Menerapkan prinsip Zero Trust untuk mendapatkan visibilitas ke dalam lalu lintas jaringan
Artikel ini menyediakan panduan untuk menerapkan prinsip Zero Trust untuk mensegmentasi jaringan di lingkungan Azure. Berikut adalah prinsip Zero Trust.
| Prinsip Zero Trust | Definisi |
|---|---|
| Memverifikasi secara eksplisit | Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. |
| Gunakan akses yang paling tidak istimewa | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. |
| Mengasumsikan pembobolan | Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. Prinsip ini dipenuhi dengan menggunakan analitik untuk mendapatkan visibilitas ke dalam lalu lintas jaringan di infrastruktur Azure Anda. |
Artikel ini adalah bagian dari serangkaian artikel yang menunjukkan cara menerapkan prinsip Zero Trust ke jaringan Azure.
Jenis lalu lintas jaringan yang tercakup dalam artikel ini adalah:
- Terpusat
- Lalu lintas timur-barat, yang merupakan arus lalu lintas antara jaringan virtual (VNet) Azure Anda dan layanan Azure dan jaringan lokal Anda
- Utara-selatan, yang merupakan arus lalu lintas antara lingkungan Azure Anda dan Internet
Arsitektur referensi
Diagram berikut menunjukkan arsitektur referensi untuk panduan Zero Trust ini untuk inspeksi lalu lintas antara VNet lokal dan Azure, antara Azure VNets dan layanan Azure, dan antara lingkungan Azure Anda dan Internet.
Arsitektur referensi ini meliputi:
- Beban kerja Azure IaaS yang berjalan di komputer virtual Azure.
- Layanan Azure.
- VNet tepi Internet yang berisi Azure DDoS Protection, Azure Firewall, dan Azure Web Application Firewall (WAF).
- Panah memperlihatkan arus lalu lintas timur-barat dan utara-selatan.
Apa yang ada di artikel ini?
Prinsip Zero Trust diterapkan di seluruh arsitektur referensi. Tabel berikut menjelaskan rekomendasi untuk memastikan visibilitas lalu lintas jaringan di seluruh arsitektur ini untuk asumsikan pelanggaran prinsip Zero Trust.
| Langkah | Tugas |
|---|---|
| 1 | Menerapkan titik inspeksi lalu lintas terpusat. |
| 2 | Menerapkan inspeksi lalu lintas timur-barat. |
| 3 | Menerapkan inspeksi lalu lintas utara-selatan. |
Langkah 1: Menerapkan titik inspeksi lalu lintas terpusat
Inspeksi lalu lintas terpusat memberi Anda kemampuan untuk mengontrol dan memvisualisasikan lalu lintas yang masuk dan keluar dari jaringan Anda. VNet hub dan spoke dan Azure Virtual WAN adalah dua topologi jaringan paling umum di Azure. Mereka memiliki kemampuan dan fitur yang berbeda dalam cara mereka menyambungkan jaringan. Dalam kedua desain, VNet hub adalah jaringan pusat dan digunakan untuk membagi beban kerja menjadi aplikasi dan beban kerja dari VNet hub ke VNet spoke. Inspeksi terpusat mencakup lalu lintas yang mengalir ke utara-selatan, timur-barat, atau keduanya.
Topologi hub dan spoke
Salah satu karakteristik model hub dan spoke adalah bahwa VNet semuanya dikelola oleh Anda. VNet terkelola hub pelanggan berfungsi sebagai VNet bersama tempat VNet spoke lainnya terhubung. VNet terpusat ini biasanya digunakan:
- Untuk membangun konektivitas hibrid ke jaringan lokal.
- Untuk inspeksi lalu lintas dan segmentasi menggunakan Azure Firewall atau appliance virtual jaringan (NVA) pihak ketiga.
- Untuk mempusatkan inspeksi layanan pengiriman aplikasi seperti Azure Application Gateway dengan WAF.
Dalam topologi ini, Anda menempatkan Azure Firewall atau NVA di VNet hub dan mengonfigurasi rute yang ditentukan pengguna (UDR) untuk mengarahkan lalu lintas dari VNet spoke dan dari jaringan lokal Anda ke VNet hub. Azure Firewall atau NVA juga dapat berfungsi sebagai mesin rute untuk merutekan lalu lintas antara jaringan virtual spoke. Salah satu fitur terpenting dari hub VNet dan model spoke yang dikelola pelanggan adalah kontrol terperinci lalu lintas menggunakan UDR dan kemampuan untuk memodifikasi perutean, segmentasi, dan penyebaran rute tersebut secara manual.
Azure Virtual WAN
Azure Virtual WAN adalah VNet hub yang dikelola Azure yang berisi instans Route Service di bawah kap yang mengawasi penyebaran rute dari dan ke semua cabang dan semua spoke. Ini secara efektif memungkinkan konektivitas apa pun.
Salah satu perbedaan besar dengan VNet terkelola (disebut hub virtual terkelola) adalah bahwa granularitas kontrol perutean diabstraksi untuk pengguna. Beberapa manfaat utamanya meliputi:
- Manajemen rute yang disederhanakan menggunakan konektivitas asli apa pun. Jika Anda memerlukan isolasi lalu lintas, Anda dapat mengonfigurasi tabel rute kustom atau rute statis secara manual dalam tabel rute default.
- Hanya Gateway Virtual Network, Azure Firewall, dan perangkat NVA atau WAN (SD-WAN) yang ditentukan perangkat lunak yang dapat disebarkan dalam hub. Layanan terpusat seperti DNS dan Application Gateway harus berada di VNet spoke reguler. Spoke perlu dilampirkan ke hub virtual menggunakan peering VNet.
VNet terkelola paling cocok untuk:
- Penyebaran skala besar di seluruh wilayah yang memerlukan konektivitas transit yang menyediakan inspeksi lalu lintas ke dan dari lokasi mana pun.
- Lebih dari 30 situs cabang atau lebih dari 100 terowongan keamanan Protokol Internet (IPsec).
Beberapa fitur terbaik Virtual WAN adalah infrastruktur perutean skalabilitas dan interkonektivitas. Contoh skalabilitas termasuk throughput 50 Gbps per hub dan 1.000 situs cabang. Untuk menskalakan lebih lanjut, beberapa hub virtual dapat saling terhubung untuk membuat jaringan jala Virtual WAN yang lebih besar. Manfaat lain dari Virtual WAN adalah kemampuan untuk menyederhanakan perutean untuk inspeksi lalu lintas dengan menyuntikkan awalan dengan mengklik tombol.
Setiap desain membawa kelebihan dan kekurangannya sendiri. Pilihan yang sesuai harus ditentukan berdasarkan persyaratan overhead pertumbuhan dan manajemen di masa mendatang yang diantisipasi.
Langkah 2: Menerapkan inspeksi lalu lintas timur-barat
Arus lalu lintas timur-barat termasuk VNet-ke-VNet dan VNet-ke-lokal. Untuk memeriksa lalu lintas antara timur-barat, Anda dapat menyebarkan Azure Firewall atau NVA di jaringan virtual hub. Ini mengharuskan UDR untuk mengarahkan lalu lintas privat ke Azure Firewall atau NVA untuk diperiksa. Dalam VNet yang sama, Anda dapat menggunakan grup keamanan jaringan untuk kontrol akses, tetapi jika Anda memerlukan kontrol yang lebih dalam dengan inspeksi, Anda dapat menggunakan firewall lokal atau firewall terpusat di jaringan virtual hub dengan penggunaan UDR.
Dengan Azure Virtual WAN, Anda dapat memiliki Azure Firewall atau NVA di dalam hub virtual untuk perutean terpusat. Anda dapat menggunakan Azure Firewall Manager atau niat perutean untuk memeriksa semua lalu lintas privat. Jika Anda ingin menyesuaikan inspeksi, Anda dapat memiliki Azure Firewall atau NVA di hub virtual untuk memeriksa lalu lintas yang diinginkan. Cara term mudah untuk mengarahkan lalu lintas di lingkungan Virtual WAN adalah dengan mengaktifkan niat perutean untuk lalu lintas privat. Fitur ini mendorong awalan alamat privat (RFC 1918) ke semua spoke yang terhubung ke hub. Setiap lalu lintas yang ditujukan ke alamat IP privat akan diarahkan ke hub virtual untuk diperiksa.
Setiap metode memiliki kelebihan dan kekurangannya. Keuntungan menggunakan niat perutean adalah penyederhanaan manajemen UDR, namun Anda tidak dapat menyesuaikan inspeksi per koneksi. Keuntungan dari tidak menggunakan niat perutean atau Firewall Manager adalah Anda dapat menyesuaikan inspeksi. Kerugiannya adalah Anda tidak dapat melakukan inspeksi lalu lintas antar-wilayah.
Diagram berikut menunjukkan lalu lintas timur-barat di dalam lingkungan Azure.
Untuk visibilitas ke lalu lintas jaringan Anda dalam Azure, Microsoft merekomendasikan implementasi Azure Firewall atau NVA di VNet Anda. Azure Firewall dapat memeriksa lalu lintas lapisan jaringan dan lapisan aplikasi. Selain itu, Azure Firewall menyediakan fitur tambahan seperti Intrusion Detection and Prevention System (IDPS), pemeriksaan Transport Layer Security (TLS), pemfilteran URL, dan pemfilteran Kategori Web.
Penyertaan Azure Firewall atau NVA di jaringan Azure Anda sangat penting untuk mematuhi prinsip Asumsikan pelanggaran Zero Trust untuk jaringan. Mengingat bahwa pelanggaran dapat bertranspirasi setiap kali data melintasi jaringan, penting untuk memahami dan mengontrol lalu lintas apa yang diizinkan untuk mencapai tujuannya. Azure Firewall, UDR, dan kelompok keamanan jaringan memainkan peran penting dalam mengaktifkan model lalu lintas yang aman dengan mengizinkan atau menolak lalu lintas di seluruh beban kerja.
Untuk melihat detail selengkapnya tentang arus lalu lintas VNet, Anda dapat mengaktifkan log alur VNet atau log alur NSG. Data log alur disimpan di akun Azure Storage tempat Anda dapat mengakses dan mengekspornya ke alat visualisasi, seperti Azure Traffic Analytics. Dengan Azure Traffic Analytics, Anda dapat menemukan lalu lintas yang tidak diketahui atau tidak diinginkan, memantau tingkat lalu lintas dan penggunaan bandwidth, atau memfilter lalu lintas tertentu untuk memahami perilaku aplikasi Anda.
Langkah 3: Menerapkan inspeksi lalu lintas utara-selatan
Lalu lintas utara-selatan biasanya mencakup lalu lintas antara jaringan privat dan Internet. Untuk memeriksa lalu lintas utara-selatan di topologi hub dan spoke, Anda dapat menggunakan UDR untuk mengarahkan lalu lintas ke instans Azure Firewall atau NVA. Untuk iklan dinamis, Anda dapat menggunakan Azure Route Server dengan NVA yang mendukung BGP untuk mengarahkan semua lalu lintas yang terikat Internet dari VNet ke NVA.
Di Azure Virtual WAN, untuk mengarahkan lalu lintas utara-selatan dari VNet ke Azure Firewall atau NVA yang didukung di hub virtual, Anda dapat menggunakan skenario umum ini:
- Gunakan NVA atau Azure Firewall di hub virtual yang dikontrol dengan Routing-Intent atau dengan Azure Firewall Manager untuk mengarahkan lalu lintas utara-selatan.
- Jika NVA Anda tidak didukung di dalam hub virtual, Anda dapat menyebarkannya di VNet spoke dan mengarahkan lalu lintas dengan UDR untuk diperiksa. Hal yang sama berlaku untuk Azure Firewall. Atau, Anda juga dapat melakukan peering BGP pada NVA dalam spoke dengan hub virtual untuk mengiklankan rute default (0.0.0.0/0).
Diagram berikut menunjukkan lalu lintas utara-selatan antara lingkungan Azure dan Internet.
Azure menyediakan layanan jaringan berikut yang dirancang untuk menawarkan visibilitas ke dalam lalu lintas jaringan yang memasuki dan keluar dari lingkungan Azure Anda.
Azure DDoS Protection
Azure DDoS Protection dapat diaktifkan pada VNet apa pun yang memiliki sumber daya IP publik untuk memantau dan mengurangi kemungkinan serangan Penolakan Layanan Terdistribusi (DDoS). Proses mitigasi ini melibatkan analisis pemanfaatan lalu lintas terhadap ambang yang telah ditentukan sebelumnya dalam kebijakan DDoS, diikuti dengan mencatat informasi ini untuk pemeriksaan lebih lanjut. Agar lebih siap untuk insiden di masa mendatang, Azure DDoS Protections menawarkan kemampuan untuk melakukan simulasi terhadap alamat dan layanan IP publik Anda, memberikan wawasan berharga tentang ketahanan dan respons aplikasi Anda selama serangan DDoS.
Azure Firewall
Azure Firewall menyediakan kumpulan alat untuk memantau, mengaudit, dan menganalisis lalu lintas jaringan.
Log dan metrik
Azure Firewall mengumpulkan log terperinci dengan mengintegrasikan dengan ruang kerja Azure Log Analytics. Anda dapat menggunakan kueri Bahasa Kueri Kusto (KQL) untuk mengekstrak informasi tambahan tentang kategori aturan utama, seperti aturan aplikasi dan jaringan. Anda juga dapat mengambil log yang spesifik sumber daya yang diperluas pada skema dan struktur dari tingkat jaringan ke inteligensi ancaman dan log IDPS. Untuk informasi selengkapnya, lihat Log terstruktur Azure Firewall.
Buku kerja
Azure Firewall menyediakan buku kerja yang menyajikan data yang dikumpulkan menggunakan grafik aktivitas dari waktu ke waktu. Alat ini juga membantu Anda memvisualisasikan beberapa sumber daya Azure Firewall dengan menggabungkannya ke dalam antarmuka terpadu. Untuk informasi selengkapnya, lihat Menggunakan Buku Kerja Azure Firewall.
Analitik kebijakan
Azure Firewall Policy Analytics memberikan gambaran umum tentang kebijakan yang Anda terapkan dan berdasarkan wawasan kebijakan, analitik aturan, dan analitik arus lalu lintas, kebijakan tersebut menyetel dan memodifikasi kebijakan yang diterapkan untuk menyesuaikan dengan pola dan ancaman lalu lintas. Untuk informasi selengkapnya, lihat Azure Firewall Policy Analytics.
Kemampuan ini memastikan bahwa Azure Firewall tetap menjadi solusi yang kuat untuk mengamankan lalu lintas jaringan dengan menyediakan alat yang diperlukan administrator untuk manajemen jaringan yang efektif.
Application Gateway
Application Gateway menyediakan kemampuan penting untuk memantau, mengaudit, dan menganalisis lalu lintas untuk tujuan keamanan. Dengan mengaktifkan analitik log dan menggunakan kueri KQL yang telah ditentukan atau kustom, Anda dapat melihat kode kesalahan HTTP, termasuk yang berada dalam rentang 4xx dan 5xx yang penting untuk mengidentifikasi masalah.
Log akses Application Gateway juga memberikan wawasan penting tentang parameter terkait keamanan utama seperti alamat IP klien, URI permintaan, versi HTTP, dan nilai konfigurasi khusus SSL/TLS seperti protokol, suite cipher TLS, dan kapan enkripsi SSL diaktifkan.
Azure Front Door
Azure Front Door menggunakan Anycast TCP untuk merutekan lalu lintas ke titik kehadiran pusat data (PoP) terdekat. Seperti load balancer konvensional, Anda dapat menempatkan Azure Firewall atau NVA di kumpulan ujung belakang Azure Front Door, juga dikenal sebagai asalnya. Satu-satunya persyaratan adalah bahwa alamat IP di asalnya bersifat publik.
Setelah Anda mengonfigurasi Azure Front Door untuk menerima permintaan, azure Front Door menghasilkan laporan lalu lintas untuk menunjukkan bagaimana profil Azure Front Door berperilaku. Saat Anda menggunakan tingkat Azure Front Door Premium, laporan keamanan juga tersedia untuk menampilkan kecocokan dengan aturan WAF, termasuk aturan Open Worldwide Application Security Project (OWASP), aturan perlindungan bot, dan aturan kustom.
Azure WAF
Azure WAF adalah fitur keamanan tambahan yang memeriksa lalu lintas lapisan 7 dan dapat diaktifkan untuk Application Gateway dan Azure Front Door dengan tingkat tertentu. Ini menyediakan lapisan keamanan tambahan untuk lalu lintas yang tidak berasal dari Azure. Anda dapat mengonfigurasi WAF dalam mode pencegahan dan deteksi menggunakan definisi aturan inti OWASP.
Alat pemantauan
Untuk pemantauan komprehensif arus lalu lintas utara-selatan, Anda dapat menggunakan alat seperti log alur NSG, Azure Traffic Analytics, dan log alur VNet untuk meningkatkan visibilitas ke dalam jaringan.
Pelatihan yang direkomendasikan
- Mengonfigurasi dan mengelola jaringan virtual untuk administrator Azure
- Pengantar Azure Web Application Firewall
- Pengantar Azure Virtual WAN
- Pengantar Azure Front Door
- Pengantar Azure Application Gateway
Langkah berikutnya
Untuk informasi tambahan tentang menerapkan Zero Trust ke jaringan Azure, lihat:
- Mengenkripsi komunikasi jaringan berbasis Azure
- Segment komunikasi jaringan berbasis Azure
- Menghentikan teknologi keamanan jaringan warisan
- Mengamankan jaringan dengan Zero Trust
- Jaringan virtual spoke di Azure
- Jaringan virtual hub di Azure
- Jaringan virtual spoke dengan layanan Azure PaaS
- Azure Virtual WAN
Referensi
Lihat tautan ini untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.
- Azure DDoS Protection
- Azure Firewall
- Azure Web Application Firewall
- Azure Virtual WAN
- Azure Application Gateway
- Rute yang ditentukan pengguna
- Azure Firewall Manager
- Log alur VNet
- Log alur NSG
- Azure Traffic Analytics
- Azure Route Server
- Log terstruktur Azure Firewall
- Menggunakan Buku Kerja Azure Firewall
- Azure Firewall Policy Analytics
- Azure Front Door