Azure tabanlı ağ iletişimini segmentlere ayırmak için Sıfır Güven ilkeleri uygulama
Bu makalede, Azure ortamlarındaki ağları segmentlere ayırmak için Sıfır Güven ilkelerini uygulamaya yönelik yönergeler sağlanır. İşte Sıfır Güven ilkeleri.
| Sıfır Güven ilkesi | Tanım |
|---|---|
| Açıkça doğrula | Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. |
| En az ayrıcalıklı erişim kullan | Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. |
| İhlal varsay | Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın. Azure altyapınızdaki çeşitli düzeylerde ağ segmentasyonu gerçekleştirerek siber saldırı patlama yarıçapını ve segment erişimini en aza indirebilirsiniz. |
Bu makale, azure ağına Sıfır Güven ilkelerinin nasıl uygulanacağını gösteren bir dizi makalenin bir parçasıdır.
Kuruluşlar küçük işletmelerden büyük kuruluşlara dönüştükçe genellikle tek bir Azure aboneliğinden birden çok aboneliğe geçiş yapmak ve her departman için kaynakları ayırmak gerekir. Ortamlar arasında mantıksal sınırlar ve yalıtım oluşturmak için ağınızın segmentasyonunu dikkatle planlamanız önemlidir.
Genellikle kuruluşunuzun ayrı bir bölümünü yansıtan her ortamın belirli iş yükleri için kendi erişim izinleri ve ilkeleri olmalıdır. Örneğin, iç yazılım geliştirici aboneliğinizdeki kullanıcıların bağlantı aboneliğindeki ağ kaynaklarını yönetmeye ve dağıtmaya erişimi olmamalıdır. Ancak bu ortamların DNS, karma bağlantı gibi temel hizmetlere gereken işlevselliği elde etmek ve farklı Azure sanal ağları (VNet) genelinde diğer kaynaklara ulaşabilmek için yine de ağ bağlantısına ihtiyacı vardır.
Azure altyapınızın segmentasyonu yalnızca yalıtım sağlamakla kalmaz, aynı zamanda bir saldırganın ortamlar arasında ilerlemesini ve ek hasar vermesini önleyen güvenlik sınırları da oluşturabilir (İhlal varsay Sıfır Güven ilkesi).
Referans mimarisi
Kaynaklarınızın yetkisiz erişime veya kötü amaçlı saldırılara karşı korunmasına yardımcı olmak için Azure'da farklı segmentasyon düzeyleri kullanabilirsiniz. Bu segmentasyon düzeyleri abonelik düzeyinde başlar ve sanal makinelerde çalışan uygulamalara kadar iner. Segmentasyon, her biri kendi kuralları ve ilkeleri olan bir ortamı diğerinden ayıran bir sınır oluşturur. İhlallerin gerçekleşebileceği varsayımıyla, ağlarınızın yayılmasını önlemek için segmentlere ayırmanız gerekir.
Azure ağı aşağıdaki segmentasyon düzeylerini kullanır:
Abonelikler
Azure aboneliği, Azure’da kaynakların sağlanması için kullanılan mantıksal bir kapsayıcıdır. Microsoft Entra Id kiracısında bir Azure hesabına bağlanır ve aboneliğe atanan Azure kaynakları için tek bir faturalama birimi olarak hizmet verir. Azure aboneliği, abonelikte yer alan kaynaklara erişim için de mantıksal bir sınırdır. Farklı aboneliklerdeki kaynaklar arasında erişim için açık izinler gerekir.
Sanal ağlar
Azure sanal ağı, varsayılan olarak içindeki tüm sanal makinelerin birbirleriyle iletişim kurmasına izin veren yalıtılmış bir özel ağdır. Varsayılan olarak, eşleme, VPN bağlantıları veya ExpressRoute aracılığıyla aralarında bağlantı oluşturmadığınız sürece sanal ağlar diğer sanal ağlarla iletişim kuramaz. Tek tek sanal ağlar, farklı uygulamaları, iş yüklerini, departmanları veya kuruluşları bölen bir güven sınırı olarak kullanılabilir.
Azure Sanal Ağ Yöneticisi (AVNM), tek bir yönetim ekibinin sanal ağları yönetmesine ve genel olarak birden çok abonelikte güvenlik kurallarını zorlamasına olanak tanıyan bir ağ yönetim hizmetidir. Hangi sanal ağların birbiriyle iletişim kurabileceğini belirlemek üzere ağ gruplarını tanımlamak için AVNM'yi kullanabilirsiniz. Ağ yapılandırma değişikliklerini izlemek için AVNM'yi de kullanabilirsiniz.
Sanal ağ içindeki iş yükleri
Sanal makineler veya Azure Databricks ve App Service gibi sanal ağ tümleştirmesini destekleyen PaaS hizmetleri gibi bir sanal ağ içindeki iş yükleri için, aynı sanal ağ içinde yer aldıklarından ve ağ güvenlik grupları kullanılarak daha da güvenli hale getirilmesi gerektiğinden iletişime varsayılan olarak izin verilir. Bir sanal ağ içindeki segmentlere ayırma araçları ve hizmetleri şunları içerir:
Azure Güvenlik Duvarı
Azure Güvenlik Duvarı bulut kaynakları, şirket içi ve İnternet arasındaki trafiği filtrelemek için sanal ağda dağıtılan bir hizmettir. Azure Güvenlik Duvarı ile ağ ve uygulama katmanlarında trafiğe izin vermek veya trafiği reddetmek için kurallar ve ilkeler tanımlayabilirsiniz. İzinsiz Giriş Algılama ve Önleme Sistemi (IDPS), Aktarım Katmanı Güvenliği (TLS) denetimi ve tehdit bilgileri tabanlı filtreleme gibi Azure Güvenlik Duvarı tarafından sağlanan gelişmiş tehdit koruma özelliklerinden de yararlanabilirsiniz.
Ağ güvenlik grubu
Ağ güvenlik grubu, sanal ağ içindeki sanal makineler gibi Azure kaynakları arasındaki ağ trafiğini filtreleyen bir erişim denetimi mekanizmasıdır. Ağ güvenlik grubu, bir sanal ağın alt ağında veya sanal makine düzeylerinde trafiğe izin veren veya trafiği reddeden güvenlik kuralları içerir. Ağ güvenlik gruplarının yaygın kullanımlarından biri, farklı alt ağlardaki sanal makine kümelerini segmentlere ayırmaktır.
Uygulama güvenlik grubu
Uygulama güvenlik grubu, sanal makinelerin ağ arabirimlerini rollerine ve işlevlerine göre gruplandırmanızı sağlayan bir ağ güvenlik grubunun uzantısıdır. Ardından, sanal makinelerin IP adreslerini tanımlamak zorunda kalmadan uygun ölçekte bir ağ güvenlik grubundaki uygulama güvenlik gruplarını kullanabilirsiniz.
Azure Front Door
Azure Front Door , Microsoft'un kullanıcılarınız ile uygulamalarınızın dünya genelindeki statik ve dinamik web içeriği arasında hızlı, güvenilir ve güvenli erişim sağlayan modern bulut İçerik Teslim Ağıdır (CDN).
Aşağıdaki diyagramda segmentasyon düzeyleri için başvuru mimarisi gösterilmektedir.
Diyagramda, düz kırmızı çizgiler aşağıdakiler arasındaki segmentasyon düzeylerini gösterir:
- Azure abonelikleri
- Abonelikteki sanal ağlar
- VNet'teki alt ağlar
- İnternet ve sanal ağ
Diyagramda, Azure aboneliklerine yayılabilen AVNM tarafından yönetilen bir sanal ağ kümesi de gösterilir.
Bu makalede neler var?
Sıfır Güven ilkeleri, Azure bulutu içindeki başvuru mimarisinde uygulanır. Aşağıdaki tabloda, ihlal varsay Sıfır Güven ilkesine uymak için bu mimarideki ağları segmentlere ayırma önerileri açıklanmaktadır.
| Adımlar | Görev |
|---|---|
| 1 | Tek tek sanal ağlarınızda segment oluşturun. |
| 2 | Eşleme ile birden çok sanal ağ bağlayın. |
| 3 | Merkez-uç yapılandırmasında birden çok sanal ağı bağlayın. |
1. Adım: Tek tek sanal ağlarınızda segment oluşturma
Azure aboneliğindeki tek bir sanal ağ içinde, kaynakların ayrıştırılıp segmentlere ayrılmasını sağlamak için alt ağları kullanırsınız. Örneğin, bir sanal ağ içinde veritabanı sunucuları için bir alt ağ, web uygulamaları için başka bir alt ağ ve Web Uygulaması Güvenlik Duvarı içeren bir Azure Güvenlik Duvarı veya Azure Uygulaması lication Gateway için ayrılmış bir alt ağ olabilir. Varsayılan olarak, alt ağlar arasındaki tüm iletişim bir sanal ağ içinde etkinleştirilir.
Alt ağlar arasında yalıtım oluşturmak için, IP adreslerine, bağlantı noktalarına veya protokollere göre belirli ağ trafiğine izin vermek veya reddetmek için ağ güvenlik grupları veya uygulama güvenlik grupları uygulayabilirsiniz. Ancak ağ güvenlik gruplarının ve uygulama güvenlik gruplarının tasarlanması ve bakımının sağlanması da yönetim yükü oluşturabilir.
Bu çizimde, her katman için ayrı alt ağlara sahip üç katmanlı bir uygulamanın ortak ve önerilen yapılandırması ve her alt ağ arasında kesimli sınırlar oluşturmak için ağ güvenlik gruplarının ve uygulama güvenlik gruplarının kullanılması gösterilmektedir.
Ayrıca, bir Azure Güvenlik Duvarı veya üçüncü taraf Ağ Sanal Gereci'ne (NVA) işaret eden kullanıcı tanımlı yolları (UDF) kullanarak alt ağlar arası trafiği yönlendirerek kaynakların segmentasyonuna da ulaşabilirsiniz. Azure Güvenlik Duvarı ve NVA'lar, katman 3 ile 7 arasında denetimler kullanarak trafiğe izin verme veya trafiği reddetme özelliğine de sahiptir. Bu hizmetlerin çoğu gelişmiş filtreleme özellikleri sağlar.
Daha fazla bilgi için Bkz . Desen 1: Tek sanal ağ.
2. Adım: Eşleme ile birden çok sanal ağı bağlama
Varsayılan olarak, tek bir Azure aboneliğine sahip sanal ağlar arasında veya birden çok abonelik arasında izin verilen bir iletişim yoktur. Her biri farklı varlıklara ait olan birden çok sanal ağın kendi erişim denetimleri vardır. Bir Azure Güvenlik Duvarı veya üçüncü taraf bir NVA'nın tüm trafiği denetlediği sanal ağ eşlemesini kullanarak birbirlerine veya merkezi bir merkez sanal ağına bağlanabilirler.
Bu çizimde, iki sanal ağ arasındaki sanal ağ eşleme bağlantısı ve bağlantının her ucunda Azure Güvenlik Duvarı kullanımı gösterilmektedir.
Merkez sanal ağı genellikle güvenlik duvarları, kimlik sağlayıcıları ve karma bağlantı bileşenleri gibi paylaşılan bileşenleri içerir. Mikro segmentasyon için belirli ön ek UDR'leri eklenmesi yalnızca sanal ağ içi trafiğin bir gereksinim olması durumunda gerekli olacağından UDR yönetimi daha basit hale gelir. Ancak sanal ağın kendi sınırları olduğundan güvenlik denetimleri zaten mevcuttur.
Daha fazla bilgi için aşağıdaki rehbere bakın:
- Sanal ağlar için Güvenlik Duvarı ve Application Gateway
- Desen 2: Aralarında eşleme bulunan birden çok sanal ağ
- Azure'da uç sanal ağına Sıfır Güven ilkeleri uygulama
- Azure'da merkez sanal ağına Sıfır Güven ilkeleri uygulama
3. Adım: Merkez-uç yapılandırmasında birden çok sanal ağ bağlama
Merkez-uç yapılandırmasındaki birden çok sanal ağ için ağ trafiğinizi şu sınırlar için nasıl segmentlere ayırmayı göz önünde bulundurmanız gerekir:
- İnternet sınırı
- Şirket içi ağ sınırı
- Genel Azure hizmetlerinin sınırları
İnternet sınırı
İnternet trafiğinin güvenliğini sağlamak, ağ güvenliğinde temel bir önceliktir. Bu, Azure iş yüklerinizden İnternet'ten gelen (güvenilmeyen) ve İnternet'e yönlendirilen çıkış trafiğini yönetmeyi içerir.
Microsoft, İnternet'ten gelen giriş trafiğinin tek bir giriş noktasına sahip olması önerilir. Microsoft giriş trafiğinin Azure Güvenlik Duvarı, Azure Front Door veya Azure Uygulaması lication Gateway gibi bir Azure PaaS kaynağından geçişini kesinlikle teşvik eder. Bu PaaS kaynakları, genel IP adresine sahip bir sanal makineden daha fazla özellik sunar.
Azure Güvenlik Duvarı
Bu çizimde, kendi alt ağındaki Azure Güvenlik Duvarı İnternet ile Azure sanal ağındaki üç katmanlı iş yükü arasındaki trafik için merkezi bir giriş noktası ve segmentasyon sınırı olarak nasıl hareket ettiği gösterilmektedir.
Daha fazla bilgi için bkz. Microsoft Azure İyi Tasarlanmış Çerçeve'deki Azure Güvenlik Duvarı.
Azure Front Door
Azure Front Door, İnternet ile Azure'da barındırılan hizmetler arasında bir sınır görevi görebilir. Azure Front Door, sanal ağ erişimi için İç Yük Dengeleme (ILB), statik web siteleri ve blob depolama için depolama hesapları ve Azure Uygulaması hizmetleri gibi kaynaklara Özel Bağlantı bağlantıyı destekler. Azure Front Door genellikle ölçekli dağıtımlar için yapılır.
Azure Front Door bir yük dengeleme hizmetinden daha fazlasıdır. Azure Front Door altyapısında yerleşik DDoS koruması vardır. Önbelleğe alma etkinleştirildiğinde, içerik arka uç sunucularına sürekli erişmek yerine iletişim noktası (POP) konumlarından alınabilir. Önbelleğin süresi dolduğunda Azure Front Door istenen kaynağı alır ve önbelleği güncelleştirir. Azure Front Door, sunucularına erişen son kullanıcılar yerine iki ayrı bağlantı için Bölünmüş TCP kullanır. Bu yalnızca son kullanıcı deneyimini geliştirmekle kalmaz, kötü amaçlı aktörlerin kaynaklara doğrudan erişmesini engeller.
Bu çizimde, Azure Front Door'un depolama hesaplarında bulunabilen İnternet kullanıcıları ile Azure kaynakları arasında nasıl segmentasyon sağladığı gösterilmektedir.
Daha fazla bilgi için bkz . Azure İyi Tasarlanmış Çerçeve'de Azure Front Door .
Azure Application Gateway
İnternet giriş noktası, giriş noktalarının bir bileşimi de olabilir. Örneğin HTTP/HTTPS trafiği, Web Uygulaması Güvenlik Duvarı veya Azure Front Door tarafından korunan bir Application Gateway üzerinden giriş yapabilir. RDP/SSH gibi HTTP/HTTPS olmayan trafik Azure Güvenlik Duvarı veya NVA aracılığıyla giriş yapabilir. Bu iki öğeyi daha derin inceleme ve UDR'leri kullanarak trafik akışını denetlemek için birlikte kullanabilirsiniz.
Bu çizimde İnternet giriş trafiği ve HTTP/HTTPS trafiği için Web Uygulaması Güvenlik Duvarı ve diğer tüm trafikler için Azure Güvenlik Duvarı olan bir Application Gateway kullanımı gösterilmektedir.
Yaygın olarak önerilen iki senaryo şunlardır:
- Application Gateway ile paralel olarak bir Azure Güvenlik Duvarı veya NVA yerleştirin.
- Hedefe ulaşmadan önce daha fazla trafik denetimi için Application Gateway'in arkasına bir Azure Güvenlik Duvarı veya NVA yerleştirin.
Daha fazla bilgi için bkz. Microsoft Azure İyi Tasarlanmış Çerçeve'de Azure Uygulaması Lication Gateway.
İnternet trafik akışları için ek yaygın desenler aşağıdadır.
Birden çok arabirim kullanarak giriş trafiği
Bir yaklaşım, NVA'ları kullanırken sanal makinelerde birden çok ağ arabirimini kullanmayı içerir: biri güvenilmeyen trafik için (dış kullanıma yönelik) ve diğeri güvenilen trafik (iç kullanıma yönelik) için bir arabirim. Trafik akışı açısından, UDR'leri kullanarak giriş trafiğini şirket içinden NVA'ya yönlendirmeniz gerekir. NVA tarafından alınan İnternet'ten gelen giriş trafiği, konuk işletim sistemi gerecindeki ve UDR'lerdeki statik yolların bir bileşimiyle uygun sanal ağ veya alt ağ üzerindeki hedef iş yüküne yönlendirilmelidir.
Çıkış trafiği ve UDR'ler
İnternet için sanal ağınızdan ayrılan trafik için, bir sonraki atlama olarak seçilen NVA ile bir yol tablosu kullanarak bir UDR uygulayabilirsiniz. Karmaşıklığı azaltmak için Azure Sanal WAN hub'ınıza bir Azure Güvenlik Duvarı veya NVA dağıtabilir ve Yönlendirme Amacı ile İnternet güvenliğini açabilirsiniz. Bu, Hem kuzey-güney trafiğinin (ağ kapsamına girip çıkması) hem de Azure dışı Sanal IP adreslerini (VIP' ler) hedefleyen doğu-batı trafiğinin (ağ kapsamındaki cihazlar arasında) denetlenmesini sağlar.
Çıkış trafiği ve varsayılan yol
Bazı yöntemler, varsayılan bir yolu (0.0.0.0/0) farklı yöntemlerle yönetmeyi içerir. Genel bir kural olarak, Azure altyapısının işleyebileceği aktarım hızı miktarı nedeniyle Azure'dan kaynaklanan çıkış trafiğinin çıkış noktalarını ve Azure Güvenlik Duvarı veya NVA'larla denetlemeyi kullanması önerilir. Bu durum çoğu durumda çok daha fazla ve daha dayanıklı olabilir. Bu durumda, iş yükü alt ağlarının UDF'lerinde varsayılan bir yol yapılandırmak, bu çıkış noktalarına giden trafiği zorlayabilir. Çıkış noktası olarak çıkış trafiğini şirket içinden Azure'a yönlendirmeyi de tercih edebilirsiniz. Bu durumda, Sınır Ağ Geçidi Protokolü'ne (BGP) sahip şirket içi bir varsayılan yolu tanıtmak için NVA ile birlikte Azure Route Server'ı kullanın.
BGP üzerinden varsayılan bir rota tanıtarak tüm çıkış trafiğinin şirket içi ortamına geri yönlendirilmesine ihtiyaç duyduğunuz özel durumlar vardır. Bu, VNet'ten çıkan trafiğin şirket içi ağınız üzerinden denetlenmek üzere bir güvenlik duvarına tünele dönüştürülmeye zorlar. Bu son yaklaşım, artan gecikme süresi ve Azure tarafından sağlanan güvenlik denetimlerinin olmaması nedeniyle en az istenen yaklaşımdır. Bu uygulama, şirket içi ortamlarında trafik denetimi için belirli gereksinimleri olan devlet ve bankacılık sektörleri tarafından yaygın olarak benimsenmektedir.
Ölçek açısından:
- Tek bir sanal ağ için, katman 4 semantiğine kesinlikle bağlı olan ağ güvenlik gruplarını kullanabilir veya hem Katman 4 hem de Katman 7 semantiğine bağlı olan bir Azure Güvenlik Duvarı kullanabilirsiniz.
- Birden çok sanal ağ için, erişilebilir olduğunda tek bir Azure Güvenlik Duvarı kullanılabilir veya her sanal ağa bir Azure Güvenlik Duvarı dağıtabilir ve UDR'lerle trafiği yönlendirebilirsiniz.
Büyük kurumsal dağıtılmış ağlar için merkez-uç modelini kullanmaya ve trafiği UDR'lerle yönlendirmeye devam edebilirsiniz. Ancak bu, yönetim ek yüküne ve sanal ağ eşleme sınırlarına yol açabilir. Azure Sanal WAN, kullanım kolaylığı için sanal hub'da bir Azure Güvenlik Duvarı dağıtıp İnternet güvenliği için Yönlendirme Amacı'nı etkinleştirirseniz bunu gerçekleştirebilir. Bu, tüm uçlara ve dal ağlarına varsayılan yolları ekler ve denetim için Azure Güvenlik Duvarı İnternet'e bağlı trafik gönderir. RFC 1918 adres bloklarını hedefleyen özel trafik, Azure Sanal WAN hub'ına atanan sonraki atlama olarak Azure Güvenlik Duvarı veya NVA'ya gönderilir.
Şirket içi ağ sınırı
Azure'da, şirket içi ağlarla bağlantı kurmanın ana yöntemleri İnternet Protokolü (IPsec) tünelleri, ExpressRoute tünelleri veya Yazılım tanımlı WAN (SD-WAN) tünelleridir. Genellikle, daha az bant genişliği gerektiren daha küçük iş yükleri için Azure Siteden Siteye (S2S) VPN bağlantısı kullanırsınız. Ayrılmış hizmet yolu ve daha yüksek aktarım hızı gereksinimleri gerektiren iş yükleri için Microsoft ExpressRoute'u önerir.
Bu çizimde, Bir Azure ortamı ile şirket içi ağ arasındaki farklı bağlantı yöntemi türleri gösterilmektedir.
Azure VPN bağlantıları birden çok tüneli desteklese de ExpressRoute genellikle bir bağlantı ortağı aracılığıyla daha yüksek bant genişliği ve özel bağlantılar gerektiren daha büyük kurumsal ağlar için yapılandırılır. ExpressRoute için, aynı sanal ağı birden çok bağlantı hattına bağlamak mümkündür, ancak segmentasyon amacıyla bu genellikle birbiriyle bağlantılı olmayan sanal ağların iletişim kurmasına izin verdiğinden ideal değildir.
Segmentlere ayırma yöntemlerinden biri, uç sanal ağlarında uzak ağ geçidi kullanmama veya yol tabloları kullanıyorsanız BGP yol yayma özelliğini devre dışı bırakma seçeneğini belirlemeyi içerir. NVA'lar ve Güvenlik Duvarları ile ExpressRoute'a bağlı hub'ları segmentlere ayırmaya devam edebilirsiniz. Merkezlerle eşlenen uçlar için sanal ağ eşleme özelliklerinde uzak ağ geçidi kullanmamayı seçebilirsiniz. Bu şekilde uçlar yalnızca doğrudan bağlı hub'ları hakkında bilgi edinerek şirket içi yolları öğrenmez.
Şirket içinden gelen ve giden trafiği segmentlere ayırmak için ortaya çıkan bir diğer yaklaşım da SD-WAN teknolojilerinin kullanılmasıdır. NVA gereçlerinin içindeki farklı dallardan gelen SD-WAN tünellerini temel alan segmentasyon oluşturmak için Azure'daki üçüncü taraf NVA'ları kullanarak dal konumlarınızı Azure SD-WAN'a genişletebilirsiniz. Azure Route Server'ı kullanarak SD-WAN tünellerinin adres ön eklerini merkez-uç topolojisi için Azure platformuna ekleyebilirsiniz.
Sanal WAN topolojisi için sanal hub'da üçüncü taraf SD-WAN NVA'sının doğrudan tümleştirmesine sahip olabilirsiniz. Sanal hub ile tümleşik NVA'dan tüneller oluşturarak SD-WAN çözümlerinin kullanılmasına izin vermek için BGP uç noktalarını da kullanabilirsiniz.
Her iki model için de ExpressRoute'u kullanarak özel eşleme veya Microsoft eşlemesi ile temel alınan özel veya genel bağlantıyı segmentlere ekleyebilirsiniz. Güvenlik için yaygın bir uygulama, ExpressRoute üzerinden varsayılan bir yol tanıtmaktır. Bu, VNet'ten çıkan tüm trafiğin denetlenmek üzere şirket içi ağınıza tünele dönüştürülmeye zorlar. Benzer şekilde, hem VPN hem de ExpressRoute üzerinden gelen trafik daha fazla inceleme için bir NVA'ya gönderilebilir. Bu, Azure'dan çıkan trafik için de geçerlidir. Ortam bir veya iki bölge gibi daha küçük olduğunda bu yöntemler basittir.
Büyük, dağıtılmış ağlarda, Yönlendirme Amacı'nın kullanıldığı özel trafik incelemesini etkinleştirerek Azure Sanal WAN de kullanabilirsiniz. Bu, inceleme için NVA'nın özel IP adresine yönlendiren tüm trafiği yönlendirir. Yukarıdaki yöntemlerde olduğu gibi, ortamınız birden çok bölgeye yayıldığında bunu yönetmek çok daha kolaydır.
Azure Sanal WAN ile ilgili diğer yaklaşım, yalıtım sınırları için özel yol tabloları kullanmaktır. Özel yollar oluşturabilir ve yalnızca istediğiniz VNet'leri bu yönlendirme tablolarıyla ilişkilendirebilir ve yayabilirsiniz. Ancak bu özellik bugün yönlendirme amacı ile birleştirilemiyor. Dalları yalıtmak için, dalları bu etiketle ilişkilendirmek için etiketler atayabilirsiniz. Ayrıca, hub başına varsayılan etikete yayma özelliğini de devre dışı bırakabilirsiniz. Şu anda Azure'daki tek dalları tek bir hub'da ayrı ayrı yalıtamazsınız. Örneğin, SD-WAN'ı ExpressRoute'tan yalıtamazsınız. Ancak tüm hub'da varsayılan etikete yayma özelliğini devre dışı bırakabilirsiniz.
Genel Azure hizmetlerinin sınırları
Azure'da çoğu hizmete varsayılan olarak Azure genel WAN üzerinden erişilebilir. Bu, Azure PaaS hizmetlerine genel erişim için de geçerlidir. Örneğin, Azure Depolama'nın sanal ağlara erişimi kısıtlayan ve genel erişimi engelleyebilecek yerleşik bir güvenlik duvarı vardır. Ancak, genellikle daha ayrıntılı denetime ihtiyaç vardır. Tipik tercih, sağlanan varsayılan genel IP adreslerini kullanmak yerine Azure VIP'lerine özel olarak bağlanmaktır.
PaaS kaynaklarına erişimi kısıtlamak için en yaygın yöntem Azure Özel Bağlantı. Özel uç nokta oluşturduğunuzda sanal ağınıza eklenir. Azure, söz konusu PaaS kaynağına tünel açmak için bu özel IP adresini kullanır. Azure, Azure Özel DNS Bölgeleri'ni kullanarak bir DNS A kaydını özel uç noktaya eşler ve bir CNAME kaydını özel bağlantı PaaS kaynağına eşler.
Hizmet uç noktaları, PaaS VIP'lerine bağlanmak için alternatif bir yöntem sunar. Hizmet etiketlerini seçerek bu etiket içindeki tüm PaaS kaynaklarına bağlantılara izin verebilir ve PaaS kaynağına özel bağlantı sağlayabilirsiniz.
Yaygın olarak kullanılan bir diğer yöntem de ExpressRoute için Microsoft Eşlemesi'nin kullanılmasıdır. Şirket içinden PaaS VIP'lerine bağlanmak istiyorsanız Microsoft Eşleme'yi ayarlayabilirsiniz. KULLANıLACAK VIP'ler için BGP topluluğu seçebilirsiniz ve bu, Microsoft Eşleme yolu üzerinden tanıtılır.
Daha fazla bilgi için aşağıdaki rehbere bakın:
- Sanal ağlar için Güvenlik Duvarı ve Application Gateway
- Desen 3: Merkez-uç modelinde birden çok sanal ağ
Segmentlere ayırma özeti
Bu tabloda farklı segmentasyon düzeyleri ve güvenlik yöntemleri özetlemektedir.
| Bu | Varsayılan davranış | İletişim etkinleştiren... | Segmentasyon güvenlik yöntemleri |
|---|---|---|---|
| Abonelikler | İletişim yok | - Sanal ağ eşlemesi - VPN ağ geçitleri |
Azure Güvenlik Duvarı |
| Sanal ağlar | İletişim yok | - Sanal ağ eşlemesi - VPN ağ geçitleri |
Azure Güvenlik Duvarı |
| Sanal ağ içindeki alt ağlardaki iş yükleri | Açık iletişim | Yok | - Ağ güvenlik grupları - Uygulama güvenlik grupları |
| İnternet ve sanal ağ | İletişim yok | - Load Balancer - Genel IP - Application Gateway - Azure Front Door |
- Web Uygulaması Güvenlik Duvarı ile Azure Uygulaması Lication Gateway - Azure Güvenlik Duvarı - Web Uygulaması Güvenlik Duvarı ile Azure Front Door |
| İnternet ve şirket içi ağlarınız | İletişim yok | - Azure S2S VPN - IPSec tüneli - ExpressRoute tüneli - SD-WAN tüneli |
Azure Güvenlik Duvarı |
| Sanal ağ içindeki İnternet ve sanal makineler | Sanal makinelerin yalnızca özel IP adresleri varsa iletişim yoktur | Sanal makineye genel IP adresi atama | Yerel sanal makine güvenlik duvarı |
Önerilen eğitim
- Azure yöneticileri için sanal ağları yapılandırma ve yönetme
- Azure Web Uygulaması Güvenlik Duvarı'a giriş
- Ağ güvenlik gruplarını ve hizmet uç noktalarını kullanarak Azure kaynaklarının güvenliğini sağlama ve erişimi yalıtma
- Azure Front Door'a giriş
- Azure Uygulaması lication Gateway'e giriş
- Azure Özel Bağlantı giriş
- Azure Sanal WAN'a giriş
- VPN Gateway ile şirket içi ağınızı Azure'a bağlama
Sonraki Adımlar
Azure ağına Sıfır Güven uygulama hakkında ek bilgi için bkz:
- Azure tabanlı ağ iletişimlerini şifreleme
- Ağ trafiğiniz hakkında görünürlük elde edin
- Eski ağ güvenlik teknolojisini sonlandır
- Sıfır Güven ile ağların güvenliğini sağlama
- Azure'da uç sanal ağları
- Azure'da hub sanal ağları
- Azure PaaS hizmetleriyle uç sanal ağları
- Azure Sanal WAN
Başvurular
Bu makalede bahsedilen çeşitli hizmetler ve teknolojiler hakkında bilgi edinmek için bu bağlantılara bakın.
- Azure Sanal Ağ Yöneticisi
- Azure Güvenlik Duvarı
- Ağ güvenlik grupları
- Uygulama güvenliği grupları
- Azure Front Door
- Azure Application Gateway
- Web Uygulaması Güvenlik Duvarı
- Azure Özel Bağlantı
- Azure Sanal WAN
- Yönlendirme Amacı ile İnternet güvenliği
- Azure Siteden Siteye (S2S) VPN bağlantısı
- Azure Route Server