Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Ağ Güvenlik Çevresi, sanal ağlarınızın dışında dağıtılan hizmet olarak platform (PaaS) kaynaklarınızın çevresinde mantıksal ağ sınırları oluşturur. Ağ güvenlik çevresi, güvenli bir çevre oluşturarak Azure Storage hesapları ve Azure Key Vault gibi kaynaklara genel ağ erişimini denetlemenize yardımcı olur.
Varsayılan olarak, ağ güvenlik çevresi sınır içindeki PaaS kaynaklarına genel erişimi kısıtlar. Gelen ve giden trafik için açık erişim kuralları aracılığıyla özel durumlar vekleyebilirsiniz. Bu yaklaşım, uygulamalarınız için gerekli bağlantıyı korurken veri sızdırmayı önlemeye yardımcı olur.
Sanal ağlardan PaaS kaynaklarına trafiği içeren erişim desenleri için bkz. Azure Private Link nedir?
Ağ güvenlik çevresinin özellikleri şunlardır:
- Çevre üyeleri arasında kaynaklar arasındaki erişim iletişimi, yetkisiz hedeflere veri sızdırılmasını önler.
- Çevreyle ilişkili PaaS kaynakları için açık kurallarla dış genel erişim yönetimi.
- Denetim ve uyumluluk için erişim günlükleri.
- PaaS kaynakları arasında birleşik deneyim.
Important
Ağ güvenlik çevresi artık tüm Azure genel bulut bölgelerinde genel kullanıma sunulmuştur. Desteklenen hizmetler hakkında bilgi için bkz. Desteklenen PaaS hizmetleri için eklenen özel bağlantı kaynakları ."
Ağ güvenlik çevresinin bileşenleri
Ağ güvenlik çevresi aşağıdaki bileşenleri içerir:
| Component | Description |
|---|---|
| Ağ güvenliği çevresi | PaaS kaynaklarının güvenliğini sağlamak için mantıksal ağ sınırını tanımlayan üst düzey kaynak. |
| Profile | Profille ilişkili kaynaklara uygulanan erişim kurallarının koleksiyonu. |
| Erişim kuralı | Bir çevredeki kaynaklar için çevre içi ve çevre dışı erişime izin vermek amacıyla gelen ve giden kurallar. |
| Kaynak ilişkilendirmesi | Bir PaaS kaynağı için perimetre üyeliği. |
| Tanılama ayarları | Microsoft Insights tarafından barındırılan uzantı kaynağı, çevredeki tüm kaynakların günlüklerini ve ölçümlerini toplar. |
Note
Kurumsal ve bilgilendirsel güvenlik için, ağ güvenliği çevre kurallarına veya diğer ağ güvenliği çevre yapılandırmalarına kişisel veya hassas veriler eklemeyin.
Ağ güvenliği çevre özellikleri
Ağ güvenlik çevresi oluştururken aşağıdaki özellikleri belirtebilirsiniz:
| Property | Description |
|---|---|
| Name | Kaynak grubu içinde benzersiz bir ad. |
| Location | Kaynağın bulunduğu desteklenen Azure bölgesi. |
| Kaynak grubu adı | Ağ güvenlik çevresinin mevcut olması gereken kaynak grubunun adı. |
Ağ güvenlik çevresindeki erişim modları
Yöneticiler, kaynak ilişkilendirmeleri oluşturarak PaaS kaynaklarını bir çevreye ekler. Bu ilişkilendirmeler iki erişim modunda yapılabilir. Erişim modları şunlardır:
| Mode | Description |
|---|---|
| Geçiş modu (eski adıyla Öğrenme modu) | - Varsayılan erişim modu. - Ağ yöneticilerinin PaaS kaynaklarının mevcut erişim desenlerini anlamasına yardımcı olur. - Zorunlu moda geçmeden önce önerilen kullanım modu. |
| Zorlanan mod | - Yönetici tarafından ayarlanmalıdır. - Varsayılan olarak, erişime izin ver kuralı olmadığı sürece çevre içi trafik dışındaki tüm trafik bu modda reddedilir. |
Ağ güvenlik çevresine geçiş makalesinde, geçiş modundan (eski adıyla öğrenme modu) zorunlu moda geçiş hakkında daha fazla bilgi edinin.
Neden bir ağ güvenlik perimetresi kullanmalısınız?
Ağ güvenlik çevresi, sanal ağ dışında dağıtılan PaaS hizmetlerinin iletişimi için güvenli bir çevre sağlar. Azure PaaS kaynaklarına ağ erişimini denetlemenize olanak tanır. Yaygın kullanım örneklerinden bazıları şunlardır:
- PaaS kaynakları çevresinde güvenli bir sınır oluşturun.
- PaaS kaynaklarını çevreyle ilişkilendirerek veri sızdırmayı önleyin.
- Güvenli çevre dışında erişim vermek için erişim kurallarını etkinleştirin.
- Ağ güvenlik çevresi içindeki tüm PaaS kaynakları için erişim kurallarını tek bir cam bölmesinde yönetin.
- Denetim ve Uyumluluk için çevre içindeki PaaS kaynaklarının erişim günlüklerini oluşturmak için tanılama ayarlarını etkinleştirin.
- Açık erişim kurallarına gerek kalmadan özel uç nokta trafiğine izin verin.
Ağ güvenlik çevresi nasıl çalışır?
Bir ağ güvenlik çevresi oluşturulduğunda ve PaaS kaynakları zorunlu modda çevreyle ilişkilendirildiğinde, tüm genel trafik varsayılan olarak reddedilir ve böylece çevrenin dışına veri sızması engellenir.
Erişim kuralları, çevre dışındaki genel gelen ve giden trafiği onaylamak için kullanılabilir. Genel gelen erişim, istemcinin kaynak IP adresleri, abonelikler gibi Ağ ve Kimlik öznitelikleri kullanılarak onaylanabilir. Dış hedeflerin FQDN'leri (Tam Etki Alanı Adları) kullanılarak genel dış erişim onaylanabilir.
Örneğin, bir ağ güvenlik çevresi oluşturduktan ve bir dizi PaaS kaynağını zorunlu modda Azure Key Vault ve Azure Storage gibi çevreyle ilişkilendirdikten sonra, bu PaaS kaynaklarına gelen ve giden tüm genel trafik varsayılan olarak reddedilir. Çevre dışında herhangi bir erişime izin vermek için gerekli erişim kuralları oluşturulabilir. Aynı çevre içinde, benzer gelen ve giden erişim gereksinimleri kümesine sahip PaaS kaynaklarını gruplandırmak için profiller oluşturulabilir.
Eklenen özel bağlantı kaynakları
Ağ güvenliği çevre duyarlı özel bağlantı kaynağı, ağ güvenlik çevresiyle ilişkilendirilebilen bir PaaS kaynağıdır. Şu anda eklenen özel bağlantı kaynaklarının listesi aşağıdaki gibidir:
| Özel bağlantı kaynak adı | Kaynak türü | Resources | Kullanılabilirlik |
|---|---|---|---|
| Azure Monitör | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/çalışma alanları |
Log Analytics Çalışma Alanı, Application Insights, Uyarılar, Bildirim Hizmeti | Genel kullanıma sunuldu |
| Azure AI Arama Hizmeti | Microsoft.Search/searchServices | Genel Kullanıma Sunuldu | |
| Cosmos DB | Microsoft. DocumentDB/databaseAccounts | Genel Önizleme | |
| Event Hubs | Microsoft.EventHub/namespaces | Genel Kullanıma Sunuldu | |
| Key Vault (şifreleme hizmeti) | Microsoft.KeyVault/kasalar | Genel Kullanıma Sunuldu | |
| SQL Veritabanı | Microsoft.Sql/sunucular | Genel Önizleme | |
| Storage | Microsoft. Storage/storageAccounts | Genel Kullanıma Sunuldu | |
| Azure OpenAI hizmeti | Microsoft.CognitiveServices(kind="OpenAI") | Genel Önizleme | |
| Microsoft Foundry | Microsoft. CognitiveServices(kind="AIServices") | Genel Kullanıma Sunuldu | |
| Azure Service Bus | Microsoft.ServiceBus/isim alanları | Genel Kullanıma Sunuldu |
Important
Aşağıdaki eklenen hizmetler, Ağ Güvenliği Çevresi ile genel önizleme aşamasındadır:
- Cosmos DB veritabanı hizmeti
- SQL Veritabanı
- Azure OpenAI Service
Bu önizlemeler bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Uygun Kullanım Koşulları.
Note
Şu anda desteklenmeyen senaryolar hakkında bilgi için ilgili özel bağlantı kaynağı belgelerine bakın.
Desteklenen erişim kuralı türleri
Ağ güvenlik çevresi aşağıdaki erişim kuralı türlerini destekler:
| Direction | Erişim kuralı türü |
|---|---|
| Inbound | Abonelik tabanlı kurallar |
| Inbound | IP tabanlı kurallar (v6 desteği için ilgili eklenen özel bağlantı kaynaklarını denetleyin) |
| Outbound | FQDN tabanlı kurallar |
Note
Abonelik tabanlı çevre içi trafik ve gelen erişim kuralları, paylaşılan erişim imzası (SAS) belirteci aracılığıyla kimlik doğrulamayı desteklemez. Bu senaryolarda SAS belirteci kullanan istekler reddedilir ve kimlik doğrulama hatası görüntülenir. Kaynağınız başına desteklenen alternatif bir kimlik doğrulama yöntemi kullanın.
Ağ güvenlik çevresinin sınırlamaları
Kayıt sınırlamaları
Ağ güvenlik çevresi şu anda tüm Azure genel bulut bölgelerinde kullanılabilir. Ancak ağ güvenlik çevresi için erişim günlüklerini etkinleştirirken, ağ güvenlik çevresiyle ilişkilendirilecek Log Analytics çalışma alanının desteklenen Azure Monitor bölgelerden birinde bulunması gerekir.
Note
PaaS kaynak günlükleri için, PaaS kaynağıyla aynı çevreyle ilişkili günlük hedefi olarak Log Analytics Çalışma Alanı, Depolama veya Olay Hub'ı kullanın.
Microsoft Sentinel sınırlamaları
Bilinen sınırlamalar şunlardır:
- Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanları için ağ güvenlik çevreleri desteklenmez. Çalışma alanında bir ağ güvenlik çevresi etkinleştirildiyse analiz kuralları otomatik olarak devre dışı bırakılır. Daha fazla bilgi için
Microsoft Sentinel dağıtım önkoşulları na bakın. - Azure Backup, ağ güvenlik çevresi ile etkinleştirilen Depolama Hesapları için desteklenmez. Yedeklemeler etkinleştirildiyse veya Azure Backup kullanmayı planlıyorsanız depolama hesabını ağ güvenlik çevresiyle ilişkilendirmemenizi öneririz.
Ölçek sınırlamaları
Ağ güvenlik sınırı işlevselliği, aşağıdaki ölçek sınırlamalarına sahip ortak genel ağ denetimleriyle PaaS kaynaklarının dağıtımlarını desteklemek için kullanılabilir:
| Limitation | Description |
|---|---|
| Ağ güvenliği sınırları sayısı | Abonelik başına önerilen sınır olarak 100'e kadar desteklenir. |
| Her ağ güvenlik çevresi için profiller | Önerilen sınır olarak 200'e kadar desteklenir. |
| Profil başına kural öğesi sayısı | Gelen ve giden her biri için 200'e kadar sabit sınır desteği sağlanır. |
| Aynı ağ güvenlik çevresiyle ilişkili abonelikler arasında PaaS kaynaklarının sayısı | Önerilen sınır olarak 1000'e kadar desteklenir. |
Diğer sınırlamalar
Ağ güvenlik çevresi aşağıdaki gibi başka sınırlamalara sahiptir:
| Limitation/Issue | Description |
|---|---|
| Ağ güvenliği sınırı erişim günlüklerinde eksik alan | Ağ güvenliği çevre erişim logları toplanabilir. 'count' ve 'timeGeneratedEndTime' alanları eksikse toplama sayısını 1 olarak düşünün. |
| SDK aracılığıyla ilişkilendirme oluşturma işlemleri izin sorunuyla başarısız oluyor | Durum: 403 (Yasak); Hata Kodu: AuthorizationFailed' mesajı, '/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz' kapsamı üzerinde 'Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read' eylemi gerçekleştirilirken alınabilir. Düzeltme yapılana kadar 'Microsoft.Network/locations/*/read' iznini kullanın veya ilişkilendirme oluşturma işlemleri için CreateOrUpdateAsync SDK API'sinde WaitUntil.Started kullanın. |
| Şebeke güvenlik çevresini desteklemek amacıyla kaynak adları 44 karakterden uzun olamaz | Azure portalından oluşturulan ağ güvenlik çevre kaynağı ilişkilendirmesi {resourceName}-{perimeter-guid} biçimindedir. Gereksinim adı alanıyla hizalamak için 80 karakterden fazla olamaz, kaynak adlarının 44 karakterle sınırlandırılması gerekir. |
| Hizmet uç noktası trafiği desteklenmez. | IaaS ile PaaS iletişimi için özel uç noktaların kullanılması önerilir. Şu anda, bir gelen kuralı 0.0.0.0/0'a izin verdiğinde bile hizmet uç noktası trafiği reddedilebilir. |
Note
Her hizmetin ilgili sınırlamaları için tek tek PaaS belgelerine bakın.