Menerapkan hardening jaringan adaptif
Saat merencanakan implementasi NSG di Contoso, Anda harus tahu betul NSG mana yang paling baik dalam mengamankan beban kerja Microsoft Azure Anda.
Untuk mencapai tujuan ini, Anda dapat menggunakan Hardening Jaringan Adaptif. Hardening Jaringan Adaptif mempelajari pola lalu lintas jaringan di infrastruktur Anda ke dan dari beban kerja Azure Anda. Lalu, fitur ini membuat rekomendasi untuk NSG yang dapat membantu mengamankan beban kerja tersebut.
Cara kerjanya
Hardening Jaringan Adaptif menggunakan pembelajaran mesin untuk memberikan rekomendasi untuk memungkinkan lalu lintas hanya dari alamat IP atau port tertentu. Saat merumuskan rekomendasi, fitur ini mempertimbangkan:
- Lalu lintas jaringan yang sebenarnya
- Informasi konfigurasi tepercaya yang diketahui
- Inteligensi ancaman
- Indikator lain
Misalnya, misalkan pihak TI Contoso memiliki aplikasi yang memerlukan port TCP 22 untuk akses jaringan. Lalu lintas aplikasi ini untuk Port 22 ini diizinkan melalui penggunaan NSG dari alamat di kisaran 140.20.30.10/24. Setelah analisis, Hardening Jaringan Adaptif mendapati bahwa lalu lintas hanya berasal dari subkumpulan IP yang lebih kecil di departemen Penjualan Contoso. Fitur ini merekomendasikan bahwa aturan harus diperbarui untuk mempersempit rentang IP ke 140.23.30.10/29, rentang untuk komputer di kantor Penjualan cabang London, dan menolak semua lalu lintas lainnya.
Catatan
Rekomendasi Hardening Jaringan Adaptif hanya didukung pada port tertentu berikut (untuk TCP dan UDP): 13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215
Meninjau pemberitahuan dan aturan Hardening Jaringan Adaptif
Anda meninjau rekomendasi Hardening Jaringan Adaptif di panel Hardening Jaringan Adaptif dalam portal Microsoft Azure. Untuk meninjau rekomendasi, di Adaptive Network Hardening, pilih Security Center, lalu di bawah KEBERSIHAN KEAMANAN SUMBER DAYA, pilih Jaringan. Di panel Jaringan, pada tab Ringkasan, Anda dapat meninjau rekomendasi.
Saat Anda memilih Hardening Jaringan Adaptif di portal Microsoft Azure, komputer virtual ditampilkan pada salah satu dari tiga tab, seperti yang digambarkan dalam grafik.
- Sumber daya yang tidak sehat. Tab ini menampilkan komputer virtual yang memiliki pemberitahuan dan rekomendasi yang dipicu dengan menjalankan Hardening Jaringan Adaptif.
- Sumber daya yang sehat. Ini adalah komputer virtual tanpa pemberitahuan atau rekomendasi.
- Sumber daya yang tidak berlaku. VM yang tidak dapat Anda jalankan Hardening Jaringan Adaptif terhadap tampilan pada tab ini. Alasan VM mungkin tidak dapat menjalankan Hardening Jaringan Adaptif adalah:
- Komputer virtual adalah komputer virtual Klasik, dan hanya komputer virtual Azure Resource Manager yang didukung.
- Data yang tersedia tidak cukup. Untuk membuat rekomendasi hardening lalu lintas yang akurat, Security Center memerlukan setidaknya data lalu lintas dalam 30 hari.
- Komputer virtual tidak dilindungi oleh standar Azure Security Center: Hanya komputer virtual yang diatur ke tingkat harga Standar Security Center yang memenuhi syarat untuk fitur ini.
Catatan
Anda dapat meninjau harga Security Center di Harga Security Center.
Dari daftar komputer virtual yang tidak sehat, Anda dapat memilih komputer virtual tertentu dan meninjau aturan hardening yang direkomendasikan.
Anda juga dapat meninjau pemberitahuan keamanan.
Menerapkan rekomendasi Hardening Jaringan Adaptif
Setelah meninjau aturan dan pemberitahuan yang direkomendasikan, Anda dapat memilih apakah Anda akan mengubah aturan tersebut. Jika tidak, cukup pilih aturan yang ingin Anda terapkan, lalu pilih Berlakukan.
Catatan
Untuk mengubah aturan, gunakan instruksi di Hardening Jaringan Adaptif di Azure Security Center, Memodifikasi aturan.