Bagikan melalui

Isolasi jaringan (Inisiatif Masa Depan Aman)

Nama pilar: Melindungi jaringan
Nama pola: Isolasi jaringan

Konteks dan masalah

Pelaku ancaman modern mengeksploitasi batas jaringan yang lemah untuk bergerak secara lateral dan meningkatkan hak istimewa. Jalur serangan umum termasuk kredensial yang dicuri, penyalahgunaan protokol, dan pemutaran ulang token. Setelah masuk, pelawan sering mengeksploitasi segmentasi yang buruk, izin yang terlalu permisif, atau infrastruktur bersama untuk mengakses beban kerja sensitif.  

Jaringan datar tradisional menyulitkan penerapan akses Hak Istimewa Terkecil dan sering kali membuat sumber daya dapat dijangkau secara luas. Tanpa isolasi yang jelas, ancaman internal dan eksternal dapat dengan cepat membahayakan beberapa sistem. Tantangannya adalah menstandarkan segmentasi jaringan, memberlakukan perimeter, dan memastikan arus lalu lintas dikontrol secara ketat untuk mencegah gerakan lateral dan mengandung pelanggaran.

Solusi

Isolasi jaringan mengamankan jaringan dengan membagi dan mengisolasi jaringan menjadi segmen serta mengontrol akses jaringan ke segmen-segmen tersebut. Ini menggabungkan solusi keamanan jaringan berbasis identitas dan peningkatan dalam kemampuan visibilitas, pemantauan, dan deteksi. Praktik inti meliputi:

  • Segmentasi jaringan dan perimeter yang ditentukan perangkat lunak: Asumsikan Pelanggaran dan batasi pergerakan lateral dengan partisi jaringan dan akses dinamis berbasis risiko. Terapkan Hak Istimewa Minimum dengan akses yang dibatasi dan Verifikasi Secara Tegas dengan kontrol akses berbasis identitas.

  • SASE dan ZTNA: Gunakan arsitektur Secure Access Service Edge (SASE) dan Zero Trust Network Access (ZTNA) untuk mengintegrasikan keamanan dan jaringan. Sejajarkan prinsip Zero Trust dengan memberikan dan membatasi akses berdasarkan konteks, identitas, dan kontrol akses bersyariah.

  • Enkripsi dan komunikasi: Asumsikan Pelanggaran dengan melindungi data dalam transit dan membatasi risiko perusakan data dengan enkripsi dan komunikasi modern yang kuat, dan pemblokiran protokol yang lemah.

  • Visibilitas dan deteksi ancaman: Asumsikan Pelanggaran dengan visibilitas dan pemantauan berkelanjutan serta pencatatan aktivitas jaringan. Menerapkan Hak Istimewa Terkecil dan Verifikasi Secara Eksplisit dengan kontrol akses dan deteksi ancaman untuk menemukan dan memunculkan anomali. Terapkan Zero Trust dengan mengotomatiskan penyebaran, manajemen, dan alokasi sumber daya dan kontrol jaringan dalam skala besar. Tanpa otomatisasi, penundaan, inkonsistensi, dan celah dapat dengan cepat muncul.

  • Kontrol berbasis kebijakan: Verifikasi Secara Eksplisit dan terapkan Hak Istimewa Terkecil dengan kontrol kebijakan akses bersyarat yang terperinci dan adaptif berpusat pada identitas. Asumsikan Pelanggaran dengan menolak akses secara default, dan terus mengevaluasi kembali risiko.

  • Keamanan jaringan cloud dan hibrid: Asumsikan Pelanggaran dan Verifikasi Secara Eksplisit di lingkungan multicloud dan hibrid dengan mengisolasi beban kerja cloud ke dalam perimeter mikro yang dilindungi, dan dengan menggunakan proksi sadar identitas dan solusi Cloud Security Access Broker (CASB) untuk aplikasi SaaS dan PaaS. Terapkan prinsip Zero Trust dengan kebijakan keamanan terpadu di seluruh cloud dan lokal, mekanisme koneksi hibrid yang aman, peningkatan postur keamanan cloud/hibrid, dan pemantauan keamanan terpusat.

Bimbingan

Organisasi dapat mengadopsi pola serupa menggunakan praktik yang dapat ditindaklanjuti berikut:

Skenario penggunaan Tindakan yang direkomendasikan Sumber Daya
Segmentasi mikro
  • Gunakan kelompok keamanan jaringan (NSG) dan ACL untuk menerapkan akses hak istimewa minimum antara beban kerja.
 Gambaran umum grup keamanan jaringan Azure
Mengisolasi jaringan virtual
  • Menggunakan alat seperti Microsoft Defender Vulnerability Management untuk memindai sistem dan memprioritaskan CVE
 Mengisolasi VNet - Jaringan Virtual Azure
Perlindungan perimeter untuk sumber daya PaaS
  • Gunakan akses aman Azure Network Security ke layanan seperti Storage, SQL, dan Key Vault.
 Apa itu perimeter keamanan jaringan
Mengamankan konektivitas ke komputer virtual
  • Gunakan Azure Bastion untuk membangun konektivitas RDP/SSH yang aman ke komputer virtual tanpa mengekspos sumber daya ke internet.
 Tentang Azure Bastion
Membatasi akses virtual keluar jaringan
  • Hapus akses internet ke luar yang bersifat default dan terapkan prinsip hak istimewa paling sedikit untuk egres layanan.
 Akses Keluar Default di Azure - Azure Virtual Network
Pertahanan perimeter berlapis
  • Terapkan firewall, tag layanan, NSG, dan perlindungan DDoS untuk memberlakukan keamanan multi-lapisan.
 Gambaran Umum Azure DDoS Protection
Manajemen kebijakan terpusat
  • Gunakan Azure Virtual Network Manager dengan aturan admin keamanan untuk mengelola kebijakan isolasi jaringan secara terpusat.
 Aturan admin keamanan di Azure Virtual Network Manager

Hasil

Keuntungan

  • Ketahanan: Membatasi radius ledakan gangguan.  
  • Skalabilitas: Isolasi jaringan standar mendukung lingkungan skala perusahaan.  
  • Visibilitas: Penandaan dan pemantauan layanan memberikan atribusi arus lalu lintas yang lebih jelas.  
  • Penyelarasan peraturan: Mendukung kepatuhan terhadap kerangka kerja yang memerlukan pemisahan sumber daya sensitif yang ketat.  

Trade-offs

  • Overhead operasional: Merancang dan memelihara jaringan tersegmentasi memerlukan perencanaan dan pembaruan yang sedang berlangsung.
  • Kompleksitas: Lebih banyak segmentasi dapat memperkenalkan lapisan manajemen tambahan dan memerlukan otomatisasi untuk menskalakan.  
  • Pertimbangan performa: Beberapa langkah isolasi dapat sedikit meningkatkan latensi.  

Faktor keberhasilan utama

Untuk melacak keberhasilan, ukur hal berikut:

  • Jumlah beban kerja yang disebarkan di jaringan virtual terisolasi tanpa paparan internet langsung.  
  • Persentase layanan yang diatur oleh aturan admin keamanan terpusat.  
  • Pengurangan jalur gerakan lateral yang diidentifikasi selama pengujian tim merah.  
  • Kepatuhan terhadap kebijakan dengan hak istimewa paling sedikit di seluruh lingkungan.  
  • Waktu untuk mendeteksi dan memulihkan aktivitas jaringan anomali.  

Ringkasan

Isolasi jaringan adalah strategi dasar untuk mencegah gerakan lateral dan melindungi beban kerja sensitif. Dengan mensegmentasi sumber daya, memberlakukan perimeter, dan menerapkan pertahanan berlapis, organisasi mengurangi permukaan serangan mereka dan membangun ketahanan terhadap musuh modern.

Mengisolasi jaringan tidak lagi opsional--- adalah kontrol yang diperlukan untuk melindungi lingkungan cloud dan hibrid. Tujuan isolasi Jaringan menyediakan kerangka kerja yang jelas untuk mengurangi gerakan lateral, menyelaraskan dengan Zero Trust, dan melindungi lingkungan skala perusahaan.  

Selain itu, semua aktivitas jaringan, identitas, dan perangkat harus terus dipantau. Pusatkan pengelogan dan korelasikan pemberitahuan keamanan menggunakan solusi deteksi dan respons yang diperluas (XDR) dan alat SIEM untuk mendeteksi anomali dan ancaman secara efektif. Deteksi gabungan menggunakan analitik perilaku, inspeksi paket mendalam, dan tanggapan ancaman otomatis untuk cepat mengendalikan aktivitas mencurigakan, serta mendukung penanganan insiden yang efisien.

Evaluasi topologi jaringan Anda saat ini dan terapkan kontrol segmentasi dan perimeter untuk menyelaraskan dengan tujuan isolasi jaringan.

  • Last updated on