Azure PaaS Services ile uç sanal ağına Sıfır Güven ilkeleri uygulama
Bu makale, Sıfır Güven güvenlik modelinin ilkelerini Aşağıdaki yollarla Azure sanal ağlarını (VNet) ve özel uç noktaları kullanarak PaaS iş yüküne uygulamanıza yardımcı olur:
Sıfır Güven ilkesi | Tanım | Met by |
---|---|---|
Açıkça doğrula | Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. | trafiği doğrulamak ve trafiğin kabul edilebilir olup olmadığını doğrulamak için Azure Güvenlik Duvarı ve Azure Uygulaması Lication Gateway'de tehdit algılamayı kullanın. |
En az ayrıcalıklı erişim kullan | Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. | Azure hizmetlerinden özel ağınıza girişi ve çıkışını azaltın. Sanal ağınızdan yalnızca belirli girişlere izin vermek için ağ güvenlik gruplarını kullanın. Azure hizmetine sanal ağ dışı trafik erişimi vermek için merkezi bir Azure Güvenlik Duvarı örneği kullanın. |
İhlal varsay | Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın. | Kaynaklar arasındaki gereksiz iletişimi sınırlayın. Ağ güvenlik gruplarından oturum açtığınızdan ve anormal trafikte uygun görünürlüğe sahip olduğunuzdan emin olun. Ağ güvenlik gruplarında yapılan değişiklikleri izleyin. |
Azure IaaS ortamında Sıfır Güven ilkelerini uygulama hakkında daha fazla bilgi için bkz. Azure IaaS'ye Sıfır Güven ilkeleri uygulama genel bakış.
Azure PaaS hizmetleri için tek başına veya uç ağı Sıfır Güven
Birçok PaaS hizmeti kendi, hizmete özel giriş ve çıkış denetimi işlevlerini içerir. Sanal ağlar gibi altyapıya gerek kalmadan PaaS hizmet kaynaklarına ağ erişiminin güvenliğini sağlamak için bu denetimleri kullanabilirsiniz. Örneğin:
- Azure SQL Veritabanı, veritabanı sunucusuna erişmesi gereken belirli istemci IP adreslerine izin vermek için kullanılabilecek kendi güvenlik duvarına sahiptir.
- Azure depolama hesaplarının belirli bir sanal ağdan gelen bağlantılara izin veren veya genel ağ erişimini engelleyen bir yapılandırma seçeneği vardır.
- Azure Uygulaması Hizmeti, uygulamanıza ağ erişimini denetleen öncelik sırasına göre izin verme/reddetme listesi tanımlamak için erişim kısıtlamalarını destekler.
Ancak, Sıfır Güven destekli uygulamalar için bu hizmet yerel erişim denetimleri genellikle yeterli değildir. Bu, yönetimi artırabilecek ve görünürlüğü azaltabilecek erişim denetimleri ve günlüğe kaydetme farkını oluşturur.
Ayrıca PaaS hizmetleri, bir hizmet türü için belirli bir bölgedeki genel IP adresleri havuzundan ayrılan dinamik olarak atanmış bir genel IP adresine çözümlenen tam etki alanı adlarını (FQDN) kullanabilir. Bu nedenle, genel IP adreslerini kullanarak belirli bir PaaS hizmetinden gelen veya giden trafiğe izin veremeyeceksiniz.
Microsoft, özel uç noktaları kullanmanızı önerir. Özel uç nokta, sanal ağınızdan özel IP adresi kullanan bir sanal ağ arabirimidir. Bu ağ arabirimi sizi Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlar. Özel uç noktayı etkinleştirerek hizmeti sanal ağınıza getirirsiniz.
Çözüm senaryonuza bağlı olarak, PaaS hizmetlerinize genel gelen erişime ihtiyacınız olabilir. Ancak bunu yapmazsanız, Microsoft olası güvenlik risklerini ortadan kaldırmak için tüm trafiğin özel kalmasını önerir.
Bu kılavuz belirli bir başvuru mimarisi için yönergeler sağlar, ancak ilkeler ve yöntemler gerektiğinde diğer mimarilere uygulanabilir.
Referans mimarisi
Aşağıdaki diyagramda PaaS tabanlı iş yükleri için ortak başvuru mimarisi gösterilmektedir.
Diyagramda:
- Uç sanal ağı, PaaS uygulamasını destekleyen bileşenler içerir.
- PaaS uygulaması, bir web uygulaması/ön uç için Azure Uygulaması Lication Services'dan ve ilişkisel veritabanları için Azure SQL Veritabanı yararlanan iki katmanlı bir uygulamadır.
- Her katman, ayrılmış bir ağ güvenlik grubuyla giriş için ayrılmış bir alt ağ içinde yer alır.
- Web katmanı çıkış için ayrılmış bir alt ağ içerir.
- Uygulamaya erişim, kendi alt akında yer alan bir Application Gateway aracılığıyla sağlanır.
Aşağıdaki diyagramda, bir Azure aboneliğindeki bu bileşenlerin mantıksal mimarisi gösterilmektedir.
Diyagramda uç sanal netinin tüm bileşenleri ayrılmış bir kaynak grubunda yer alandır:
- Bir sanal ağ
- bir Web Uygulaması Güvenlik Duvarı (WAF) dahil olmak üzere bir Azure Uygulaması lication Gateway (App GW)
- Veritabanı, uygulama ve ön uç katmanları için üç ağ güvenlik grubu (diyagramda "NSG" ile adlandırılır)
- İki uygulama güvenlik grubu (diyagramda "ASG" ile adlandırılır)
- İki özel uç nokta
Buna ek olarak, hub sanal ağı için kaynaklar uygun bağlantı aboneliğinde dağıtılır.
Bu makaledekiler
Sıfır Güven ilkeleri, kiracı ve dizin düzeyinden VM'lerin uygulama güvenlik gruplarına atanma aşamasına kadar tüm mimariye uygulanır. Aşağıdaki tabloda bu mimarinin güvenliğini sağlamaya yönelik öneriler açıklanmaktadır.
Adımlar | Görev |
---|---|
1 | Microsoft Entra RBAC'yi kullanın veya ağ kaynakları için özel roller ayarlayın. |
2 | Altyapıyı kendi kaynak grubuna yalıtma. |
3 | Her alt ağ için bir ağ güvenlik grubu oluşturun. |
4 | Sanal ağ içindeki trafiğin ve kaynakların güvenliğini sağlama:
|
5 | Azure PaaS hizmetleri için güvenli giriş ve çıkış. |
6 | Sanal ağa ve uygulamaya güvenli erişim. |
7 | Gelişmiş tehdit algılama, uyarı ve korumayı etkinleştirin. |
Bu kılavuzda zaten bir Azure Uygulaması Lication Hizmetiniz olduğu ve Azure SQL Veritabanı kendi kaynak gruplarında dağıtıldığını varsayar.
1. Adım: Microsoft Entra RBAC'yi kullanma veya ağ kaynakları için özel roller ayarlama
Ağ katkıda bulunanları için Microsoft Entra RBAC yerleşik rollerinden yararlanabilirsiniz. Ancak başka bir yaklaşım da özel rolden yararlanmaktır. Uç sanal ağ ağ yöneticileri, Microsoft Entra RBAC Ağ Katkıda Bulunanı rolü tarafından verilen ağ kaynaklarına tam erişime ihtiyaç duymaz, ancak diğer ortak rollerden daha fazla izne ihtiyaç duyar. Özel bir rol, erişimin kapsamını yalnızca gerekli olan şekilde kapsamak için kullanılabilir.
Bunu uygulamanın kolay yollarından biri, Azure Giriş Bölgesi Başvuru Mimarisi'nde bulunan özel rolleri dağıtmaktır.
Kullanılabilecek belirli rol, aşağıdaki izinlere sahip olan Ağ Yönetimi özel rolüdür:
- Kapsamdaki tümünü okuma
- Ağ sağlayıcısıyla yapılan tüm eylemler
- Destek sağlayıcısıyla yapılan tüm eylemler
- Kaynak sağlayıcısıyla yapılan tüm eylemler
Bu rol, Azure Giriş Bölgesi Başvuru Mimarisi GitHub deposundaki betikler kullanılarak oluşturulabilir veya Azure özel rolleri ile Microsoft Entra Id aracılığıyla oluşturulabilir.
2. Adım: Altyapıyı kendi kaynak grubuna yalıtma
Ağ kaynaklarını işlem, veri veya depolama kaynaklarından yalıtarak izinlerin taşma olasılığını azaltırsınız. Ayrıca, tüm ilgili kaynakların tek bir kaynak grubunda olduğundan emin olarak, tek bir güvenlik ataması yapabilir ve bu kaynaklara yönelik günlüğe kaydetme ve izlemeyi daha iyi yönetebilirsiniz.
Uç ağ kaynaklarının paylaşılan bir kaynak grubunda birden çok bağlamda kullanılabilir olmasını yerine ayrılmış bir kaynak grubu oluşturun. Aşağıdaki mimari diyagramında bu yapılandırma gösterilmektedir.
Diyagramda, başvuru mimarisindeki kaynaklar ve bileşenler uygulama hizmetleri, Azure SQL veritabanları, depolama hesapları, merkez sanal ağ kaynakları ve uç sanal ağ kaynakları için ayrılmış kaynak gruplarına ayrılmıştır.
Ayrılmış bir kaynak grubuyla, Azure portalını kullanarak Azure kaynaklarına kullanıcı erişimi verme öğreticisini kullanarak özel bir rol atayabilirsiniz.
Ek öneriler:
- Adlandırılmış kişiler yerine rol için bir güvenlik grubuna başvurun.
- Kurumsal kimlik yönetimi uygulamalarınız aracılığıyla güvenlik grubuna erişimi yönetin.
Kaynak gruplarında günlük iletmeyi zorunlu kılan ilkeler kullanmıyorsanız, bunu kaynak grubunun etkinlik günlüğünde yapılandırın:
- Kaynak grubunu Azure portalında bulun.
- Etkinlik günlüğü - Etkinlik Günlüklerini Dışarı Aktar'a gidin ve + Tanılama ayarı ekle'yi seçin.>
- Tanılama ayarı ekranında tüm günlük kategorilerini (özellikle Güvenlik) seçin ve bunları gözlemlenebilirlik için Log Analytics çalışma alanı veya uzun vadeli depolama için depolama hesabı gibi uygun günlük kaynaklarına gönderin. Bir örnek aşağıda verilmiştir:
Bu günlükleri gözden geçirmeyi ve bunlarla ilgili uyarıyı anlamak için Tanılama Ayarları'na bakın.
Abonelik demokratikleştirmesi
Ağ ile doğrudan ilgili olmasa da, aboneliğinizin RBAC'sini benzer şekilde planlamanız gerekir. Kaynakları kaynak grubuna göre mantıksal olarak yalıtmaya ek olarak, aboneliği iş alanlarına ve portföy sahiplerine göre de yalıtmalısınız. Yönetim birimi olarak aboneliğin kapsamı dar kapsamlı olmalıdır.
Daha fazla bilgi için bkz . Azure giriş bölgesi tasarım ilkeleri.
3. Adım: Her alt ağ için bir ağ güvenlik grubu oluşturma
Azure ağ güvenlik grupları, azure sanal ağındaki Azure kaynakları arasındaki ağ trafiğini filtrelemek için kullanılır. Her alt ağa bir ağ güvenlik grubu uygulamanız önerilir. Bu, Azure Giriş Bölgeleri dağıtılırken varsayılan olarak Azure ilkesi aracılığıyla uygulanır. Ağ güvenlik grupları, farklı Azure kaynaklarına gelen ya da bu kaynaklardan dışarı giden ağ trafiğine izin veren veya bu trafiği reddeden güvenlik kuralları içerir. Her kural için kaynak ve hedef IP adresleri, bir protokol (TCP veya UDP gibi) ve bir bağlantı noktası belirtebilirsiniz.
Çok katmanlı uygulamalar için, bir ağ bileşenini barındıran her alt ağ için ayrılmış bir ağ güvenlik grubu ("aşağıdaki diyagramda NSG" oluşturma önerisinde bulunabilirsiniz.
Diyagramda:
- Uygulamanın her katmanının, biri web katmanı için, diğeri veri katmanı için olmak üzere ayrılmış bir giriş alt ağı vardır.
- Azure Uygulaması lication Services'ın belirli bir uygulama hizmeti için ayrılmış bir çıkış alt ağı vardır.
- Bu alt ağların her biri için bir ağ güvenlik grubu yapılandırılır.
Ağ güvenlik gruplarının diyagramdakinden farklı bir şekilde yapılandırılması, ağ güvenlik gruplarının bazılarının veya tümünün yanlış yapılandırılmasını sağlayabilir ve sorun giderme sorunları oluşturabilir. Ayrıca izlemeyi ve günlüğe kaydetmeyi zorlaştırabilir.
Ağ güvenlik gruplarınızın ayarlarını yönetmek için bkz . Azure ağ güvenlik grubu oluşturma, değiştirme veya silme.
Ortamlarınızın güvenliğini sağlamak için nasıl kullanılabileceğini anlamak için Ağ güvenlik grupları hakkında daha fazla bilgi edinin.
4. Adım: Sanal ağ içindeki trafiğin ve kaynakların güvenliğini sağlama
Bu bölümde aşağıdaki öneriler açıklanmaktadır:
- Ağ güvenlik grupları için temel reddetme kurallarını dağıtma
- Uygulamaya özgü kuralları dağıtma
- VNet'te yönetim trafiğini planlama
- Ağ güvenlik grubu akış günlüğünü dağıtma
Ağ güvenlik grupları için temel reddetme kurallarını dağıtma
Sıfır Güven temel öğesi gereken en düşük erişim düzeyini kullanmaktır. Varsayılan olarak, ağ güvenlik gruplarının izin verme kuralları vardır. Reddetme kurallarının temelini ekleyerek, en düşük erişim düzeyini zorunlu kılabilirsiniz. Sağlandıktan sonra, 4096 önceliğine sahip gelen ve giden kuralların her birinde bir reddetme kuralı oluşturun. Bu, kullanılabilir son özel önceliktir ve bu da izin verme eylemlerini yapılandırmak için kalan kapsama sahip olduğunuz anlamına gelir.
Bunu yapmak için ağ güvenlik grubunda Giden Güvenlik Kuralları'na gidin ve Ekle'yi seçin. Aşağıdakileri doldurun:
- Kaynak: Herhangi biri
- Kaynak bağlantı noktası aralıkları: *
- Hedef: Herhangi biri
- Hizmet: Özel
- Hedef Bağlantı Noktası Aralıkları: *
- Protokol: Tümü
- Eylem: Reddet
- Öncelik: 4096
- Ad: DenyAllOutbound
- Açıklama: Özel olarak izin verilmediği sürece tüm giden trafiği reddeder.
Aşağıda bir örnek verilmiştir.
Bu işlemi gelen kurallarıyla tekrarlayın ve adı ve açıklamayı uygun şekilde ayarlayın.
Gelen güvenlik kuralları sekmesinde kuralda uyarı işareti görüntülenir. Aşağıda bir örnek verilmiştir.
Kurala tıklayın ve daha fazla ayrıntı görmek için en alta kaydırın. Bir örnek aşağıda verilmiştir:
Bu ileti aşağıdaki iki uyarıyı verir:
- Azure Load Balancer'lar varsayılan olarak bu ağ güvenlik grubunu kullanarak kaynaklara erişemez.
- Bu sanal ağ üzerindeki diğer kaynaklar varsayılan olarak bu ağ güvenlik grubunu kullanarak kaynaklara erişemez.
Sıfır Güven'daki amacımız için, olması gereken budur. Bu, yalnızca bu sanal ağda bir şey olması, kaynaklarınıza hemen erişeceği anlamına gelmez. Her trafik düzeni için açıkça izin veren bir kural oluşturun ve bunu en az izinle yapmanız gerekir.
Yönetim için Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicileri, özel DNS VM'leri veya belirli dış web siteleri gibi belirli giden bağlantılarınız varsa, bunların burada denetlenmesi gerekir.
Alternatif reddetme kuralları
Not
Bu bölümdeki öneriler yalnızca web çıkış alt ağı için geçerlidir.
Giden bağlantılarınızı yönetmek için Azure Güvenlik Duvarı kullanıyorsanız, giden bağlantıları reddetmek yerine giden bağlantılar için alternatif kurallar oluşturabilirsiniz. Azure Güvenlik Duvarı uygulamasının bir parçası olarak, güvenlik duvarına varsayılan yol (0.0.0.0/0) trafiği gönderen bir yol tablosu ayarlarsınız. Bu işlem, sanal ağın dışındaki trafiği işler.
Daha sonra tüm sanal ağ giden kurallarını reddet veya tüm giden kurallara izin ver ancak öğeleri gelen kurallarıyla güvenli hale koyabilirsiniz.
Ortamın güvenliğini daha da artırmak için nasıl kullanılabileceğini anlamak için bkz. Azure Güvenlik Duvarı ve Yönlendirme Tabloları.
Uygulamaya özgü kuralları dağıtma
En az izin miktarına sahip trafik desenlerini tanımlayın ve yalnızca açıkça izin verilen yolları uygulayın. Alt ağları kaynak olarak kullanarak ağ güvenlik gruplarında ağ desenleri tanımlayın. Aşağıda bir örnek verilmiştir.
Ağ güvenlik gruplarını yönet: Ağ güvenlik gruplarınıza kural eklemek için güvenlik kuralı oluşturma işlemini kullanın.
Bu senaryonun güvenliğini sağlamak için aşağıdaki kuralları ekleyin:
Alt ağ için ağ güvenlik grubu | Yön | Kaynak | Kaynak Ayrıntıları | Kaynak Bağlantı Noktası | Hedef | Hedef Ayrıntıları | Hizmet | Ağ güvenlik grubu adı | Ağ güvenlik grubu açıklaması |
---|---|---|---|---|---|---|---|---|---|
App Service Alt Ağı | Gelen | IP Adresleri | Application Gateway Alt Ağınızın Özel IP Adresi Aralığı | 443 | IP Adresleri | App Service'inizin özel uç noktasının açık IP adresi | MS SQL | AllowGWtoAppInbound | Application Gateway'den App Service'e gelen erişime izin verir. |
App Service Tümleştirme Alt Ağı | Giden | IP Adresleri | App Service Tümleştirme Alt Ağınızın IP Adresi Aralığı | 1433 | IP Adresleri | SQL DB'nizin özel uç noktasının açık IP adresi | MS SQL | AllowApptoSQLDBOutbound | App Service Tümleştirme alt ağından SQL özel uç noktasına giden erişime izin verir. |
Azure SQL Alt Ağı | Gelen | IP Adresleri | App Service Tümleştirme Alt Ağınızın IP Adresi Aralığı | 1433 | IP Adresleri | SQL DB'nizin özel uç noktasının açık IP adresi | MS SQL | AllowApptoSQLDBInbound | App Service Tümleştirme alt ağından SQL özel uç noktasına gelen erişime izin verir. |
Not
Bazen kaynak trafik farklı bağlantı noktalarından gelebilir ve bu desen oluşursa herhangi bir kaynak bağlantı noktasına izin vermek için "*" öğesine kaynak bağlantı noktası aralıkları ekleyebilirsiniz. Hedef bağlantı noktası daha önemlidir ve bazı öneriler kaynak bağlantı noktası için her zaman "*" kullanılmasıdır.
Not
Öncelik için 100 ile 4000 arasında bir değer kullanın. 105'te başlayabilirsiniz.
Bu, Application Gateway Alt Ağınızdaki ağ güvenlik grubu kurallarına ek olarak kullanılır.
Bu kurallarla, tek bir uygulama katmanı için Sıfır Güven bağlantı desenini tanımlamış olursunuz. Bu işlemi ek akışlar için gerektiği gibi yineleyebilirsiniz.
VNet'te yönetim trafiğini planlama
Uygulamaya özgü trafiğe ek olarak, yönetim trafiğini de planlayın. Ancak, yönetim trafiği genellikle uç sanal ağı dışından kaynaklandığından daha fazla kural gerekir. İlk olarak, yönetim trafiğinin geleceği belirli bağlantı noktalarını ve kaynakları anlayın. Genellikle tüm yönetim trafiğinin uç için merkez ağında bulunan bir güvenlik duvarından veya başka bir ağ sanal gerecinden (NVA) akması gerekir.
Tam başvuru mimarisi için bkz. Azure IaaS'ye Sıfır Güven ilkelerini uygulama.
Yapılandırmanız, özel yönetim gereksinimlerinize göre değişir. Ancak, hem platform ağı hem de iş yükü ağ tarafında bağlantılara açıkça izin vermek için ağ güvenlik grubundaki güvenlik duvarı gereçleri ve kuralları kullanmanız gerekir.
Dağıtımları planlama
Uygulama hizmetleriniz ve veritabanlarınız artık özel ağ kullandığından, bu kaynaklara kod ve veri dağıtımlarının nasıl çalıştığını planlayın. Özel derleme sunucularınızın bu uç noktalara erişmesine izin vermek için kurallar ekleyin.
Ağ güvenlik grubu akış günlüğünü dağıtma
Ağ güvenlik grubunuz gereksiz trafiği engelliyor olsa bile bu, hedeflerinizin karşılandığı anlamına gelmez. Bir saldırıyı algılamak için yine de açık desenlerinizin dışında gerçekleşen trafiği gözlemlemeniz gerekir.
Özel uç noktalara yönelik trafik günlüğe kaydedilmez, ancak alt ağlara daha sonra başka hizmetler dağıtılırsa bu günlük etkinlikleri algılamaya yardımcı olur.
Ağ güvenlik grubu akışı günlüğünü etkinleştirmek için Öğretici: Özel uç noktalar için mevcut ağ güvenlik grubu için bir sanal makineye giden ve sanal makineden gelen ağ trafiği akışını günlüğe kaydetme.
Not
Şu önerileri aklınızda bulundurun:
Günlüklere erişimi gerektiği gibi kısıtlamanız gerekir.
Günlükler gerektiğinde Log Analytics ve Microsoft Sentinel'e akmalıdır.
5. Adım: Azure PaaS hizmetleri için güvenli giriş ve çıkış
Bu bölüm, PaaS Hizmetlerinizin giriş ve çıkış güvenliğini sağlamak için gereken iki adımı içerir:
- Hizmetlerinize giriş için özel uç noktaları dağıtın.
- Uygulama Hizmetinizin sanal ağınızla iletişim kurabilmesi için sanal ağ tümleştirmesi dağıtın.
Ayrıca, adların çözümlenmesine izin vermek için DNS yapılandırmanızı da göz önünde bulundurmanız gerekir.
Giriş için özel uç noktaları dağıtma
Birçok hizmet, Azure portalındaki kaynağa özgü dikey pencerede özel uç noktalar oluşturmanıza olanak sağlarken, daha tutarlı bir deneyim kendi kaynak oluşturma işleminden özel uç nokta oluşturmaktır. Bunu yapmak için kaynakların zaten dağıtılması gerekir. Dağıtıldıktan sonra özel uç nokta oluşturabilirsiniz.
Özel uç noktaları dağıtırken bunları aşağıdaki gibi yapılandırın:
- Benzer bir yaşam döngüsüne sahip kaynakları bir arada tutmak ve merkezi erişim sağlamak için bunları üst kaynakları barındıran belirli bir kaynak grubuna yerleştirin.
- Bunları rollerine göre sanal ağda uygun alt ağa yerleştirin.
- Azure Uygulaması Lication Hizmeti için, hem normal ön ucu hem de dağıtımlar ve yönetim için kullanılan SCM uç noktası için özel uç noktaları yapılandırabilirsiniz.
Ayrıca, bu dağıtımın bir parçası olarak hizmete özgü güvenlik duvarının gelen trafiği reddedecek şekilde ayarlandığından emin olmanız gerekir. Bu, genel giriş girişimlerini reddeder.
Azure SQL veritabanı için sunucu düzeyinde IP güvenlik duvarı kurallarını yönetin. Genel ağ erişiminin Azure portalındaki ağ panelinden Devre Dışı Bırak olarak ayarlandığından emin olun.
Azure Uygulaması Lication Hizmeti için, özel uç noktanın eklenmesi hizmet düzeyi güvenlik duvarını varsayılan olarak gelen erişimi engelleyecek şekilde ayarlar. Daha fazla bilgi için bkz . App Service uygulamaları için Özel Uç Noktaları Kullanma.
Çıkış için sanal ağ tümleştirmesini dağıtma
Giriş için özel uç noktalara ek olarak sanal ağ tümleştirmesini etkinleştirin. Her App Service Planında sanal ağ tümleştirmesi etkinleştirilebilir ve bunu yaptığınızda App Service için bir alt ağın tamamı ayrılır. Daha fazla bilgi için bkz . Uygulamanızı azure sanal ağıyla tümleştirme.
App Service'inizi yapılandırmak için bkz. Azure Uygulaması Hizmetinde sanal ağ tümleştirmesini etkinleştirme. Çıkış için belirlenen alt ağınıza yerleştirdiğinizden emin olun.
DNS ile ilgili dikkat edilmesi gerekenler
Özel uç noktaları kullanmanın bir parçası olarak, kaynakların FQDN'lerinin DNS çözümlemesini yeni özel IP adreslerine etkinleştirin. Bunu çeşitli yollarla uygulama yönergeleri için bkz . Özel Uç Nokta DNS yapılandırması.
Not
DNS çözümlemenin tüm trafiğe uygulanması gerekir. Aynı sanal ağ içindeki kaynaklar doğru DNS bölgelerini kullanmadıkları sürece çözümlenemez.
6. Adım: Sanal ağa ve uygulamaya güvenli erişim
Sanal ağa ve uygulamalara erişimin güvenliğini sağlama şunları içerir:
- Azure ortamındaki trafiği uygulamaya güvenli hale getirme
- Uygulamalara kullanıcı erişimi için çok faktörlü kimlik doğrulaması (MFA) ve Koşullu Erişim ilkeleri kullanma.
Aşağıdaki diyagramda, başvuru mimarisi genelinde her iki erişim modu gösterilmektedir.
Sanal ağ ve uygulama için Azure ortamında trafiğin güvenliğini sağlama
Azure ortamındaki güvenlik trafiğinin büyük bir kısmı zaten tamamlandı. Depolama kaynakları ile VM'ler arasında güvenli bağlantılar yapılandırmak için bkz. Azure depolamaya Sıfır Güven ilkeleri uygulama.
Hub kaynaklarından sanal ağa erişimin güvenliğini sağlamak için bkz. Azure'da bir merkez sanal asına Sıfır Güven ilkeleri uygulama.
Uygulamalara kullanıcı erişimi için MFA ve Koşullu Erişim ilkelerini kullanma
Sanal makinelere Sıfır Güven ilkelerini uygulama makalesi, MFA ve Koşullu Erişim ile doğrudan VM'lere erişim isteklerinin nasıl korunacağını önerir. Bu istekler büyük olasılıkla yöneticilerin ve geliştiricilerin istekleridir. Sonraki adım, MFA ve Koşullu Erişim ile uygulamalara erişimin güvenliğini sağlamaktır. Bu, uygulamaya erişen tüm kullanıcılar için geçerlidir.
İlk olarak, uygulama henüz Microsoft Entra ID ile tümleştirilmemişse bkz. Microsoft kimlik platformu için uygulama türleri.
Ardından, uygulamayı kimlik ve cihaz erişim ilkelerinizin kapsamına ekleyin.
MFA'yı Koşullu Erişim ve ilgili ilkelerle yapılandırırken, kılavuz olarak Sıfır Güven için önerilen ilke kümesini kullanın. Bu, cihazların yönetilmesini gerektirmeyen Başlangıç noktası ilkelerini içerir. İdeal olarak, VM'lerinize erişen cihazlar yönetilir ve Sıfır Güven için önerilen Kurumsal düzeyi uygulayabilirsiniz. Daha fazla bilgi için bkz. Ortak Sıfır Güven kimlik ve cihaz erişim ilkeleri.
Aşağıdaki diyagramda Sıfır Güven için önerilen ilkeler gösterilmektedir.
7. Adım: Gelişmiş tehdit algılama ve korumayı etkinleştirme
Azure'da veya şirket içinde çalışan BT iş ortamınızdaki diğer kaynaklar da korunabileceği için Azure üzerinde oluşturulan uç sanal ağınız Bulut için Microsoft Defender tarafından korunabilir.
Bu serinin diğer makalelerinde de belirtildiği gibi Bulut için Defender, bulut güvenlik yolculuğunuzda ilerlediğinizde size yardımcı olacak güvenlik önerileri, uyarılar ve uyarlamalı ağ sağlamlaştırma gibi gelişmiş özellikler sunan bir Bulut Güvenliği Duruş Yönetimi (CSPM) ve Bulut İş Yükü Koruması (CWP) aracıdır.
Bu makalede Bulut için Defender ayrıntılı olarak açıklanmamıştır, ancak Bulut için Defender Log Analytics çalışma alanına alınan Azure ilkelerine ve günlüklerine göre çalıştığını anlamak önemlidir. Uç sanal ağınız ve ilişkili kaynaklarınızla aboneliklerde etkinleştirildikten sonra güvenlik duruşlarını iyileştirmeye yönelik öneriler görebilirsiniz. Bu önerileri MITRE taktiğine, Kaynak Grubuna ve diğer kişilere göre daha fazla filtreleyebilirsiniz. Kuruluşunuzun Güvenli Puanı üzerinde daha fazla etkiye sahip önerileri çözümlemek için öncelik belirlemeyi göz önünde bulundurun. Aşağıda bir örnek verilmiştir.
Mevcut ağ güvenlik grubu kurallarınızı geliştirmek için uyarlamalı ağ sağlamlaştırma önerileri içeren gelişmiş iş yükü korumaları sunan Bulut için Defender planları vardır. Aşağıda bir örnek verilmiştir.
Yeni bir ağ güvenlik grubu kuralı oluşturacak veya var olan bir kuralı değiştirecek olan Uygula'yı seçerek öneriyi kabul edebilirsiniz.
Önerilen eğitim
- Azure rol tabanlı erişim denetimi (Azure RBAC) ile Azure kaynaklarınızın güvenliğini sağlama
- Azure İzleyici'yi yapılandırma ve yönetme
- Ağ güvenlik gruplarını yapılandırma
- Ağ güvenliğini tasarlama ve uygulama
- Azure Hizmetleri'ne özel erişim tasarlama ve uygulama
Sonraki Adımlar
Azure'a Sıfır Güven ilkeleri uygulamak için şu ek makalelere bakın:
- Azure IaaS için:
- Azure Sanal Masaüstü
- Azure Sanal WAN
- Amazon Web Services'da IaaS uygulamaları
- Microsoft Sentinel ve Microsoft Defender XDR
Başvurular
- Sıfır Güven ile proaktif güvenliği benimseyin
- Sıfır Güven ile ağların güvenliğini sağlama
- Azure Güvenlik Duvarı ve Application Gateway ile web uygulamaları için sıfır güven ağı
- Azure Giriş Bölgesi İlkeleri
- İlkeler arasında ortak Sıfır Güven kimliği ve cihazı
- Özel uç nokta nedir?
- Özel uç nokta DNS yapılandırması
- Uygulamanızı azure sanal ağıyla tümleştirme
- App Service uygulamaları için özel uç noktaları kullanma
- Azure özel uç noktası kullanarak Azure SQL sunucusuna bağlanma