Apa itu Azure Private Link?

  • 12 menit

Sebelum mempelajari Azure Private Link serta fitur dan manfaatnya, mari kita periksa masalah yang dirancang untuk diselesaikan oleh Private Link.

Contoso memiliki jaringan virtual Azure dan Anda ingin menyambungkannya ke sumber daya PaaS seperti database Azure SQL. Saat membuat sumber daya tersebut, Anda biasanya menentukan titik akhir publik sebagai metode konektivitasnya.

Memiliki titik akhir publik berarti bahwa sumber daya tersebut ditetapkan alamat IP publik. Jadi, meskipun jaringan virtual Anda dan database Azure SQL terletak di dalam cloud Azure, koneksi di antaranya terjadi melalui internet.

Masalahnya adalah bahwa database Azure SQL Anda terekspos ke internet melalui alamat IP publiknya. Paparan tersebut menciptakan beberapa risiko keamanan. Risiko keamanan yang sama ada saat sumber daya Azure diakses melalui alamat IP publik dari lokasi berikut:

  • Jaringan virtual Azure yang di-peering
  • Jaringan lokal yang tersambung ke Azure menggunakan ExpressRoute dan peering Microsoft
  • Jaringan virtual Azure pelanggan yang terhubung ke layanan Azure yang ditawarkan oleh perusahaan Anda

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

Private Link dirancang untuk menghilangkan risiko keamanan ini dengan menghapus bagian publik dari koneksi.

Private Link menyediakan akses yang aman ke layanan Azure. Private Link memperoleh keamanan tersebut dengan mengganti titik akhir publik sumber daya dengan antarmuka jaringan privat. Ada tiga poin penting yang perlu dipertimbangkan dengan arsitektur baru ini:

  • Sumber daya Azure menjadi, dalam beberapa hal, bagian dari jaringan virtual Anda.
  • Koneksi ke sumber daya tersebut sekarang menggunakan jaringan tulang punggung Microsoft Azure dan bukan internet publik.
  • Anda dapat mengonfigurasi sumber daya Azure untuk tidak lagi mengekspos alamat IP publiknya, agar menghilangkan potensi risiko keamanan tersebut.

Apakah itu Titik Akhir Privat Azure?

Private Endpoint adalah teknologi utama di balik Private Link. Private Endpoint adalah antarmuka jaringan yang memungkinkan koneksi yang privat dan aman antara jaringan virtual Anda dan layanan Azure. Dengan kata lain, Private Endpoint adalah antarmuka jaringan yang menggantikan titik akhir publik sumber daya.

Catatan

Private Endpoint bukan layanan yang gratis. Anda membayar biaya yang ditetapkan per jam, serta biaya yang ditetapkan per gigabita untuk lalu lintas masuk dan keluar yang melewati Private Endpoint.

Private Link memberi Anda akses privat dari jaringan virtual Azure Anda ke layanan PaaS dan layanan Mitra Microsoft di Azure. Namun, bagaimana jika perusahaan Anda telah membuat layanan Azure sendiri untuk digunakan pelanggan perusahaan Anda? Apakah mungkin untuk menawarkan pelanggan tersebut koneksi privat ke layanan perusahaan Anda?

Ya, dengan Azure Private Link Service. Layanan ini memungkinkan Anda untuk menawarkan koneksi Private Link ke layanan Azure kustom Anda. Konsumen layanan kustom Anda kemudian dapat mengakses layanan tersebut secara privat—yaitu, tanpa menggunakan internet—dari jaringan virtual Azure mereka sendiri.

Catatan

Tidak ada biaya untuk menggunakan Private Link Service.

Private Link bekerja sama dengan Private Endpoint serta Private Link Service dan memberikan manfaat berikut:

  • Akses privat ke layanan PaaS dan layanan Mitra Microsoft di Azure. Saat Anda menggunakan Titik Akhir Privat, layanan Azure dipetakan ke jaringan virtual Azure Anda. Tidak masalah jika sumber daya Azure berada dalam jaringan virtual dan penyewa Direktori Aktif yang berbeda. Untuk pengguna di jaringan virtual Azure Anda, sumber daya tampaknya menjadi bagian dari jaringan tersebut.
  • Akses privat ke layanan Azure di wilayah mana pun. Private Link berfungsi secara global. Koneksi privat ke layanan Azure berfungsi bahkan jika jaringan virtual layanan tersebut berada di wilayah yang berbeda dari jaringan virtual Anda sendiri.
  • Rute nonpublik ke layanan Azure. Setelah layanan Azure dipetakan ke jaringan virtual Anda, rute lalu lintasnya berubah. Semua lalu lintas masuk dan keluar antara jaringan virtual Anda dan layanan Azure berjalan melalui jaringan tulang punggung Microsoft Azure. Internet publik tidak pernah digunakan untuk lalu lintas layanan.
  • Titik akhir publik tidak lagi diperlukan. Karena semua lalu lintas dari dan ke layanan Azure yang dipetakan sekarang melewati jaringan tulang punggung Microsoft Azure, titik akhir publik untuk layanan tersebut tidak lagi diperlukan. Anda dapat menonaktifkan titik akhir publik tersebut sehingga menghilangkan kemungkinan ancaman keamanan.
  • Jaringan virtual Azure yang di-peering Anda juga mendapatkan akses ke sumber daya yang didukung Private Link. Jika Anda menggunakan satu atau beberapa jaringan virtual Azure yang di-peering, tidak ada konfigurasi tambahan yang diperlukan bagi jaringan yang di-peering tersebut untuk mengakses sumber daya Azure privat. Klien dalam jaringan apa pun yang di-peering dapat mengakses Private Endpoint apa pun yang telah Anda petakan ke layanan Azure.
  • Jaringan lokal Anda juga mendapatkan akses ke sumber daya yang didukung Private Link. Apakah jaringan lokal Anda terhubung ke jaringan virtual Azure menggunakan peering privat ExpressRoute atau terowongan VPN? Jika demikian, klien dalam jaringan lokal tidak memerlukan konfigurasi tambahan untuk mengakses sumber daya Azure privat.
  • Perlindungan terhadap penyelundupan data. Saat memetakan Private Endpoint ke layanan Azure, Anda memetakan ke instans tertentu dari layanan tersebut. Misalnya, jika menyiapkan akses privat ke Azure Storage, Anda memetakan akses ke instans blob, tabel, atau penyimpanan lainnya. Jika komputer virtual di jaringan Anda disusupi, penyerang tidak dapat memindahkan atau menyalin data ke instans sumber daya lain.
  • Akses privat ke layanan Azure Anda sendiri. Anda dapat menerapkan Private Link Service dan menawarkan pelanggan akses privat ke layanan Azure kustom Anda.

Private Link dan Private Endpoint berfungsi dengan banyak layanan Azure. Untuk selalu mendapatkan informasi terbaru tentang layanan dan wilayah terbaru yang mendukung Private Link, lihat Pembaruan Azure.