Menyebarkan Kelompok Keamanan Jaringan dengan menggunakan portal Azure
Kelompok Keamanan Jaringan memungkinkan Anda memfilter lalu lintas jaringan ke dan dari sumber daya Azure dalam jaringan virtual Azure. Kelompok keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas jaringan masuk ke, atau, lalu lintas jaringan keluar dari, beberapa jenis sumber daya Azure. Untuk setiap aturan, Anda dapat menentukan sumber dan tujuan, port, dan protokol.
Aturan keamanan NSG
Kelompok keamanan jaringan berisi nol, atau aturan sebanyak yang diinginkan, dalam batas langganan Azure. Setiap aturan menentukan properti berikut:
- Nama - Harus berupa nama yang unik dalam kelompok keamanan jaringan.
- Prioritas - Bisa berupa angka apa pun antara 100 dan 4096. Aturan diproses dalam urutan prioritas, dengan angka yang lebih rendah diproses sebelum angka yang lebih tinggi, karena angka yang lebih rendah memiliki prioritas yang lebih tinggi. Setelah lalu lintas cocok dengan aturan, pemrosesan dihentikan. Akibatnya, setiap aturan yang ada dengan prioritas yang lebih rendah (angka yang lebih tinggi) yang memiliki atribut sama seperti aturan dengan prioritas yang lebih tinggi, tidak diproses.
- Sumber atau tujuan - Dapat diatur ke Semua, atau setiap alamat IP, atau blok (10.0.0.0/24, for example) perutean antar-domain tanpa kelas (CIDR), tag layanan, atau kelompok keamanan aplikasi.
- Protokol - Bisa berupa TCP, UDP, ICMP, ESP, AH, atau Semua.
- Arah - Dapat dikonfigurasi untuk diterapkan ke lalu lintas masuk atau keluar.
- Rentang port - Dapat ditentukan sebagai port individu atau rentang port. Misalnya, Anda dapat menentukan 80 atau 10000-10005. Menentukan rentang memungkinkan Anda membuat lebih sedikit aturan keamanan.
- Tindakan - Dapat diatur ke Izinkan atau Tolak.
Firewall mengevaluasi aturan keamanan kelompok keamanan jaringan berdasarkan prioritas, menggunakan informasi 5 tuple (sumber, port sumber, tujuan, port tujuan, dan protokol) untuk mengizinkan atau menolak lalu lintas.
Aturan keamanan default
Azure membuat aturan default berikut ini di setiap kelompok keamanan jaringan yang Anda buat:
| Arah | Nama | Prioritas | Sumber | Port Sumber | Tujuan | Port Tujuan | Protokol | Access |
|---|---|---|---|---|---|---|---|---|
| Masuk | AllowVNetInBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Mana pun | Bolehkan |
| Masuk | AllowAzureLoadBalancerInBound |
65001 | AzureLoadBalancer |
0-65535 | 0.0.0.0/0 | 0-65535 | Mana pun | Bolehkan |
| Masuk | DenyAllInbound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Apa pun | Tolak |
| Keluar | AllowVnetOutBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Mana pun | Bolehkan |
| Keluar | AllowInternetOutBound |
65001 | 0.0.0.0/0 | 0-65535 | Internet |
0-65535 | Mana pun | Bolehkan |
| Keluar | DenyAllOutBound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Apa pun | Tolak |
Diagram dan poin peluru berikut mengilustrasikan skenario yang berbeda tentang bagaimana kelompok keamanan jaringan dapat disebarkan untuk memungkinkan lalu lintas jaringan ke dan dari internet melalui TCP port 80:
Untuk lalu lintas masuk Azure memproses aturan dalam grup keamanan jaringan yang terkait dengan subnet terlebih dahulu, jika ada, lalu aturan dalam grup keamanan jaringan yang terkait dengan antarmuka jaringan, jika ada.
- VM1:
Subnet1dikaitkan dengan NSG1, sehingga aturan keamanan diproses, dan VM1 berada diSubnet1. Kecuali Anda membuat aturan yang memungkinkan port 80 masuk,DenyAllInboundaturan keamanan default menolak lalu lintas, dan tidak pernah dievaluasi oleh NSG2, karena NSG2 dikaitkan dengan antarmuka jaringan. Jika NSG1 memiliki aturan keamanan yang memungkinkan port 80, NSG2 kemudian memproses lalu lintas. Untuk memungkinkan port 80 ke komputer virtual, NSG1 dan NSG2 harus memiliki aturan yang memungkinkan port 80 dari internet. - VM2: Aturan di NSG1 diproses karena VM2 juga berada di
Subnet1. Karena VM2 tidak memiliki grup keamanan jaringan yang terkait dengan antarmuka jaringannya, VM2 menerima semua lalu lintas yang diizinkan melalui NSG1 atau ditolak semua lalu lintas yang ditolak oleh NSG1. Lalu lintas diperbolehkan atau ditolak masuk ke semua sumber daya dalam subnet yang sama ketika kelompok keamanan jaringan dikaitkan dengan subnet. - VM3: Karena tidak ada kelompok keamanan jaringan yang terkait
Subnet2dengan , lalu lintas diizinkan ke subnet dan diproses oleh NSG2, karena NSG2 dikaitkan dengan antarmuka jaringan yang melekat pada VM3. - VM4: Lalu lintas diizinkan ke VM4, karena grup keamanan jaringan tidak terkait dengan
Subnet3, atau antarmuka jaringan di komputer virtual. Semua lalu lintas jaringan diperbolehkan melalui subnet dan antarmuka jaringan jika mereka tidak memiliki kelompok keamanan jaringan terkait.
Untuk lalu lintas keluar, Azure memproses aturan dalam grup keamanan jaringan yang terkait dengan antarmuka jaringan terlebih dahulu, jika ada, lalu aturan dalam kelompok keamanan jaringan yang terkait dengan subnet, jika ada.
- VM1: Aturan keamanan di NSG2 diproses. Kecuali Anda membuat aturan keamanan yang menolak port 80 keluar ke internet, aturan keamanan default AllowInternetOutbound memungkinkan lalu lintas di NSG1 dan NSG2. Jika NSG2 memiliki aturan keamanan yang menolak port 80, lalu lintas ditolak, dan NSG1 tidak pernah mengevaluasinya. Untuk menolak port 80 dari komputer virtual, baik salah satu maupun kedua kelompok keamanan jaringan, harus memiliki aturan yang menyangkal port 80 ke internet.
- VM2: Semua lalu lintas dikirim melalui antarmuka jaringan ke subnet, karena antarmuka jaringan yang melekat pada VM2 tidak memiliki kelompok keamanan jaringan yang terkait dengannya. Aturan di NSG1 diproses.
- VM3: Jika NSG2 memiliki aturan keamanan yang menolak port 80, lalu lintas akan ditolak. Jika NSG2 memiliki aturan keamanan yang memungkinkan port 80, maka port 80 diizinkan keluar ke internet, karena kelompok keamanan jaringan tidak terkait dengan
Subnet2. - VM4: Semua lalu lintas jaringan diizinkan dari VM4, karena grup keamanan jaringan tidak terkait dengan antarmuka jaringan yang melekat pada komputer virtual, atau ke
Subnet3.
Kelompok Keamanan Aplikasi
Kelompok Keamanan Aplikasi (ASG) memungkinkan Anda mengonfigurasi keamanan jaringan sebagai ekstensi asli dari struktur aplikasi, yang mengizinkan Anda mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut. Anda dapat menggunakan kembali kebijakan keamanan Anda dengan skala tanpa pemeliharaan manual alamat IP eksplisit. Platform ini menangani kompleksitas alamat IP eksplisit dan beberapa set aturan, sehingga memungkinkan Anda untuk fokus pada logika bisnis Anda.
Untuk meminimalkan jumlah aturan keamanan yang Anda butuhkan, dan kebutuhan untuk mengubah aturan, rencanakan kelompok keamanan aplikasi yang Anda butuhkan dan buat aturan menggunakan tag layanan atau kelompok keamanan aplikasi, bukan alamat IP tersendiri, atau rentang alamat IP, jika memungkinkan.
Memfilter lalu lintas jaringan dengan NSG menggunakan portal Azure
Anda bisa menggunakan kelompok keamanan jaringan untuk memfilter lalu lintas jaringan yang masuk dan keluar dari subnet jaringan virtual. Kelompok keamanan jaringan berisi aturan keamanan yang memfilter lalu lintas jaringan menurut alamat IP, port, dan protokol. Aturan keamanan diterapkan pada sumber daya yang diterapkan dalam subnet.
Tahapan utama untuk memfilter lalu lintas jaringan dengan NSG menggunakan portal Azure meliputi:
- Buat grup sumber daya - ini dapat dilakukan sebelumnya atau saat Anda membuat jaringan virtual di tahap berikutnya. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama yang ditentukan di sini.
- Buat jaringan virtual - ini harus disebarkan dalam grup sumber daya yang sama dengan yang Anda buat sebelumnya.
- Membuat grup keamanan aplikasi - grup keamanan aplikasi yang Anda buat di sini memungkinkan Anda mengelompokkan server bersama dengan fungsi serupa, seperti server web atau server manajemen. Anda akan membuat dua kelompok keamanan aplikasi di sini; satu untuk server web dan satu untuk server pengelolaan (misalnya, MyAsgWebServers and MyAsgMgmtServers)
- Buat grup keamanan jaringan - kelompok keamanan jaringan mengamankan lalu lintas jaringan di jaringan virtual Anda. NSG ini akan dikaitkan dengan subnet pada tahap berikutnya.
- Kaitkan grup keamanan jaringan dengan subnet - di sinilah Anda mengaitkan grup keamanan jaringan yang Anda buat sebelumnya, dengan subnet jaringan virtual yang Anda buat pada tahap 2 di atas.
- Buat aturan keamanan - dalam tahap ini, Anda akan membuat aturan keamanan masuk. Di sini, Anda akan membuat aturan keamanan untuk mengizinkan port 80 dan 443 ke kelompok keamanan aplikasi untuk server web Anda (misalnya, MyAsgWebServers). Kemudian, Anda akan membuat aturan keamanan lain untuk mengizinkan lalu lintas RDP di port 3389 ke kelompok keamanan aplikasi untuk server pengelolaan Anda (misalnya, MyAsgMgmtServers). Aturan ini mengontrol dari mana Anda dapat mengakses VM Anda dari jarak jauh dan Server Web IIS Anda.
- Buat komputer virtual - di sinilah Anda membuat server web (misalnya, MyVMWeb) dan server manajemen (misalnya, MyVMMgmt) komputer virtual yang akan dikaitkan dengan kelompok keamanan aplikasi masing-masing di tahap berikutnya.
- Kaitkan NIC ke ASG - dalam tahap ini, Anda akan mengaitkan kartu antarmuka jaringan (NIC) yang dipasang ke setiap komputer virtual dengan kelompok keamanan aplikasi terkait yang Anda buat pada tahap 3 di atas.
- Uji filter lalu lintas - ini adalah tahap akhir Anda menguji bahwa pemfilteran lalu lintas berfungsi sesuai keinginan.
- Untuk mengujinya, Anda akan mencoba terhubung ke komputer virtual server pengelolaan (misalnya, MyVMMgmt) menggunakan koneksi RDP, jadi pastikan Anda dapat terhubung karena port 3389 mengizinkan koneksi masuk dari Internet ke kelompok keamanan aplikasi server pengelolaan (misalnya, MyAsgMgmtServers).
- Saat terhubung ke sesi RDP di server pengelolaan (misalnya, MyVMMgmt), Anda kemudian akan menguji koneksi RDP dari komputer virtual server pengelolaan (misalnya, MyVMMgmt) ke komputer virtual server web (misalnya, MyVMWeb), yang juga harus berhasil karena komputer virtual di jaringan yang sama dapat berkomunikasi dengan masing-masing melalui port apa pun secara default.
- Namun, Anda tidak akan dapat membuat koneksi RDP ke komputer virtual server web (misalnya, MyVMWeb) dari internet, karena aturan keamanan untuk grup keamanan aplikasi server web (misalnya, MyAsgWebServers) mencegah koneksi ke port 3389 masuk dari Internet. Lalu lintas masuk dari Internet ditolak oleh semua sumber daya secara default.
- Saat terhubung ke sesi RDP di server web (misalnya, MyVMWeb), Anda kemudian dapat memasang IIS di server web, kemudian memutuskan koneksi dari sesi RDP komputer virtual server web, dan memutuskan koneksi dari sesi RDP komputer virtual server pengelolaan. Di portal Azure, Anda kemudian akan menentukan alamat IP Publik dari mesin virtual server web (misalnya, MyVMWeb), dan mengonfirmasi bahwa Anda dapat mengakses mesin virtual server web dari Internet dengan membuka browser web di komputer Anda dan menavigasi ke http:// (misalnya, http://23.96.39.113) . Anda akan melihat layar pembuka IIS standar, karena port 80 mengizinkan akses masuk dari Internet ke grup keamanan aplikasi server web (misalnya, MyAsgWebServers). Antarmuka jaringan yang dipasang pada komputer virtual server web (misalnya, MyVMWeb) dikaitkan dengan kelompok keamanan aplikasi server web (misalnya, MyAsgWebServers), sehingga mengizinkan koneksi.
Untuk melihat langkah-langkah mendetail untuk semua tugas ini, lihat Tutorial: Memfilter lalu lintas jaringan dengan kelompok keamanan jaringan menggunakan portal Azure.