Mengamankan jaringan dengan Zero Trust

Big data menyajikan peluang baru untuk mendapatkan wawasan baru dan mendapatkan keunggulan kompetitif. Kami menjauh dari era di mana jaringan didefinisikan dengan jelas dan biasanya spesifik untuk lokasi tertentu. Cloud, perangkat seluler, dan titik akhir lainnya memperluas batas dan mengubah paradigma. Sekarang belum tentu ada jaringan yang terkandung/ditentukan untuk diamankan. Sebaliknya, ada portofolio perangkat dan jaringan yang luas, semuanya ditautkan oleh cloud.

Alih-alih mempercayai segala sesuatu di belakang firewall perusahaan aman, strategi Zero Trust end-to-end mengasumsikan pelanggaran tidak dapat dihindari. Itu berarti Anda harus memverifikasi setiap permintaan seolah-olah berasal dari jaringan yang tidak terkontrol—manajemen identitas memainkan peran penting dalam hal ini.

Dalam model Zero Trust, ada tiga tujuan utama dalam hal mengamankan jaringan Anda:

• Bersiaplah untuk menangani serangan sebelum terjadi.

• Minimalkan tingkat kerusakan dan seberapa cepat menyebar.

• Tingkatkan kesulitan mengorbankan jejak cloud Anda.

Untuk meluaskan hal ini, kita mengikuti tiga prinsip Zero Trust:

• Memverifikasi secara eksplisit. Selalu melakukan autentikasi dan otorisasi berdasarkan poin data yang tersedia, termasuk identitas pengguna, lokasi, perangkat, layanan atau beban kerja, klasifikasi data, dan anomali.

• Gunakan akses yang paling tidak istimewa. Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data untuk melindungi data dan produktivitas.

• Menganggap pelanggaran. Minimalkan radius dampak pelanggaran dan cegah gerakan lateral dengan mengelompokkan akses berdasarkan jaringan, pengguna, perangkat, dan kesadaran aplikasi. Verifikasi semua sesi dienkripsi dari ujung ke ujung. Gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.

Tujuan penyebaran Zero Trust jaringan

Sebelum sebagian besar organisasi memulai perjalanan Zero Trust mereka, mereka memiliki keamanan jaringan yang ditandai dengan yang berikut ini:

• Beberapa perimeter keamanan jaringan dan jaringan datar terbuka.

• Perlindungan ancaman minimal dan pemfilteran lalu lintas statis.

• Lalu lintas internal yang tidak terenkripsi.

Saat menerapkan kerangka kerja Zero Trust end-to-end untuk mengamankan jaringan, kami sarankan Anda fokus terlebih dahulu pada tujuan penyebaran awal ini:
	Segmentasi I.Network: Banyak perimeter mikro cloud masuk/keluar dengan beberapa segmentasi mikro. II.Perlindungan ancaman: Pemfilteran dan perlindungan asli cloud untuk ancaman yang diketahui. III.Enkripsi: Lalu lintas internal pengguna-ke-aplikasi dienkripsi.
Setelah ini selesai, fokus pada tujuan penyebaran tambahan ini:
	IV.Segmentasi jaringan: Perimeter mikro cloud masuk/keluar yang sepenuhnya terdistribusi dan segmentasi mikro yang lebih dalam. Perlindungan V.Threat: Perlindungan dan pemfilteran ancaman berbasis pembelajaran mesin dengan sinyal berbasis konteks. VI.Enkripsi: Semua lalu lintas dienkripsi. VII.Menghentikan teknologi keamanan jaringan warisan.

Panduan penyebaran Zero Trust jaringan

Panduan ini akan memandu Anda melalui langkah-langkah yang diperlukan untuk mengamankan jaringan Anda mengikuti prinsip-prinsip kerangka kerja keamanan Zero Trust.

Tujuan penyebaran awal

i. Segmentasi jaringan: Banyak perimeter mikro cloud masuk/keluar dengan beberapa segmentasi mikro

Organisasi seharusnya tidak hanya memiliki satu pipa besar tunggal masuk dan keluar dari jaringan mereka. Dalam pendekatan Zero Trust, jaringan malah disegmentasi ke pulau-pulau yang lebih kecil tempat beban kerja tertentu berada. Setiap segmen memiliki kontrol masuk dan keluar sendiri untuk meminimalkan "radius ledakan" akses tidak sah ke data. Dengan menerapkan perimeter yang ditentukan perangkat lunak dengan kontrol terperinci, Anda meningkatkan kesulitan bagi aktor yang tidak sah untuk menyebar ke seluruh jaringan Anda, sehingga mengurangi pergerakan ancaman lateral.

Tidak ada desain arsitektur yang sesuai dengan kebutuhan semua organisasi. Anda memiliki opsi antara beberapa pola desain umum untuk segmentasi jaringan Anda sesuai dengan model Zero Trust.

Dalam panduan penyebaran ini, kami akan memandu Anda melalui langkah-langkah untuk mencapai salah satu desain tersebut: Segmentasi mikro.

Dengan segmentasi mikro, organisasi dapat melampaui perimeter berbasis jaringan terpusat sederhana ke segmentasi komprehensif dan terdistribusi menggunakan perimeter mikro yang ditentukan perangkat lunak.

Aplikasi dipartisi ke Azure Virtual Network (VNet) yang berbeda dan terhubung menggunakan model hub-spoke

Ikuti langkah-langkah berikut:

1. Buat jaringan virtual khusus untuk aplikasi dan/atau komponen aplikasi yang berbeda.

2. Buat VNet pusat untuk menyiapkan postur keamanan untuk konektivitas antar-aplikasi dan menghubungkan VNet aplikasi dalam arsitektur hub-and-spoke.

3. Sebarkan Azure Firewall di VNet hub untuk memeriksa dan mengatur lalu lintas antara VNet.

II. Perlindungan ancaman: Pemfilteran dan perlindungan asli cloud untuk ancaman yang diketahui

Aplikasi cloud yang telah membuka titik akhir ke lingkungan eksternal, seperti internet atau jejak lokal Anda, berisiko terkena serangan yang masuk dari lingkungan tersebut. Oleh karena itu, sangat penting bahwa Anda memindai lalu lintas untuk payload atau logika berbahaya.

Jenis ancaman ini termasuk dalam dua kategori luas:

• Serangan yang diketahui. Ancaman yang telah ditemukan oleh penyedia perangkat lunak Anda atau komunitas yang lebih besar. Dalam kasus seperti itu, tanda tangan serangan tersedia dan Anda perlu memastikan bahwa setiap permintaan diperiksa terhadap tanda tangan tersebut. Kuncinya adalah dapat dengan cepat memperbarui mesin deteksi Anda dengan serangan yang baru diidentifikasi.

• Serangan tak dikenal. Ini adalah ancaman yang tidak cukup cocok dengan tanda tangan yang diketahui. Jenis ancaman ini termasuk kerentanan nol hari dan pola yang tidak biasa dalam lalu lintas permintaan. Kemampuan untuk mendeteksi serangan tersebut tergantung pada seberapa baik pertahanan Anda tahu apa yang normal dan apa yang tidak. Pertahanan Anda harus terus mempelajari dan memperbarui pola seperti bisnis Anda (dan lalu lintas terkait) berkembang.

Ambil langkah-langkah ini untuk melindungi dari ancaman yang diketahui:

1. Untuk titik akhir dengan lalu lintas HTTP/S, lindungi menggunakan Azure Web Application Firewall (WAF) dengan:

   1. Mengaktifkan set aturan default atau 10 aturan perlindungan teratas OWASP untuk melindungi dari serangan lapisan web yang diketahui

   2. Mengaktifkan set aturan perlindungan bot untuk mencegah bot berbahaya mengikis informasi, melakukan pengisian kredensial, dll.

   3. Menambahkan aturan kustom untuk melindungi dari ancaman khusus untuk bisnis Anda.

   Anda dapat menggunakan salah satu dari dua opsi:

   • Azure Front Door

     1. Buat kebijakan Web Application Firewall di Azure Front Door.

     2. Mengonfigurasi perlindungan bot untuk Web Application Firewall.

     3. Aturan kustom untuk Web Application Firewall.

   • Azure Application Gateway

     1. Buat gateway aplikasi dengan Web Application Firewall.

     2. Mengonfigurasi perlindungan bot untuk Web Application Firewall.

     3. Buat dan gunakan aturan kustom Web Application Firewall v2..

2. Untuk semua titik akhir (HTTP atau tidak), depan dengan Azure Firewall untuk pemfilteran berbasis inteligensi ancaman di Lapisan 4:

   1. Menyebarkan dan mengonfigurasi Azure Firewall menggunakan portal Azure.

   2. Aktifkan pemfilteran berbasis inteligensi ancaman untuk lalu lintas Anda.

   Tip

   Pelajari tentang menerapkan strategi Zero Trust end-to-end untuk titik akhir.

III. Enkripsi: Lalu lintas internal pengguna-ke-aplikasi dienkripsi

Tujuan awal ketiga yang harus difokuskan adalah menambahkan enkripsi untuk memastikan lalu lintas internal pengguna-ke-aplikasi dienkripsi.

Ikuti langkah-langkah berikut:

1. Terapkan komunikasi khusus HTTPS untuk aplikasi web yang terhubung ke internet Anda dengan mengalihkan lalu lintas HTTP ke HTTPS menggunakan Azure Front Door.

2. Hubungkan karyawan/mitra jarak jauh ke Microsoft Azure menggunakan azure VPN Gateway.

   1. Aktifkan enkripsi untuk lalu lintas titik-ke-situs apa pun di layanan azure VPN Gateway.

3. Akses komputer virtual Azure Anda dengan aman menggunakan komunikasi terenkripsi melalui Azure Bastion.

   1. Sambungkan menggunakan SSH ke komputer virtual Linux.

   2. Sambungkan menggunakan RDP ke komputer virtual Windows.

Tip

Pelajari tentang menerapkan strategi Zero Trust end-to-end untuk aplikasi.

Tujuan penyebaran tambahan

IV. Segmentasi jaringan: Perimeter mikro cloud masuk/keluar yang sepenuhnya terdistribusi dan segmentasi mikro yang lebih dalam

Setelah Anda mencapai tiga tujuan awal, langkah selanjutnya adalah menyegmentasikan jaringan Anda lebih lanjut.

Komponen aplikasi partisi ke subnet yang berbeda

Ikuti langkah-langkah berikut:

1. Dalam VNet, tambahkan subnet jaringan virtual sehingga komponen diskrit aplikasi dapat memiliki perimeternya sendiri.

2. Terapkan aturan grup keamanan jaringan untuk mengizinkan lalu lintas hanya dari subnet yang memiliki subkomponen aplikasi yang diidentifikasi sebagai mitra komunikasi yang sah.

Segmentasikan dan terapkan batas eksternal

Ikuti langkah-langkah ini, tergantung pada jenis batas:

Batas internet

1. Jika konektivitas internet diperlukan untuk aplikasi Anda yang perlu dirutekan melalui VNet hub, perbarui aturan grup keamanan jaringan di VNet hub untuk memungkinkan konektivitas internet.

2. Aktifkan Azure DDoS Protection Standard untuk melindungi VNet hub dari serangan lapisan jaringan volumetrik.

3. Jika aplikasi Anda menggunakan protokol HTTP/S, aktifkan Azure Web Application Firewall untuk melindungi dari ancaman Lapisan 7.

Batas lokal

1. Jika aplikasi Anda memerlukan konektivitas ke pusat data lokal Anda, gunakan Azure ExpressRoute dari Azure VPN untuk konektivitas ke VNet hub Anda.

2. Konfigurasikan Azure Firewall di VNet hub untuk memeriksa dan mengatur lalu lintas.

Batas layanan PaaS

• Saat menggunakan layanan PaaS yang disediakan Azure (misalnya, Azure Storage, Azure Cosmos DB, atau Azure Web App, gunakan opsi konektivitas PrivateLink untuk memastikan semua pertukaran data melalui ruang IP privat dan lalu lintas tidak pernah meninggalkan jaringan Microsoft.

Tip

Pelajari tentang menerapkan strategi Zero Trust end-to-end untuk data.

V. Perlindungan ancaman: Perlindungan dan pemfilteran ancaman berbasis pembelajaran mesin dengan sinyal berbasis konteks

Untuk perlindungan ancaman lebih lanjut, aktifkan Azure DDoS Protection Standard untuk terus memantau lalu lintas aplikasi yang dihosting Azure Anda, gunakan kerangka kerja berbasis ML untuk mendasarkan dan mendeteksi banjir lalu lintas volumetrik, dan menerapkan mitigasi otomatis.

Ikuti langkah-langkah berikut:

1. Mengonfigurasi dan mengelola Standar Azure DDoS Protection.

2. Mengonfigurasi pemberitahuan untuk metrik perlindungan DDoS.

VI. Enkripsi: Semua lalu lintas dienkripsi

Terakhir, selesaikan perlindungan jaringan Anda dengan memastikan bahwa semua lalu lintas dienkripsi.

Ikuti langkah-langkah berikut:

1. Mengenkripsi lalu lintas backend aplikasi antar jaringan virtual.

2. Mengenkripsi lalu lintas antara lokal dan cloud:

   1. Mengonfigurasi VPN situs-ke-situs melalui peering Microsoft ExpressRoute.

   2. Konfigurasikan mode transportasi IPsec untuk peering privat ExpressRoute.

VII. Menghentikan teknologi keamanan jaringan warisan

Menghentikan penggunaan Sistem Network Intrusion Detection/Network Intrusion Prevention (NIDS/NIPS) berbasis tanda tangan dan Network Data Leakage/Loss Prevention (DLP).

Penyedia layanan cloud utama sudah memfilter paket cacat dan serangan lapisan jaringan umum, sehingga tidak perlu solusi NIDS/NIPS untuk mendeteksinya. Selain itu, solusi NIDS/NIPS tradisional biasanya didorong oleh pendekatan berbasis tanda tangan (yang dianggap kedaluarsa) dan mudah dihindarkan oleh penyerang dan biasanya menghasilkan tingkat positif palsu yang tinggi.

DLP berbasis jaringan menurun efektif dalam mengidentifikasi kehilangan data yang tidak disengaja dan disengaja. Alasannya adalah bahwa sebagian besar protokol dan penyerang modern menggunakan enkripsi tingkat jaringan untuk komunikasi masuk dan keluar. Satu-satunya solusi yang layak untuk ini adalah "SSL-bridging" yang menyediakan "man-in-the-middle resmi" yang berakhir dan kemudian membangun kembali koneksi jaringan terenkripsi. Pendekatan SSL-bridging telah tidak mendukung karena tingkat kepercayaan yang diperlukan untuk mitra yang menjalankan solusi dan teknologi yang sedang digunakan.

Berdasarkan alasan ini, kami menawarkan rekomendasi all-up bahwa Anda menghentikan penggunaan teknologi keamanan jaringan warisan ini. Namun, jika pengalaman organisasi Anda adalah bahwa teknologi ini memiliki dampak yang dapat ditembus pada pencegahan dan deteksi serangan nyata, Anda dapat mempertimbangkan untuk memindahkannya ke lingkungan cloud Anda.

Produk yang tercakup dalam panduan ini

Microsoft Azure

Jaringan Azure

Jaringan Virtual dan Subnet

Kelompok Keamanan Jaringan dan Kelompok Keamanan Aplikasi

Azure Firewall

Azure DDoS Protection

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Kesimpulan

Mengamankan jaringan adalah pusat strategi Zero Trust yang sukses. Untuk informasi lebih lanjut atau bantuan terkait implementasi, silakan hubungi tim Customer Success Anda atau lanjutkan membaca bab lain dari panduan ini, yang mencakup semua pilar Zero Trust.

Seri panduan penyebaran Zero Trust