Aracılığıyla paylaş

Eski ağ güvenlik teknolojisini sona erdirmek için Sıfır Güven ilkeleri uygulama

  • Makale

Bu makalede, Azure ortamlarında eski ağ güvenlik teknolojisinin sona erdirilmesine yönelik Sıfır Güven ilkelerinin uygulanmasına yönelik yönergeler sağlanmaktadır. İşte Sıfır Güven ilkeleri.

Sıfır Güven ilkesi Tanım
Açıkça doğrula Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme.
En az ayrıcalıklı erişim kullan Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
İhlal varsay Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.

Daha yüksek güvenlik düzeyleri için eski ağ hizmetlerinizi kaldırarak veya yükselterek Azure ortamınız için savunmayı geliştirin.

Bu makale, azure ağına Sıfır Güven ilkelerinin nasıl uygulanacağını gösteren bir dizi makalenin bir parçasıdır.

Eski ağ güvenlik teknolojilerinin kullanımını sonlandırmak için gözden geçirilmesi gereken Azure ağ alanları şunlardır:

  • Ağ temeli hizmetleri
  • Yük dengeleme ve içerik teslim hizmetleri
  • Karma bağlantı hizmetleri

Eski ağ güvenlik teknolojilerini kullanmaktan uzaklaşmak, bir saldırganın ortamlara erişmesini veya geniş çaplı hasar vermek için ortamlar arasında ilerlemesini engelleyebilir (ihlal varsay Sıfır Güven ilkesi).

Referans mimarisi

Aşağıdaki diyagramda, Azure ortamınızdaki bileşenler için eski ağ güvenlik teknolojisinin kullanımdan kaldırılmasına yönelik bu Sıfır Güven kılavuzuna yönelik başvuru mimarisi gösterilmektedir.

Azure ağ bileşenleriyle eski ağ güvenlik teknolojisini sonlandırmaya yönelik başvuru mimarisini gösteren diyagram.

Bu başvuru mimarisi şunları içerir:

  • Azure sanal makinelerinde çalışan Azure IaaS iş yükleri.
  • Azure hizmetleri.
  • Azure VPN Gateway ve Azure Uygulaması lication Gateway içeren bir güvenlik sanal ağı (VNet).
  • Azure Load Balancer içeren bir İnternet uç sanal ağı.
  • Azure ortamının kenarındaki Azure Front Door.

Bu makalede neler var?

başvuru mimarisinde, İnternet'te veya şirket içi ağınızdaki kullanıcılardan ve yöneticilerden Azure ortamınıza ve ortamınızda Sıfır Güven ilkeleri uygularsınız. Aşağıdaki tabloda, İhlal varsay Sıfır Güven ilkesi için bu mimari genelinde eski ağ güvenlik teknolojisini sonlandırmaya yönelik temel görevler listelenmiştir.

Adımlar Görev
1 Ağ temel hizmetlerinizi gözden geçirin.
2 İçerik teslim ve yük dengeleme hizmetlerinizi gözden geçirin.
3 Karma bağlantı hizmetlerinizi gözden geçirin.

1. Adım: Ağ temel hizmetlerinizi gözden geçirme

Network Foundation hizmetlerini gözden geçirmeniz şunları içerir:

  • Temel Genel IP SKU'sundan Standart Genel IP SKU'sundan geçiş.
  • Sanal makine IP adreslerinin açık giden erişimi kullandığından emin olun.

Bu diyagramda, başvuru mimarisinde Azure network foundation hizmetlerini güncelleştirmeye yönelik bileşenler gösterilmektedir.

Azure network foundation hizmetlerini güncelleştirme bileşenlerini gösteren diyagram.

Temel Genel IP SKU'su

IP adresleri (genel ve özel), Azure'da özel ve genel kaynaklar arasında iletişim sağlayan IP hizmetlerinin bir parçasıdır. Genel IP'ler sanal ağ geçitleri, uygulama ağ geçitleri ve İnternet'e giden bağlantı gerektiren diğer hizmetlere bağlanır. Özel IP'ler, Azure kaynakları arasında dahili olarak iletişimi etkinleştirir.

Temel Genel IP SKU'su bugün eski olarak görülür ve Standart Genel IP SKU'sunun sınırlamalarından daha fazladır. Temel Genel IP SKU'su için Sıfır Güven en önemli sınırlamalardan biri, Standart Genel IP SKU'su ile zorunlu olmakla birlikte ağ güvenlik gruplarının kullanılmasının gerekli olmadığı ancak önerilmiyor olmasıdır.

Standart Genel IP SKU'su için bir diğer önemli özellik de Microsoft genel ağı üzerinden yönlendirme gibi bir Yönlendirme Tercihi seçilebilmesidir. Bu özellik, mümkün olduğunda Microsoft omurga ağı içindeki trafiğin güvenliğini sağlar ve giden trafik hizmete veya son kullanıcıya mümkün olduğunca yakın bir konumdan çıkar.

Daha fazla bilgi için bkz. Azure Sanal Ağ IP Hizmetleri.

Not

Temel Genel IP SKU'su Eylül 2025'te kullanımdan kaldırılacaktır.

Varsayılan giden erişim

Varsayılan olarak, Azure İnternet'e giden erişim sağlar. Kaynaklardan bağlantı, sistem yolları ve ağ güvenlik grupları için varsayılan giden kuralları ile varsayılan olarak verilir. Başka bir deyişle, açık bir giden bağlantı yöntemi yapılandırılmamışsa, Azure varsayılan bir giden erişim IP adresi yapılandırıyor. Ancak, açık giden erişim olmadan belirli güvenlik riskleri ortaya çıkar.

Microsoft, sanal makine IP adresini İnternet trafiğine açık bırakmamanızı önerir. Varsayılan giden IP erişimi üzerinde denetim yoktur ve IP adresleri ve bağımlılıkları değişebilir. Birden çok ağ arabirim kartı (NIC) ile donatılmış sanal makineler için, tüm NIC IP adreslerinin İnternet giden erişimine izin vermeleri önerilmez. Bunun yerine, erişimi yalnızca gerekli NIC'lere kısıtlamanız gerekir.

Microsoft, aşağıdaki seçeneklerden biriyle açık giden erişimi ayarlamanızı önerir:

  • Azure NAT Ağ Geçidi

    En fazla kaynak ağ adresi çevirisi (SNAT) bağlantı noktası için Microsoft, giden bağlantı için Azure NAT Ağ Geçidi'ni önerir.

  • Standart SKU Azure Load Balancer

    Bu, SNAT'yi programlamak için bir yük dengeleme kuralı gerektirir ve bu bir Azure NAT Ağ Geçidi kadar verimli olmayabilir.

  • Genel IP adreslerinin sınırlı kullanımı

    Sanal makineye doğrudan genel IP adresi atama, ölçeklenebilirlik ve güvenlik konuları nedeniyle yalnızca test veya geliştirme ortamları için yapılmalıdır.

2. Adım: İçerik teslim ve yük dengeleme hizmetlerinizi gözden geçirin

Azure'da, web uygulamalarınıza trafik göndermenize ve dağıtmanıza yardımcı olan birçok uygulama teslim hizmeti vardır. Bazen hizmetin yeni bir sürümü veya katmanı deneyimi geliştirir ve en son güncelleştirmeleri sağlar. Hizmetin en yeni sürümüne kolayca geçmek ve yeni ve gelişmiş özelliklerden yararlanmak için uygulama teslim hizmetlerinin her birinde geçiş aracını kullanabilirsiniz.

İçerik teslimi ve yük dengeleme hizmetlerini gözden geçirmeniz şunları içerir:

  • Azure Front Door katmanınızı Klasik katmandan Premium veya Standart katmanlara geçirme.
  • Azure Uygulaması Lication Ağ Geçitlerinizi WAF_v2 geçirme.
  • Standart SKU Azure Load Balancer'a geçiş.

Bu diyagramda Azure içerik teslimi ve yük dengeleme hizmetlerini güncelleştirmeye yönelik bileşenler gösterilmektedir.

Azure içerik teslimi ve yük dengeleme hizmetlerini güncelleştirme bileşenlerini gösteren diyagram.

Azure Front Door

Azure Front Door'un üç farklı katmanı vardır: Premium, Standart ve Klasik. Standart ve Premium katmanlar, Azure Front Door Klasik katmanı, Azure Content Delivery Network ve Azure Web Uygulaması Güvenlik Duvarı (WAF) özelliklerini tek bir hizmette birleştirir.

Microsoft, bu yeni özelliklerin ve güncelleştirmelerin keyfini çıkarmak için klasik Azure Front Door profillerinizi Premium veya Standart katmanlara geçirmenizi önerir. Premium katmanı arka uç hizmetlerinize özel bağlantı, Microsoft tarafından yönetilen WAF kuralları ve web uygulamalarınız için bot koruması gibi gelişmiş güvenlik özelliklerine odaklanır.

Geliştirilmiş özelliklere ek olarak Azure Front Door Premium, ek ücret ödemeden hizmette yerleşik olarak bulunan güvenlik raporlarını da içerir. Bu raporlar WAF güvenlik kurallarını analiz edip web uygulamalarınızın ne tür saldırılarla karşılaşabileceğini görmenize yardımcı olur. Güvenlik raporu ayrıca ölçümleri farklı boyutlara göre incelemenize olanak tanır. Bu sayede trafiğin nereden geldiğini ve ölçütlere göre en önemli olayların dökümünü anlayabilirsiniz.

Azure Front Door Premium katmanı, istemciler ve web uygulamaları arasında en güçlü İnternet güvenlik önlemlerini sağlar.

Azure Application Gateway

Azure Uygulaması lication Gateway'ler v1 ve v2 olmak üzere iki SKU türüne ve SKU'ya uygulanabilen bir WAF sürümüne sahiptir. Microsoft, performans yükseltmelerinden ve otomatik ölçeklendirme, özel WAF kuralları ve Azure Özel Bağlantı desteği gibi yeni özelliklerden yararlanmak için Azure Uygulaması Lication Gateway'inizi WAF_v2 SKU'ya geçirmenizi önerir.

Özel WAF kuralları, Azure Uygulaması lication Gateway üzerinden geçen her isteği değerlendirmek için koşullar belirtmenize olanak sağlar. Bu kurallar, yönetilen kural kümelerindeki kurallardan daha yüksek önceliğe sahiptir ve uygulamanızın ve güvenlik gereksinimlerinizin gereksinimlerine uyacak şekilde özelleştirilebilir. Özel WAF kuralları, bir IP adresini bir ülke koduyla eşleştirerek web uygulamalarınıza erişimi ülkeye veya bölgelere göre de sınırlayabilir.

WAFv2'ye geçişin diğer avantajı, başka bir sanal ağdan veya farklı bir abonelikten erişirken Azure Özel Bağlantı hizmeti aracılığıyla Azure Uygulaması Lication Gateway'inize bağlanabilmenizdir. Bu özellik, Azure Uygulaması Lication Gateway'e genel erişimi engellerken, özel uç nokta üzerinden yalnızca kullanıcıların ve cihazların erişmesine izin verir. Azure Özel Bağlantı bağlantıyla, yalnızca doğru varlığın erişebilmesini sağlayan her özel uç nokta bağlantısını onaylamanız gerekir. v1 ile v2 SKU arasındaki farklar hakkında daha fazla bilgi için bkz. Azure Uygulaması lication Gateway v2.

Azure Load Balancer

Eylül 2025'te Temel Genel IP SKU'sunun planlanan kullanımdan kaldırılmasıyla, Temel Genel IP SKU IP adreslerini kullanan hizmetleri yükseltmeniz gerekir. Microsoft, Temel SKU'ya dahil olmayan güvenlik önlemlerini uygulamak için geçerli Temel SKU Azure Load Balancer'larınızı Standart SKU Azure Load Balancer'lara geçirmenizi önerir.

Standart SKU Azure Load Balancer ile varsayılan olarak güvende olursunuz. Genel yük dengeleyiciye gelen tüm İnternet trafiği, uygulanan ağ güvenlik grubunun kuralları tarafından izin verilmediği sürece engellenir. Bu varsayılan davranış, hazır olmadan önce sanal makinelerinize veya hizmetlerinize yanlışlıkla İnternet trafiğine izin vermenizi önler ve kaynaklarınıza erişebilecek trafiğin denetiminin size ait olmasını sağlar.

Standart SKU Azure Load Balancer, özel uç nokta bağlantıları oluşturmak için Azure Özel Bağlantı kullanır. Bu, yük dengeleyicinin arkasındaki kaynaklarınıza özel erişime izin vermek istediğiniz ancak kullanıcıların ortamlarından erişmesini istediğiniz durumlarda kullanışlıdır.

3. Adım: Karma bağlantı hizmetlerinizi gözden geçirin

Hibrit bağlantı hizmetlerinizin gözden geçirilmesi, Azure VPN Gateway için yeni nesil SKU'ların kullanımını içerir.

Bu diyagramda, başvuru mimarisinde Azure hibrit bağlantı hizmetlerini güncelleştirmeye yönelik bileşenler gösterilir.

Azure hibrit bağlantı hizmetlerini güncelleştirme bileşenlerini gösteren diyagram.

Azure'da hibrit ağları bağlamanın en etkili yolu şu anda Azure VPN Gateway için yeni nesil SKU'lardır. Klasik VPN ağ geçitlerini çalıştırmaya devam edebilirsiniz ancak bunlar eski ve daha az güvenilir ve verimlidir. Klasik VPN ağ geçitleri en fazla 10 İnternet Protokolü Güvenliği (IPsec) tüneli desteklerken, daha yeni Azure VPN Gateway SKU'ları 100 tünele kadar ölçeklendirilebilir.

Yeni SKU'lar daha yeni bir sürücü modeli üzerinde çalışır ve en son güvenlik yazılımı güncelleştirmelerini içerir. Eski sürücü modelleri, modern iş yükleri için uygun olmayan eski Microsoft teknolojilerini temel alır. Yeni sürücü modelleri yalnızca üstün performans ve donanım sunmakla kalmaz, aynı zamanda gelişmiş dayanıklılık sağlar. VPN ağ geçitlerinin AZ SKU'ları kullanılabilirlik alanlarında konumlandırılabilir ve birden çok genel IP adresiyle etkin-etkin bağlantıları destekleyebilir. Bu da dayanıklılığı artırır ve olağanüstü durum kurtarma için gelişmiş seçenekler sunar.

Buna ek olarak, dinamik yönlendirme gereksinimleri için klasik VPN ağ geçitleri Sınır Ağ Geçidi Protokolü(BGP) çalıştıramadı, yalnızca IKEv1 kullandı ve dinamik yönlendirmeyi desteklemedi. Özetle, klasik SKU VPN ağ geçitleri daha küçük iş yükleri, düşük bant genişliği ve statik bağlantılar için tasarlanmıştır.

Klasik VPN ağ geçitlerinin IPsec tünellerinin güvenliği ve işlevselliğiyle ilgili sınırlamaları da vardır. Yalnızca IKEv1 protokolü ile İlke Tabanlı modu ve ihlallere karşı daha duyarlı olan sınırlı bir şifreleme ve karma algoritması kümesini destekler. Microsoft, 1. Aşama ve 2. Aşama protokolleri için daha geniş bir seçenek yelpazesi sunan yeni SKU'lara geçiş yapmanızı önerir. Yol tabanlı VPN Ağ Geçitlerinin hem IKEv1 hem de IKEv2 ana modunu kullanabilmesi, daha fazla uygulama esnekliği ve daha güçlü şifreleme ve karma algoritmaları sağlaması önemli bir avantajdır.

Varsayılan şifreleme değerlerinden daha yüksek güvenlik gerekiyorsa, rota tabanlı VPN Gateway'ler belirli şifrelemeleri ve anahtar uzunluklarını seçmek için 1. Aşama ve 2. Aşama parametrelerinin özelleştirilmesine olanak sağlar. Daha güçlü şifreleme grupları grup 14 (2048 bit), Grup 24 (2048 bit MODP Grubu) veya ECP (üç nokta eğri grupları) 256 bit veya 384 bittir (sırasıyla Grup 19 ve Grup 20). Ayrıca, tünel anlaşmasını yetkisiz trafikten daha fazla korumak için Trafik Seçici ayarını kullanarak hangi ön ek aralıklarının şifrelenmiş trafik göndermesine izin verileceğini belirtebilirsiniz.

Daha fazla bilgi için bkz . Azure VPN Gateway şifrelemesi.

Azure VPN Gateway SKU'ları Noktadan Siteye (P2S) VPN bağlantılarını, OpenVPN ve Güvenli Yuva Tünel Protokolü (SSTP) gibi SSL/TLS tabanlı IKEv2 standardına ve VPN protokollerine dayalı IPsec protokollerini kullanmak için kolaylaştırır. Bu destek, kullanıcılara çeşitli uygulama yöntemleri sağlar ve farklı cihaz işletim sistemleri kullanarak Azure'a bağlanmalarını sağlar. Azure VPN Gateway SKU'ları ayrıca sertifika kimlik doğrulaması, Microsoft Entra ID kimlik doğrulaması ve Active Directory Etki Alanı Hizmetleri (AD DS) kimlik doğrulaması gibi birçok istemci kimlik doğrulaması seçeneği sunar.

Not

Klasik IPSec ağ geçitleri 31 Ağustos 2024'te kullanımdan kaldırılacaktır.

Sonraki Adımlar

Azure ağına Sıfır Güven uygulama hakkında daha fazla bilgi için bkz:

Başvurular

Bu makalede bahsedilen çeşitli hizmetler ve teknolojiler hakkında bilgi edinmek için bu bağlantılara bakın.