Apa itu daftar kontrol akses titik akhir?
Penting
Azure memiliki dua model penyebaran yang berbeda untuk membuat dan bekerja dengan sumber daya: Resource Manager dan klasik. Artikel ini membahas tentang menggunakan model penyebaran klasik. Microsoft merekomendasikan agar sebagian besar penyebaran baru menggunakan model penyebaran Resource Manager.
Daftar kontrol akses titik akhir (ACL) adalah peningkatan keamanan yang tersedia untuk penyebaran Azure Anda. ACL menyediakan kemampuan untuk secara selektif mengizinkan atau menolak lalu lintas untuk titik akhir mesin virtual. Kemampuan penyaringan paket ini memberikan lapisan keamanan tambahan. Anda dapat menentukan ACL jaringan hanya untuk titik akhir. Anda tidak dapat menentukan ACL untuk jaringan virtual atau subnet tertentu yang terdapat dalam jaringan virtual. Disarankan untuk menggunakan grup keamanan jaringan (NSG) alih-alih ACL, bila memungkinkan. Saat menggunakan NSG, daftar kontrol akses titik akhir akan diganti dan tidak lagi diberlakukan. Untuk mempelajari lebih lanjut tentang NSG, lihat Gambaran umum grup keamanan jaringan
ACL dapat dikonfigurasi dengan menggunakan PowerShell atau portal Azure. Untuk mengonfigurasi ACL jaringan dengan menggunakan PowerShell, lihat Mengelola daftar kontrol akses untuk titik akhir menggunakan PowerShell. Untuk mengonfigurasi ACL jaringan dengan menggunakan portal Azure, lihat Cara menyiapkan titik akhir ke komputer virtual.
Dengan menggunakan ACL Jaringan, Anda dapat melakukan hal berikut:
- Secara selektif mengizinkan atau menolak lalu lintas masuk berdasarkan rentang alamat subnet IPv4 jarak jauh ke titik akhir input komputer virtual.
- Alamat IP daftar hitam
- Membuat beberapa aturan per titik akhir komputer virtual
- Gunakan pemesanan aturan untuk memastikan seperangkat aturan yang benar diterapkan pada titik akhir mesin virtual tertentu (terendah hingga tertinggi)
- Tentukan ACL untuk alamat subnet IPv4 jarak jauh tertentu.
Lihat artikel batas Azure untuk batas ACL.
Cara kerja ACL
ACL adalah objek yang berisi daftar aturan. Saat Anda membuat ACL dan menerapkannya ke titik akhir komputer virtual, pemfilteran paket terjadi pada simpul host VM Anda. Ini berarti lalu lintas dari alamat IP jarak jauh difilter oleh node host untuk mencocokkan aturan ACL, bukan pada VM Anda. Ini mencegah VM Anda menghabiskan siklus CPU yang berharga untuk pemfilteran paket.
Ketika mesin virtual dibuat, ACL default diberlakukan untuk memblokir semua lalu lintas yang masuk. Namun, jika titik akhir dibuat untuk (port 3389), maka ACL default dimodifikasi untuk memungkinkan semua lalu lintas masuk untuk titik akhir tersebut. Lalu lintas masuk dari subnet jarak jauh mana pun kemudian diizinkan ke titik akhir tersebut dan tidak diperlukan provisi firewall. Semua port lainnya diblokir untuk lalu lintas masuk kecuali titik akhir dibuat untuk port tersebut. Lalu lintas keluar diizinkan secara default.
Contoh Tabel ACL Default
| Peraturan # | Subnet Jarak Jauh | Titik Akhir | Izin/Tolak |
|---|---|---|---|
| 100 | 0.0.0.0/0 | 3389 | Izin |
Mengizinkan dan menolak
Anda dapat secara selektif mengizinkan atau menolak lalu lintas jaringan untuk titik akhir input komputer virtual dengan membuat aturan yang menentukan "izin" atau "tolak". Penting untuk dicatat bahwa secara default, ketika titik akhir dibuat, semua lalu lintas diizinkan ke titik akhir. Oleh karena itu, penting untuk memahami cara membuat aturan izin / penolakan dan menempatkannya dalam urutan prioritas yang tepat jika Anda menginginkan kontrol terperinci atas lalu lintas jaringan yang Anda pilih untuk memungkinkan mencapai titik akhir mesin virtual.
Poin yang perlu dipertimbangkan:
- Tidak ada ACL – Secara default saat titik akhir dibuat, kami mengizinkan semua untuk titik akhir.
- Izin - Ketika Anda menambahkan satu atau lebih rentang "izin", Anda menolak semua rentang lainnya secara default. Hanya paket dari rentang IP yang diizinkan yang dapat berkomunikasi dengan titik akhir mesin virtual.
- Tolak - Ketika Anda menambahkan satu atau lebih rentang "tolak", Anda mengizinkan semua rentang lalu lintas lainnya secara default.
- Kombinasi Izin dan Penolakan - Anda dapat menggunakan kombinasi "izin" dan "tolak" ketika Anda ingin mengukir rentang IP tertentu untuk diizinkan atau ditolak.
Aturan dan prioritas aturan
ACL jaringan dapat diatur pada titik akhir mesin virtual tertentu. Misalnya, Anda dapat menentukan ACL jaringan untuk titik akhir RDP yang dibuat pada mesin virtual yang mengunci akses untuk alamat IP tertentu. Tabel di bawah ini menunjukkan cara untuk memberikan akses ke IP virtual publik (VIP) dari kisaran tertentu untuk memungkinkan akses untuk RDP. Semua IP jarak jauh lainnya ditolak. Kami mengikuti urutan aturan terendah yang diutamakan .
Beberapa aturan
Pada contoh di bawah ini, jika Anda ingin mengizinkan akses ke titik akhir RDP hanya dari dua rentang alamat IPv4 publik (65.0.0.0/8, dan 159.0.0.0/8), Anda dapat mencapai ini dengan menentukan dua aturan Izin . Dalam hal ini, karena RDP dibuat secara default untuk mesin virtual, Anda mungkin ingin mengunci akses ke port RDP berdasarkan subnet jarak jauh. Contoh di bawah ini menunjukkan cara untuk memberikan akses ke IP virtual publik (VIP) dari kisaran tertentu untuk memungkinkan akses untuk RDP. Semua IP jarak jauh lainnya ditolak. Ini berfungsi karena ACL jaringan dapat diatur untuk titik akhir komputer virtual tertentu dan akses ditolak secara default.
Contoh – Beberapa aturan
| Peraturan # | Subnet Jarak Jauh | Titik Akhir | Izin/Tolak |
|---|---|---|---|
| 100 | 65.0.0.0/8 | 3389 | Izin |
| 200 | 159.0.0.0/8 | 3389 | Izin |
Perintah aturan
Karena beberapa aturan dapat ditentukan untuk titik akhir, harus ada cara untuk mengatur aturan untuk menentukan aturan mana yang diutamakan. Perintah aturan menentukan prioritas. ACL jaringan mengikuti urutan aturan prioritas terendah . Pada contoh di bawah ini, titik akhir pada port 80 diberikan secara selektif akses ke hanya rentang alamat IP tertentu. Untuk mengonfigurasi ini, kami memiliki aturan tolak (Aturan # 100) untuk alamat di ruang 175.1.0.1/24. Aturan kedua kemudian ditentukan dengan prioritas 200 yang memungkinkan akses ke semua alamat lain di bawah 175.0.0.0/8.
Contoh – Prioritas aturan
| Peraturan # | Subnet Jarak Jauh | Titik Akhir | Izin/Tolak |
|---|---|---|---|
| 100 | 175.1.0.1/24 | 80 | Tolak |
| 200 | 175.0.0.0/8 | 80 | Izin |
ACL Jaringan dan set seimbang beban
ACL Jaringan dapat ditentukan pada titik akhir set seimbang beban. Jika ACL ditentukan untuk set seimbang beban, ACL jaringan diterapkan ke semua mesin virtual dalam set seimbang beban tersebut. Misalnya, jika set seimbang beban dibuat dengan "Port 80" dan set seimbang beban berisi 3 VM, ACL jaringan yang dibuat pada titik akhir "Port 80" dari satu VM akan secara otomatis berlaku ke VM lainnya.
Langkah berikutnya
Mengelola daftar kontrol akses untuk titik akhir menggunakan PowerShell