Kontrol Keamanan: Keamanan Jaringan
Catatan
Tolok Ukur Keamanan Azure terbaru tersedia di sini.
Rekomendasi keamanan jaringan berfokus pada menentukan protokol jaringan, port TCP/UDP, dan layanan terhubung jaringan mana yang aksesnya diizinkan atau ditolak ke layanan Azure.
1.1: Melindungi sumber daya Azure dalam jaringan virtual
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Pelanggan |
Pastikan bahwa semua penyebaran subnet Virtual Network memiliki Kelompok Keamanan Jaringan yang diterapkan dengan kontrol akses jaringan khusus untuk port dan sumber tepercaya aplikasi Anda. Jika tersedia, gunakan Titik Akhir Pribadi dengan Private Link untuk mengamankan sumber daya layanan Azure Anda ke jaringan virtual Anda dengan memperluas identitas VNet ke layanan. Saat Titik Akhir Privat dan Private Link tidak tersedia, gunakan Titik Akhir Layanan. Untuk persyaratan khusus layanan, lihat rekomendasi keamanan untuk layanan khusus tersebut.
Atau, jika Anda memiliki kasus penggunaan tertentu, persyaratan dapat dipenuhi dengan menerapkan Azure Firewall.
1.2: Memantau dan mencatat konfigurasi dan lalu lintas jaringan virtual, subnet, dan NIC
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | Pelanggan |
Gunakan Azure Security Center dan ikuti rekomendasi perlindungan jaringan untuk membantu mengamankan sumber daya jaringan Anda di Azure. Aktifkan log alur NSG dan kirim log ke Akun Storage untuk audit lalu lintas. Anda juga dapat mengirim log alur NSG ke Ruang Kerja Analitik Log dan menggunakan Analitik Lalu Lintas untuk memberikan insight tentang arus lalu lintas di cloud Azure Anda. Beberapa keunggulan Analitik Lalu Lintas adalah kemampuan untuk memvisualisasikan aktivitas jaringan dan mengidentifikasi hot spot, mengidentifikasi ancaman keamanan, memahami pola alur lalu lintas, dan menentukan kesalahan konfigurasi jaringan.
1.3: Melindungi aplikasi web penting
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 01/03/2021 | 9.5 | Pelanggan |
Terapkan Azure Web Application Firewall (WAF) di depan aplikasi web penting untuk pemeriksaan lalu lintas masuk tambahan. Aktifkan Pengaturan Diagnostik untuk WAF dan gunakan log ke Ruang Kerja Akun Storage, Event Hub, atau Analitik Log.
1.4: Menolak komunikasi dengan alamat IP yang diketahui berbahaya
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.4 | 12.3 | Pelanggan |
Aktifkan perlindungan Standar DDoS di Azure Virtual Network Anda untuk melindungi dari serangan DDoS. Gunakan Inteligensi Ancaman Terpadu Azure Security Center untuk menolak komunikasi dengan alamat IP berbahaya yang diketahui.
Terapkan Azure Firewall di setiap batas jaringan organisasi dengan Inteligensi Ancaman diaktifkan dan dikonfigurasikan ke "Peringatkan dan tolak" untuk lalu lintas jaringan yang berbahaya.
Gunakan akses Azure Security Center Just In Time Network untuk mengonfigurasikan NSG guna membatasi paparan titik akhir ke alamat IP yang disetujui untuk periode terbatas.
Gunakan Azure Security Center Adaptive Network Hardening untuk menyarankan konfigurasi NSG yang membatasi IP sumber dan port berdasarkan lalu lintas aktual dan ancaman inteligensi.
Pahami Inteligensi ancaman terintegrasi dengan Azure Security Center
Memahami Azure Security Center Just In Time Network Access Control
1.5: Merekam paket jaringan
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.5 | 12.5 | Pelanggan |
Aktifkan penangkapan paket Network Watcher untuk menyelidiki aktivitas anomali.
1.6: Menyebarkan sistem deteksi gangguan/pencegahan gangguan (IDS/IPS) berbasis jaringan
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.6 | 12.6, 12.7 | Pelanggan |
Pilih penawaran dari Azure Marketplace yang mendukung fungsionalitas IDS/IPS dengan kemampuan pemeriksaan payload. Jika deteksi intrusi dan/atau pencegahan berdasarkan pemeriksaan payload tidak termasuk dalam persyaratan, Azure Firewall dengan Intelegensi Ancaman dapat digunakan. Pemfilteran berbasis Inteligensi Ancaman Azure Firewall dapat memperingatkan atau menolak lalu lintas ke dan dari alamat IP dan domain berbahaya yang diketahui. Alamat IP dan domain bersumber dari umpan Inteligensi Ancaman Microsoft.
Terapkan solusi firewall pilihan Anda di tiap batas jaringan organisasi Anda untuk mendeteksi dan/atau menolak lalu lintas berbahaya.
1.7: Mengelola lalu lintas ke aplikasi web
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.7 | 12.9, 12.10 | Pelanggan |
Terapkan Azure Application Gateway untuk aplikasi web dengan HTTPS/TLS diaktifkan untuk sertifikat tepercaya.
Cara mengkonfigurasi Application Gateway untuk menggunakan HTTPS
Memahami penyeimbang beban lapisan 7 dengan gateway aplikasi web Azure
1.8: Meminimalkan kompleksitas dan overhead administrasi pada aturan keamanan jaringan
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.8 | 1.5 | Pelanggan |
Gunakan Tag Layanan Virtual Network untuk menentukan kontrol akses jaringan pada Kelompok Keamanan Jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan (misalnya, ApiManagement) di bidang sumber atau tujuan yang sesuai dari suatu aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan memperbarui secara otomatis tag layanan saat alamat berubah.
Anda juga dapat menggunakan Kelompok Keamanan Aplikasi untuk membantu menyederhanakan konfigurasi keamanan yang kompleks. Kelompok keamanan aplikasi memungkinkan Anda mengonfigurasi keamanan jaringan sebagai perpanjangan alami dari struktur aplikasi, memungkinkan Anda mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut.
1.9: Mempertahankan konfigurasi keamanan standar untuk perangkat jaringan
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.9 | 11.1 | Pelanggan |
Tentukan dan terapkan konfigurasi keamanan standar untuk sumber daya jaringan dengan Azure Policy.
Anda juga dapat menggunakan Azure Blueprints untuk menyederhanakan penyebaran Azure berskala besar dengan mengemas artefak lingkungan utama, seperti templat Azure Resource Manager, kontrol Azure RBAC, dan kebijakan dalam satu definisi cetak biru. Anda dapat menerapkan cetak biru ke langganan baru, serta menyempurnakan kontrol dan manajemen melalui penerapan versi.
1.10: Mendokumentasikan aturan konfigurasi lalu lintas
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.10 | 11.2 | Pelanggan |
Gunakan Tag untuk NSG dan sumber daya lain yang terkait dengan keamanan jaringan dan arus lalu lintas. Untuk aturan NSG individu, gunakan bidang "Deskripsi" untuk menentukan kebutuhan dan/atau durasi bisnis (dll.) untuk setiap aturan yang mengizinkan lalu lintas ke/dari suatu jaringan.
Gunakan salah satu definisi Azure Policy bawaan yang berkaitan dengan pemberian tag, seperti "Memerlukan tag dan nilainya" untuk memastikan bahwa semua sumber daya dibuat dengan Tag dan untuk memberi tahu Anda tentang adanya sumber daya yang belum diberi tag.
Anda dapat menggunakan Azure PowerShell atau Azure CLI untuk mencari atau melakukan tindakan pada sumber daya berdasarkan Tag-nya.
1.11: Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan
| ID Azure | ID CIS | Tanggung Jawab |
|---|---|---|
| 1.11 | 11.3 | Pelanggan |
Gunakan Azure Activity Log untuk memantau konfigurasi sumber daya dan mendeteksi perubahan pada sumber daya Azure Anda. Buat pemberitahuan dalam Azure Monitor yang akan memicu saat perubahan pada sumber daya penting terjadi.
Langkah berikutnya
- Lihat Kontrol Keamanan berikutnya: Pengelogan dan Pemantauan