dan App Service—komunikasi diizinkan secara default karena terkandung dalam VNet yang sama dan harus diamankan lebih lanjut menggunakan grup keamanan jaringan. Alat dan layanan untuk segmentasi dalam VNet mencakup hal berikut:
Azure Firewall
Azure Firewall adalah layanan yang disebarkan di VNet untuk memfilter lalu lintas antara sumber daya cloud, lokal, dan Internet. Dengan Azure Firewall, Anda dapat menentukan aturan dan kebijakan untuk mengizinkan atau menolak lalu lintas di lapisan jaringan dan aplikasi. Anda juga dapat memperoleh manfaat dari fitur perlindungan ancaman tingkat lanjut yang disediakan oleh Azure Firewall seperti Intrusion Detection and Prevention System (IDPS), inspeksi Transport Layer Security (TLS), dan pemfilteran berbasis inteligensi ancaman.
Grup keamanan jaringan
Grup keamanan jaringan adalah mekanisme kontrol akses yang memfilter lalu lintas jaringan antara sumber daya Azure seperti komputer virtual dalam VNet. Grup keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas di tingkat subnet atau komputer virtual di VNet. Penggunaan umum kelompok keamanan jaringan adalah untuk mengelompokkan set komputer virtual di subnet yang berbeda.
Kelompok keamanan aplikasi
Kelompok keamanan aplikasi adalah ekstensi dari kelompok keamanan jaringan yang memungkinkan Anda mengelompokkan antarmuka jaringan komputer virtual berdasarkan peran dan fungsinya. Anda kemudian dapat menggunakan grup keamanan aplikasi dalam kelompok keamanan jaringan dalam skala besar tanpa harus menentukan alamat IP komputer virtual.
Azure Front Door
Azure Front Door adalah Jaringan Pengiriman Konten (CDN) cloud modern Microsoft yang menyediakan akses cepat, andal, dan aman antara pengguna Anda dan konten web statis dan dinamis aplikasi Anda di seluruh dunia.
Diagram berikut menunjukkan arsitektur referensi untuk tingkat segmentasi.
Dalam diagram, garis merah solid menunjukkan tingkat segmentasi antara:
- Langganan Azure
- VNet dalam langganan
- Subnet di VNet
- Internet dan VNet
Diagram ini juga memperlihatkan sekumpulan VNet yang dikelola oleh AVNM yang dapat menjangkau langganan Azure.
Apa yang ada di artikel ini?
Prinsip Zero Trust diterapkan di seluruh arsitektur referensi dalam cloud Azure. Tabel berikut menjelaskan rekomendasi untuk mensegmentasi jaringan di seluruh arsitektur ini untuk mematuhi prinsip Asumsikan pelanggaran Zero Trust.
| Langkah | Tugas |
|---|---|
| 1 | Segmen dalam VNet individual Anda. |
| 2 | Sambungkan beberapa VNet dengan peering. |
| 3 | Sambungkan beberapa VNet di konfigurasi hub dan spoke. |
Langkah 1: Segmen dalam VNet individual Anda
Dalam satu VNet dalam langganan Azure, Anda menggunakan subnet untuk mencapai pemisahan dan segmentasi sumber daya. Misalnya, dalam VNet mungkin ada subnet untuk server database, yang lain untuk aplikasi web, dan subnet khusus untuk Azure Firewall atau Azure Application Gateway dengan Web Application Firewall. Secara default, semua komunikasi antar subnet diaktifkan dalam VNet.
Untuk membuat isolasi antar subnet, Anda dapat menerapkan grup keamanan jaringan atau kelompok keamanan aplikasi untuk mengizinkan atau menolak lalu lintas jaringan tertentu berdasarkan alamat IP, port, atau protokol. Namun, merancang dan memelihara kelompok keamanan jaringan dan kelompok keamanan aplikasi juga dapat membuat overhead manajemen.
Ilustrasi ini menunjukkan konfigurasi umum dan direkomendasikan dari aplikasi tiga tingkat dengan subnet terpisah untuk setiap tingkatan dan penggunaan grup keamanan jaringan dan kelompok keamanan aplikasi untuk membuat batas tersegmentasi antara setiap subnet.
Anda juga dapat mencapai segmentasi sumber daya dengan merutekan lalu lintas antar-subnet menggunakan rute yang ditentukan pengguna (UDR) yang menunjuk ke Azure Firewall atau Network Virtual Appliance (NVA) pihak ketiga. Azure Firewall dan NVA juga memiliki kemampuan untuk mengizinkan atau menolak lalu lintas menggunakan kontrol lapisan 3 hingga lapisan 7. Sebagian besar layanan ini menyediakan kemampuan pemfilteran tingkat lanjut.
Untuk informasi selengkapnya, lihat panduan di Pola 1: Jaringan virtual tunggal.
Langkah 2: Menyambungkan beberapa VNet dengan peering
Secara default, tidak ada komunikasi yang diizinkan antara VNet dengan satu langganan Azure atau di beberapa langganan. Beberapa VNet, masing-masing milik entitas yang berbeda, memiliki kontrol akses mereka sendiri. Mereka dapat terhubung satu sama lain atau ke VNet hub terpusat menggunakan peering VNet, di mana Azure Firewall atau NVA pihak ketiga memeriksa semua lalu lintas.
Ilustrasi ini menunjukkan koneksi peering VNet antara dua VNet dan penggunaan Azure Firewall di setiap akhir koneksi.
VNet hub biasanya berisi komponen bersama seperti firewall, penyedia identitas, dan komponen konektivitas hibrid, antara lain. Manajemen UDR menjadi lebih sederhana karena menambahkan UDR awalan tertentu untuk segmentasi mikro hanya akan diperlukan jika lalu lintas intra-VNet adalah persyaratan. Namun, karena VNet memiliki batasan sendiri, kontrol keamanan sudah ada.
Untuk informasi selengkapnya, lihat panduan berikut:
- Firewall dan Application Gateway untuk jaringan virtual
- Pola 2: Beberapa jaringan virtual dengan peering di antaranya
- Menerapkan prinsip Zero Trust ke jaringan virtual spoke di Azure
- Menerapkan prinsip Zero Trust ke jaringan virtual hub di Azure
Langkah 3: Menyambungkan beberapa VNet dalam konfigurasi hub dan spoke
Untuk beberapa VNet dalam konfigurasi hub dan spoke, Anda perlu mempertimbangkan cara mensegmentasi lalu lintas jaringan Anda untuk batas-batas ini:
- Batas internet
- Batas jaringan lokal
- Batasan ke layanan Azure global
Batas internet
Mengamankan lalu lintas Internet adalah prioritas mendasar dalam keamanan jaringan, yang melibatkan pengelolaan lalu lintas masuk dari Internet (tidak tepercaya) dan lalu lintas keluar yang diarahkan ke Internet (tepercaya) dari beban kerja Azure Anda.
Microsoft merekomendasikan bahwa lalu lintas masuk dari Internet memiliki satu titik masuk. Microsoft sangat mendorong agar lalu lintas masuk melintasi sumber daya Azure PaaS seperti Azure Firewall, Azure Front Door, atau Azure Application Gateway. Sumber daya PaaS ini menawarkan lebih banyak kemampuan daripada komputer virtual dengan alamat IP publik.
Azure Firewall
Ilustrasi ini menunjukkan bagaimana Azure Firewall dalam subnetnya sendiri bertindak sebagai titik masuk pusat dan batas segmentasi untuk lalu lintas antara Internet dan beban kerja tiga tingkat di Azure VNet.
Untuk informasi selengkapnya, lihat Azure Firewall di Microsoft Azure Well-Architected Framework.
Azure Front Door
Azure Front Door dapat bertindak sebagai batas antara Internet dan layanan yang dihosting di Azure. Azure Front Door mendukung konektivitas Private Link ke sumber daya seperti Internal Load Balancing (ILB) untuk akses VNet, akun penyimpanan untuk situs web statis dan penyimpanan blob, dan layanan Azure App. Azure Front Door biasanya dilakukan untuk penyebaran dalam skala besar.
Azure Front Door lebih dari layanan penyeimbang beban. Infrastruktur Azure Front Door memiliki perlindungan DDoS bawaan. Saat penembolokan diaktifkan, konten dapat diambil dari lokasi point of presence (POP) daripada terus mengakses server backend. Saat cache kedaluwarsa, Azure Front Door mengambil sumber daya yang diminta dan memperbarui cache. Daripada pengguna akhir mengakses server mereka, Azure Front Door menggunakan Split TCP untuk dua koneksi terpisah. Ini tidak hanya meningkatkan pengalaman pengguna akhir tetapi mencegah aktor jahat mengakses sumber daya secara langsung.
Ilustrasi ini menunjukkan bagaimana Azure Front Door menyediakan segmentasi antara pengguna Internet dan sumber daya Azure, yang dapat berada di akun penyimpanan.
Untuk informasi selengkapnya, lihat Azure Front Door di Azure Well-Architected Framework.
Azure Application Gateway
Titik masuk Internet juga bisa menjadi kombinasi titik masuk. Misalnya, lalu lintas HTTP/HTTPS dapat masuk melalui Application Gateway yang dilindungi oleh Web Application Firewall atau Azure Front Door. Lalu lintas non-HTTP/HTTPS seperti RDP/SSH dapat masuk melalui Azure Firewall atau NVA. Anda dapat menggunakan kedua elemen ini bersama-sama untuk inspeksi yang lebih dalam dan untuk mengontrol arus lalu lintas menggunakan UDR.
Ilustrasi ini menunjukkan lalu lintas masuk Internet dan penggunaan Application Gateway dengan Web Application Firewall untuk lalu lintas HTTP/HTTPS dan Azure Firewall untuk semua lalu lintas lainnya.
Dua skenario yang umum disarankan adalah:
- Tempatkan Azure Firewall atau NVA secara paralel dengan Application Gateway.
- Tempatkan Azure Firewall atau NVA setelah Application Gateway untuk pemeriksaan lalu lintas lebih lanjut sebelum mencapai tujuan.
Untuk informasi selengkapnya, lihat Azure Application Gateway di Microsoft Azure Well-Architected Framework.
Berikut adalah pola umum tambahan untuk arus lalu lintas Internet.
Lalu lintas masuk menggunakan beberapa antarmuka
Salah satu pendekatan melibatkan penggunaan beberapa antarmuka jaringan pada komputer virtual saat menggunakan NVA: satu antarmuka untuk lalu lintas yang tidak tepercaya (menghadap eksternal) dan satu lagi untuk lalu lintas tepercaya (menghadap internal). Dalam hal arus lalu lintas, Anda harus merutekan lalu lintas masuk dari lokal ke NVA menggunakan UDR. Lalu lintas masuk dari Internet yang diterima oleh NVA harus dirutekan ke beban kerja tujuan pada VNet atau subnet yang sesuai dengan kombinasi rute statis di appliance OS tamu dan UDR.
Lalu lintas keluar dan UDR
Untuk lalu lintas yang meninggalkan VNet Anda untuk Internet, Anda dapat menerapkan UDR menggunakan tabel rute dengan NVA yang dipilih sebagai hop berikutnya. Untuk mengurangi kompleksitas, Anda dapat menyebarkan Azure Firewall atau NVA di dalam hub Azure Virtual WAN Anda dan mengaktifkan keamanan Internet dengan Niat Perutean. Ini memastikan bahwa lalu lintas utara-selatan (masuk dan keluar dari cakupan jaringan) dan lalu lintas timur-barat (antara perangkat dalam cakupan jaringan) yang ditujukan untuk alamat IP Virtual (VIP) non-Azure diperiksa.
Lalu lintas keluar dan rute default
Beberapa metode melibatkan pengelolaan rute default (0.0.0.0/0) dengan metode yang berbeda. Sebagai aturan umum, disarankan agar lalu lintas keluar yang berasal dari Azure menggunakan titik keluar dan inspeksi dengan Azure Firewall atau NVA karena jumlah throughput yang dapat ditangani infrastruktur Azure, yang dalam banyak kasus mungkin jauh lebih besar dan lebih tangguh. Dalam hal ini, mengonfigurasi rute default di UDR subnet beban kerja dapat memaksa lalu lintas ke titik keluar tersebut. Anda mungkin juga lebih suka merutekan lalu lintas keluar dari lokal ke Azure sebagai titik keluar. Dalam hal ini, gunakan Azure Route Server dalam kombinasi dengan NVA untuk mengiklankan rute default ke lokal menggunakan Border Gateway Protocol (BGP).
Ada kasus khusus ketika Anda memerlukan semua lalu lintas keluar untuk dirutekan kembali ke lokal dengan mengiklankan rute default melalui BGP. Ini memaksa lalu lintas meninggalkan VNet untuk diterowongkan melalui jaringan lokal Anda ke firewall untuk diperiksa. Pendekatan terakhir ini paling tidak diinginkan karena peningkatan latensi dan kurangnya kontrol keamanan yang disediakan oleh Azure. Praktik ini banyak diadopsi oleh pemerintah dan sektor perbankan yang memiliki persyaratan khusus untuk inspeksi lalu lintas dalam lingkungan lokal mereka.
Dalam hal skala:
- Untuk satu VNet, Anda dapat menggunakan kelompok keamanan jaringan, yang secara ketat mematuhi semantik lapisan 4, atau Anda dapat menggunakan Azure Firewall yang mematuhi semantik Lapisan 4 dan Lapisan 7.
- Untuk beberapa VNet, satu Azure Firewall masih dapat digunakan jika dapat dijangkau, atau Anda dapat menyebarkan Azure Firewall di setiap jaringan virtual dan mengarahkan lalu lintas dengan UDR.
Untuk jaringan terdistribusi perusahaan besar, Anda masih dapat menggunakan model hub dan spoke dan lalu lintas langsung dengan UDR. Namun, ini dapat menyebabkan overhead manajemen dan batas peering VNet. Untuk kemudahan penggunaan, Azure Virtual WAN dapat mencapai ini jika Anda menyebarkan Azure Firewall di hub virtual dan mengaktifkan Niat Perutean untuk keamanan Internet. Ini akan menyuntikkan rute default di semua spoke dan jaringan cabang dan mengirim lalu lintas yang terikat Internet ke Azure Firewall untuk diperiksa. Lalu lintas privat yang ditujukan untuk blok alamat RFC 1918 dikirim ke Azure Firewall atau NVA sebagai lompatan berikutnya yang ditunjuk di dalam hub Azure Virtual WAN.
Batas jaringan lokal
Di Azure, metode utama untuk membangun konektivitas dengan jaringan lokal termasuk terowongan Protokol Internet (IPsec), terowongan ExpressRoute, atau terowongan WAN (SD-WAN) yang ditentukan perangkat lunak. Biasanya, Anda menggunakan koneksi VPN Azure Site-to-Site (S2S) untuk beban kerja yang lebih kecil yang memerlukan lebih sedikit bandwidth. Untuk beban kerja yang memerlukan jalur layanan khusus dan kebutuhan throughput yang lebih tinggi, Microsoft merekomendasikan ExpressRoute.
Ilustrasi ini menunjukkan berbagai jenis metode koneksi antara lingkungan Azure dan jaringan lokal.
Meskipun koneksi Vpn Azure dapat mendukung beberapa terowongan, ExpressRoute sering dikonfigurasi untuk jaringan perusahaan yang lebih besar yang memerlukan bandwidth dan koneksi privat yang lebih tinggi melalui mitra konektivitas. Untuk ExpressRoute, dimungkinkan untuk menghubungkan VNet yang sama ke beberapa sirkuit, tetapi untuk tujuan segmentasi, ini sering tidak ideal karena memungkinkan VNet tidak terhubung satu sama lain untuk berkomunikasi.
Salah satu metode segmentasi melibatkan pemilihan untuk tidak menggunakan gateway jarak jauh pada VNet spoke atau menonaktifkan penyebaran rute BGP jika Anda menggunakan tabel rute. Anda masih dapat membuat segmen hub yang terhubung ke ExpressRoute dengan NVA dan Firewall. Untuk spoke yang di-peering ke hub, Anda dapat memilih untuk tidak menggunakan gateway jarak jauh di properti peering VNet. Dengan begitu, spoke hanya mempelajari tentang hub yang terhubung langsung dan bukan rute lokal apa pun.
Pendekatan lain yang muncul untuk lalu lintas segmen yang masuk ke dan dari lokal adalah penggunaan teknologi SD-WAN. Anda dapat memperluas lokasi cabang Anda ke Azure SD-WAN dengan menggunakan NVA pihak ketiga di Azure untuk membuat segmentasi berdasarkan terowongan SD-WAN yang berasal dari cabang yang berbeda di dalam appliance NVA. Anda dapat menggunakan Azure Route Server untuk menyuntikkan awalan alamat untuk terowongan SD-WAN ke platform Azure untuk topologi hub dan spoke.
Untuk topologi WAN virtual, Anda dapat memiliki integrasi langsung dari NVA SD-WAN pihak ketiga di dalam hub virtual. Anda juga dapat menggunakan titik akhir BGP untuk memungkinkan penggunaan solusi SD-WAN, membuat terowongan dari NVA yang terintegrasi dengan hub virtual.
Untuk kedua model, Anda dapat menggunakan ExpressRoute untuk mensegmentasi konektivitas privat atau publik yang mendasar dengan peering privat atau peering Microsoft. Untuk keamanan, praktik umumnya adalah mengiklankan rute default melalui ExpressRoute. Ini memaksa semua lalu lintas yang meninggalkan VNet untuk diterowongkan ke jaringan lokal Anda untuk diperiksa. Demikian pula, lalu lintas yang datang melalui VPN dan ExpressRoute dapat dikirim ke NVA untuk pemeriksaan lebih lanjut. Ini juga berlaku untuk lalu lintas yang meninggalkan Azure. Metode ini mudah ketika lingkungan lebih kecil, seperti satu atau dua wilayah.
Untuk jaringan besar dan terdistribusi, Anda juga dapat menggunakan Azure Virtual WAN dengan mengaktifkan inspeksi lalu lintas privat menggunakan Niat Perutean. Ini mengarahkan semua lalu lintas yang ditujukan ke alamat IP privat NVA untuk diperiksa. Seperti halnya metode di atas, ini jauh lebih mudah dikelola ketika lingkungan Anda mencakup beberapa wilayah.
Pendekatan lain dengan Azure Virtual WAN adalah menggunakan tabel rute kustom untuk batas isolasi. Anda dapat membuat rute kustom dan hanya mengaitkan dan menyebarluaskan VNet yang Anda inginkan ke tabel rute tersebut. Namun, kemampuan ini tidak dapat dikombinasikan dengan niat perutean hari ini. Untuk mengisolasi cabang, Anda dapat menetapkan label untuk mengaitkan cabang ke label tersebut. Anda juga dapat menonaktifkan penyebaran ke label default berdasarkan per hub. Saat ini, Anda tidak dapat mengisolasi cabang individual di Azure secara terpisah pada satu hub. Misalnya, Anda tidak dapat mengisolasi SD-WAN dari ExpressRoute. Tetapi di seluruh hub, Anda dapat menonaktifkan penyebaran ke label default.
Batasan ke layanan Azure global
Di Azure, sebagian besar layanan secara default dapat diakses melalui Azure global WAN. Ini juga berlaku untuk akses publik ke layanan Azure PaaS. Misalnya, Azure Storage memiliki firewall bawaan yang dapat membatasi akses ke VNet dan memblokir akses publik. Namun, sering kali ada kebutuhan untuk kontrol yang lebih terperinci. Preferensi umumnya adalah menyambungkan ke Azure VIP secara privat, daripada menggunakan alamat IP publik default yang disediakan.
Metode yang paling umum untuk membatasi akses ke sumber daya PaaS adalah melalui Azure Private Link. Saat Anda membuat titik akhir privat, titik akhir tersebut akan disuntikkan ke VNet Anda. Azure menggunakan alamat IP privat ini untuk terowongan ke sumber daya PaaS yang dimaksud. Azure memetakan catatan DNS A ke titik akhir privat menggunakan Zona DNS Privat Azure dan memetakan data CNAME ke sumber daya PaaS tautan privat.
Titik akhir layanan menawarkan metode alternatif untuk menyambungkan ke VIP PaaS. Anda dapat memilih tag layanan untuk mengizinkan koneksi ke semua sumber daya PaaS dalam tag tersebut dan menyediakan konektivitas privat ke sumber daya PaaS.
Metode lain yang lazim melibatkan penggunaan Microsoft Peering untuk ExpressRoute. Jika Anda ingin menyambungkan ke VIP PaaS dari lokal, Anda dapat menyiapkan Microsoft Peering. Anda dapat memilih komunitas BGP agar VIP dapat digunakan dan ini akan diiklankan melalui jalur Microsoft Peering.
Untuk informasi selengkapnya, lihat panduan berikut:
- Firewall dan Application Gateway untuk jaringan virtual
- Pola 3: Beberapa jaringan virtual dalam model hub dan spoke
Ringkasan segmentasi
Tabel ini meringkas berbagai tingkat segmentasi dan metode keamanan.
| Antara | Perilaku default | Komunikasi diaktifkan oleh... | Metode keamanan segmentasi |
|---|---|---|---|
| Langganan | Tidak ada komunikasi | - Peering VNet - Gateway VPN |
Azure Firewall |
| VNet | Tidak ada komunikasi | - Peering VNet - Gateway VPN |
Azure Firewall |
| Beban kerja pada subnet dalam VNet | Komunikasi terbuka | T/A | - Kelompok keamanan jaringan - Kelompok keamanan aplikasi |
| Internet dan VNet | Tidak ada komunikasi | - Load Balancer - IP Publik - Application Gateway - Azure Front Door |
- Azure Application Gateway dengan Web Application Firewall - Azure Firewall - Azure Front Door dengan Web Application Firewall |
| Internet dan jaringan lokal Anda | Tidak ada komunikasi | - Vpn Azure S2S - Terowongan IPSec - Terowongan ExpressRoute - Terowongan SD-WAN |
Azure Firewall |
| Internet dan komputer virtual di VNet | Tidak ada komunikasi jika komputer virtual hanya memiliki alamat IP privat | Menetapkan komputer virtual alamat IP publik | Firewall komputer virtual lokal |
Pelatihan yang direkomendasikan
- Mengonfigurasi dan mengelola jaringan virtual untuk administrator Azure
- Pengantar Azure Web Application Firewall
- Mengamankan dan mengisolasi akses ke sumber daya Azure dengan menggunakan kelompok keamanan jaringan dan titik akhir layanan
- Pengantar Azure Front Door
- Pengantar Azure Application Gateway
- Pengantar Azure Private Link
- Pengantar Azure Virtual WAN
- Menyambungkan jaringan lokal Anda ke Azure dengan VPN Gateway
Langkah berikutnya
Untuk informasi tambahan tentang menerapkan Zero Trust ke jaringan Azure, lihat:
- Mengenkripsi komunikasi jaringan berbasis Azure
- Mendapatkan visibilitas ke dalam lalu lintas jaringan Anda
- Menghentikan teknologi keamanan jaringan warisan
- Mengamankan jaringan dengan Zero Trust
- Jaringan virtual spoke di Azure
- Jaringan virtual hub di Azure
- Jaringan virtual spoke dengan layanan Azure PaaS
- Azure Virtual WAN
Referensi
Lihat tautan ini untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk