Mengamankan jaringan dengan Zero Trust

Big data menyajikan peluang baru untuk mendapatkan wawasan baru dan mendapatkan keunggulan kompetitif. Kami menjauh dari era di mana jaringan didefinisikan dengan jelas dan biasanya khusus untuk lokasi tertentu. Cloud, perangkat seluler, dan titik akhir lainnya memperluas batas dan mengubah paradigma. Sekarang belum tentu ada jaringan yang terkandung/ditentukan untuk diamankan. Sebaliknya, ada portofolio perangkat dan jaringan yang luas, semuanya ditautkan oleh cloud.

Alih-alih percaya segala sesuatu di balik firewall perusahaan aman, strategi Zero Trust end-to-end mengasumsikan pelanggaran tidak dapat dihindari. Itu berarti Anda harus memverifikasi setiap permintaan seolah-olah berasal dari jaringan yang tidak terkontrol—manajemen identitas memainkan peran penting dalam hal ini.

Dalam model Zero Trust, ada tiga tujuan utama dalam hal mengamankan jaringan Anda:

  • Bersiaplah untuk menangani serangan sebelum terjadi.

  • Minimalkan tingkat kerusakan dan seberapa cepat menyebar.

  • Tingkatkan kesulitan mengorbankan jejak cloud Anda.

Untuk melahirkan ini, kita mengikuti tiga prinsip Zero Trust:

  • Memverifikasi secara eksplisit. Selalu melakukan autentikasi dan otorisasi berdasarkan poin data yang tersedia, termasuk identitas pengguna, lokasi, perangkat, layanan atau beban kerja, klasifikasi data, dan anomali.

  • Gunakan akses dengan hak istimewa paling sedikit. Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data untuk melindungi data dan produktivitas.

  • Menganggap pelanggaran. Minimalkan radius dampak pelanggaran dan cegah gerakan lateral dengan mengelompokkan akses berdasarkan jaringan, pengguna, perangkat, dan kesadaran aplikasi. Verifikasi semua sesi dienkripsi dari ujung ke ujung. Gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.

Tujuan penyebaran Zero Trust jaringan

Sebelum sebagian besar organisasi memulai perjalanan Zero Trust mereka, mereka memiliki keamanan jaringan yang ditandai dengan hal berikut:

  • Beberapa perimeter keamanan jaringan dan jaringan datar terbuka.

  • Perlindungan ancaman minimal dan pemfilteran lalu lintas statis.

  • Lalu lintas internal yang tidak terenkripsi.

Saat menerapkan kerangka kerja Zero Trust end-to-end untuk mengamankan jaringan, kami sarankan Anda fokus terlebih dahulu pada tujuan penyebaran awal ini:

List icon with one checkmark.

Segmentasi I.Network: Banyak perimeter mikro cloud masuk/keluar dengan beberapa segmentasi mikro.

II.Perlindungan ancaman: Pemfilteran dan perlindungan asli cloud untuk ancaman yang diketahui.

III.Enkripsi: Lalu lintas internal pengguna-ke-aplikasi dienkripsi.

Setelah ini selesai, fokus pada tujuan penyebaran tambahan ini:

List icon with two checkmarks.

IV.Segmentasi jaringan: Perimeter mikro cloud masuk/keluar yang terdistribusi sepenuhnya dan segmentasi mikro yang lebih dalam.

PerlindunganV.Threat: Perlindungan dan pemfilteran ancaman berbasis pembelajaran mesin dengan sinyal berbasis konteks.

VI.Enkripsi: Semua lalu lintas dienkripsi.

Panduan penyebaran Zero Trust jaringan

Panduan ini akan memandu Anda melalui langkah-langkah yang diperlukan untuk mengamankan jaringan Anda mengikuti prinsip-prinsip kerangka kerja keamanan Zero Trust.




Checklist icon with one checkmark.

Tujuan penyebaran awal

i. Segmentasi jaringan: Banyak perimeter mikro cloud masuk/keluar dengan beberapa segmentasi mikro

Organisasi tidak boleh hanya memiliki satu pipa besar tunggal masuk dan keluar dari jaringan mereka. Dalam pendekatan Zero Trust, jaringan malah disegmentasi ke pulau-pulau yang lebih kecil tempat beban kerja tertentu berada. Setiap segmen memiliki kontrol masuk dan keluar sendiri untuk meminimalkan "radius ledakan" akses tidak sah ke data. Dengan menerapkan perimeter yang ditentukan perangkat lunak dengan kontrol terperinci, Anda meningkatkan kesulitan bagi aktor yang tidak sah untuk menyebar ke seluruh jaringan Anda, sehingga mengurangi pergerakan ancaman lateral.

Tidak ada desain arsitektur yang sesuai dengan kebutuhan semua organisasi. Anda memiliki opsi antara beberapa pola desain umum untuk mensegmentasi jaringan Anda sesuai dengan model Zero Trust.

Dalam panduan penyebaran ini, kami akan memandu Anda melalui langkah-langkah untuk mencapai salah satu desain tersebut: Segmentasi mikro.

Dengan segmentasi mikro, organisasi dapat bergerak melampaui perimeter berbasis jaringan terpusat sederhana ke segmentasi komprehensif dan terdistribusi menggunakan perimeter mikro yang ditentukan perangkat lunak.

Aplikasi dipartisi ke Azure Virtual Networks (VNet) yang berbeda dan terhubung menggunakan model hub-spoke

Diagram of two virtual networks connected in a hub-and-spoke model.

Ikuti langkah-langkah berikut:

  1. Buat jaringan virtual khusus untuk aplikasi dan/atau komponen aplikasi yang berbeda.

  2. Buat VNet pusat untuk menyiapkan postur keamanan untuk konektivitas antar-aplikasi dan menyambungkan VNet aplikasi dalam arsitektur hub-and-spoke.

  3. Sebarkan Azure Firewall di VNet hub untuk memeriksa dan mengatur lalu lintas antara VNet.

II. Perlindungan ancaman: Pemfilteran dan perlindungan asli cloud untuk ancaman yang diketahui

Aplikasi cloud yang telah membuka titik akhir ke lingkungan eksternal, seperti internet atau jejak lokal Anda, berisiko terkena serangan yang masuk dari lingkungan tersebut. Oleh karena itu, sangat penting bagi Anda untuk memindai lalu lintas untuk payload atau logika berbahaya.

Jenis ancaman ini termasuk dalam dua kategori luas:

  • Serangan yang diketahui. Ancaman yang telah ditemukan oleh penyedia perangkat lunak Anda atau komunitas yang lebih besar. Dalam kasus seperti itu, tanda tangan serangan tersedia dan Anda perlu memastikan bahwa setiap permintaan diperiksa terhadap tanda tangan tersebut. Kuncinya adalah untuk dapat dengan cepat memperbarui mesin deteksi Anda dengan serangan yang baru diidentifikasi.

  • Serangan yang tidak diketahui. Ini adalah ancaman yang tidak cukup cocok dengan tanda tangan yang diketahui. Jenis ancaman ini termasuk kerentanan nol hari dan pola yang tidak biasa dalam lalu lintas permintaan. Kemampuan untuk mendeteksi serangan tersebut tergantung pada seberapa baik pertahanan Anda tahu apa yang normal dan apa yang tidak. Pertahanan Anda harus terus belajar dan memperbarui pola seperti bisnis Anda (dan lalu lintas terkait) berevolusi.

Ambil langkah-langkah ini untuk melindungi dari ancaman yang diketahui:

  1. Untuk titik akhir dengan lalu lintas HTTP/S, lindungi menggunakan Azure Web Application Firewall (WAF) dengan:

    1. Mengaktifkan set aturan default atau 10 aturan perlindungan teratas OWASP untuk melindungi dari serangan lapisan web yang diketahui

    2. Mengaktifkan set aturan perlindungan bot untuk mencegah bot berbahaya mengikis informasi, melakukan pengisian kredensial, dll.

    3. Menambahkan aturan kustom untuk melindungi dari ancaman khusus untuk bisnis Anda.

    Anda dapat menggunakan salah satu dari dua opsi:

  2. Untuk semua titik akhir (HTTP atau tidak), depan dengan Azure Firewall untuk pemfilteran berbasis inteligensi ancaman di Lapisan 4:

    1. Menyebarkan dan mengonfigurasi Azure Firewall menggunakan portal Azure.

    2. Aktifkan pemfilteran berbasis inteligensi ancaman untuk lalu lintas Anda.

III. Enkripsi: Lalu lintas internal pengguna-ke-aplikasi dienkripsi

Tujuan awal ketiga yang harus difokuskan adalah menambahkan enkripsi untuk memastikan lalu lintas internal pengguna-ke-aplikasi dienkripsi.

Ikuti langkah-langkah berikut:

  1. Terapkan komunikasi khusus HTTPS untuk aplikasi web yang terhubung ke internet Anda dengan mengalihkan lalu lintas HTTP ke HTTPS menggunakan Azure Front Door.

  2. Koneksi karyawan/mitra jarak jauh untuk Microsoft Azure menggunakan VPN Gateway Azure.

    1. Aktifkan enkripsi untuk lalu lintas titik-ke-situs apa pun di layanan Azure VPN Gateway.
  3. Akses komputer virtual Azure Anda dengan aman menggunakan komunikasi terenkripsi melalui Azure Bastion.

    1. Koneksi menggunakan SSH ke komputer virtual Linux.

    2. Koneksi menggunakan RDP ke komputer virtual Windows.




Checklist icon with two checkmarks.

Tujuan penyebaran tambahan

IV. Segmentasi jaringan: Perimeter mikro cloud masuk/keluar yang sepenuhnya terdistribusi dan segmentasi mikro yang lebih dalam

Setelah Anda mencapai tiga tujuan awal, langkah selanjutnya adalah menyegmentasikan jaringan Anda lebih lanjut.

Komponen aplikasi partisi ke subnet yang berbeda

Diagram of a virtual network of servers in the Azure region.

Ikuti langkah-langkah berikut:

  1. Dalam VNet, tambahkan subnet jaringan virtual sehingga komponen diskrit aplikasi dapat memiliki perimeternya sendiri.

  2. Terapkan aturan grup keamanan jaringan untuk mengizinkan lalu lintas hanya dari subnet yang memiliki subkomponen aplikasi yang diidentifikasi sebagai mitra komunikasi yang sah.

Segmentasikan dan terapkan batas eksternal

Diagram of a servers and devices with connections across boundaries.

Ikuti langkah-langkah ini, tergantung pada jenis batas:

Batas internet
  1. Jika konektivitas internet diperlukan untuk aplikasi Anda yang perlu dirutekan melalui VNet hub, perbarui aturan grup keamanan jaringan di VNet hub untuk memungkinkan konektivitas internet.

  2. Aktifkan Azure DDoS Protection Standard untuk melindungi VNet hub dari serangan lapisan jaringan volumetrik.

  3. Jika aplikasi Anda menggunakan protokol HTTP/S, aktifkan Azure Web Application Firewall untuk melindungi dari ancaman Lapisan 7.

Batas lokal
  1. Jika aplikasi Anda memerlukan konektivitas ke pusat data lokal Anda, gunakan Azure ExpressRoute dari Azure VPN untuk konektivitas ke VNet hub Anda.

  2. Konfigurasikan Azure Firewall di VNet hub untuk memeriksa dan mengatur lalu lintas.

Batas layanan PaaS
  • Saat menggunakan layanan PaaS yang disediakan Azure (misalnya, Azure Storage, Azure Cosmos DB, atau Azure Web App, gunakan opsi konektivitas PrivateLink untuk memastikan semua pertukaran data melalui ruang IP privat dan lalu lintas tidak pernah meninggalkan jaringan Microsoft.

V. Perlindungan ancaman: Perlindungan dan pemfilteran ancaman berbasis pembelajaran mesin dengan sinyal berbasis konteks

Untuk perlindungan ancaman lebih lanjut, aktifkan Azure DDoS Protection Standard untuk terus memantau lalu lintas aplikasi yang dihosting Azure Anda, gunakan kerangka kerja berbasis ML untuk membuat garis besar dan mendeteksi banjir lalu lintas volumetrik, dan menerapkan mitigasi otomatis.

Ikuti langkah-langkah berikut:

  1. Mengonfigurasi dan mengelola Standar Azure DDoS Protection.

  2. Mengonfigurasi pemberitahuan untuk metrik perlindungan DDoS.

VI. Enkripsi: Semua lalu lintas dienkripsi

Terakhir, selesaikan perlindungan jaringan Anda dengan memastikan bahwa semua lalu lintas dienkripsi.

Ikuti langkah-langkah berikut:

  1. Mengenkripsi lalu lintas backend aplikasi antar jaringan virtual.

  2. Mengenkripsi lalu lintas antara lokal dan cloud:

    1. Mengonfigurasi VPN situs-ke-situs melalui peering Microsoft ExpressRoute.

    2. Konfigurasikan mode transportasi IPsec untuk peering privat ExpressRoute.

Produk yang tercakup dalam panduan ini

Microsoft Azure

Jaringan Azure

Jaringan Virtual dan Subnet

Kelompok Keamanan Jaringan dan Kelompok Keamanan Aplikasi

Azure Firewall

Azure DDoS Protection

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Kesimpulan

Mengamankan jaringan adalah pusat strategi Zero Trust yang sukses. Untuk informasi lebih lanjut atau bantuan terkait implementasi, silakan hubungi tim Customer Success Anda atau lanjutkan membaca bab lain dari panduan ini, yang mencakup semua pilar Zero Trust.



Seri panduan penyebaran Zero Trust

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration