Kapan menggunakan Azure Private Link
Anda mengetahui apa itu Private Link dan cara kerjanya. Sekarang Anda memerlukan beberapa kriteria untuk membantu mengevaluasi apakah Private Link adalah pilihan yang cocok untuk perusahaan Anda. Untuk membantu Anda membuat keputusan, mari kita pertimbangkan tujuan berikut:
- Membawa layanan Azure PaaS ke jaringan virtual Anda
- Mengamankan lalu lintas antara jaringan perusahaan Anda dan cloud Azure
- Menghilangkan paparan internet untuk layanan PaaS
- Mengakses sumber daya Azure PaaS di seluruh jaringan
- Menurunkan risiko penyelundupan data
- Menawarkan pelanggan akses privat ke layanan Azure yang dibuat perusahaan
Sebagai bagian dari evaluasi Azure Private Link, Anda tahu bahwa Contoso memiliki beberapa tujuan ini. Baca bagian yang sesuai untuk detail selengkapnya.
Membawa layanan Azure PaaS ke jaringan virtual Anda
Tergantung pada sumber daya dan cara konfigurasinya, menyambungkan jaringan virtual ke layanan Azure PaaS bisa menjadi proses yang rumit. Private Link mengurangi kompleksitas tersebut dengan membuat layanan Azure tampak seperti node lain saja di jaringan virtual Azure Anda. Dengan sumber daya Private Link yang sekarang secara efektif menjadi bagian dari jaringan virtual Anda, klien dapat menggunakan FQDN yang relatif mudah untuk membuat koneksi.
Mengamankan lalu lintas antara jaringan perusahaan Anda dan cloud Azure
Berikut adalah salah satu paradoks komputasi cloud: Untuk mengakses layanan di penyedia cloud yang sama pada komputer virtual berbasis cloud, koneksi dan lalu lintasnya harus keluar dari cloud. Artinya, meskipun titik akhir terletak di cloud, lalu lintas harus melintasi internet.
Sayangnya, setelah meninggalkan cloud, lalu lintas tersebut menjadi "publik" dan berisiko. Ada daftar panjang potensi eksploitasi yang dapat digunakan aktor jahat untuk mencuri, memantau, atau merusak lalu lintas itu.
Private Link menghilangkan risiko itu dengan mengalihkan lalu lintas sehingga tidak melintasi internet. Sebagai gantinya, semua lalu lintas antara jaringan virtual Anda dan sumber daya Private Link melewati tulang punggung Azure Microsoft yang aman dan privat.
Menghilangkan paparan internet untuk layanan PaaS
Sebagian besar sumber daya Azure PaaS berhadapan dengan internet. Sumber daya ini, secara default, mempunyai titik akhir publik yang menawarkan alamat IP publik sehingga klien dapat terhubung ke sumber daya melalui internet.
Titik akhir publik mengekspos sumber daya ke internet secara disengaja. Namun, titik akhir itu juga dapat bertindak sebagai titik serangan bagi peretas jahat yang mencari cara untuk menyusup atau mengganggu layanan.
Private Link tidak melakukan apa pun untuk mencegah serangan tersebut. Namun, setelah membuat Private Endpoint dan memetakannya ke sumber daya Azure, Anda tidak lagi memerlukan titik akhir publik sumber daya. Untungnya, Anda dapat mengonfigurasi sumber daya untuk menonaktifkan titik akhir publiknya sehingga tidak lagi memberikan permukaan serangan ke internet.
Mengakses sumber daya Azure PaaS di seluruh jaringan
Pengaturan jaringan jarang terdiri dari satu jaringan virtual. Sebagian besar jaringan juga menyertakan salah satu atau kedua item berikut:
Satu atau beberapa jaringan yang di-peering terhubung melalui peering Azure Virtual Network.
Satu atau beberapa jaringan lokal yang terhubung baik melalui peering privat ExpressRoute atau melalui terowongan VPN.
Tanpa Private Link, jaringan ini harus membuat koneksi mereka sendiri ke sumber daya Azure tertentu. Koneksi tersebut biasanya membutuhkan internet publik. Hal tersebut berubah setelah Private Endpoint memetakan sumber daya Azure ke alamat IP privat di jaringan virtual Anda. Sekarang, semua jaringan yang di-peering Anda dapat terhubung ke sumber daya Private Link secara langsung, tanpa konfigurasi lainnya.
Menurunkan risiko penyelundupan data
Misalnya komputer virtual di jaringan Anda terhubung ke layanan Azure. Pengguna di komputer virtual sering kali dapat mengakses beberapa sumber daya di layanan Azure. Misalnya, jika layanan tersebut adalah Azure Storage, pengguna dapat mengakses beberapa blob, tabel, file, dan sebagainya.
Sekarang asumsikan bahwa pengguna tersebut adalah penyusup jahat yang telah mengontrol komputer virtual. Dalam skenario itu, pengguna dapat memindahkan data dari satu sumber daya ke sumber daya lain yang mereka kontrol.
Skenario ini adalah contoh penyelundupan data. Tautan Pribadi menurunkan risiko penyelundupan data dengan memetakan Titik Akhir Privat ke satu contoh sumber daya Azure. Penyerang mungkin masih dapat melihat data, tetapi tidak memiliki cara untuk menyalin atau memindahkannya ke sumber daya lain.
Menawarkan pelanggan akses privat ke layanan Azure yang dibuat perusahaan
Misalnya perusahaan Anda membuat layanan Azure kustom. Siapa yang mengonsumsi layanan tersebut? Konsumen bisa merupakan siapa saja yang ada dalam daftar berikut:
- Orang-orang yang membeli produk Anda.
- Pemasok atau vendor perusahaan.
- Karyawan perusahaan Anda.
Anda dapat menganggap bahwa setiap konsumen dalam daftar di atas adalah pelanggan layanan Anda.
Data yang diakses dan dibuat oleh pelanggan tersebut kemungkinan besar sama pentingnya dengan data perusahaan Anda. Jadi, data pelanggan Anda layak mendapatkan tingkat privasi dan keamanan yang sama dengan data perusahaan Anda.
Jika Anda yakin bahwa Private Link adalah pilihan yang tepat untuk mengamankan data perusahaan Anda, maka Anda ingin memperluas model keamanan tersebut ke layanan Azure kustom Anda. Dengan menempatkan layanan kustom Anda di belakang Azure Standard Load Balancer, Anda dapat menggunakan Private Link Service untuk memungkinkan pelanggan mengakses layanan Anda menggunakan Private Endpoint.
Bayangkan kepuasan departemen pemasaran Anda ketika Anda memberi tahu mereka bahwa mereka sekarang dapat menawarkan pelanggan akses yang privat dan aman ke layanan Azure kustom Anda.