Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure Sanal Ağ Yöneticisi'ndeki güvenlik yöneticisi kuralları hakkında bilgi ediniyorsunuz. Bir ağ grubu içindeki tüm sanal ağlara uygulanan genel ağ güvenlik kurallarını tanımlamak için güvenlik yöneticisi kurallarını kullanın. Güvenlik yöneticisi kurallarının ne olduğunu, nasıl çalıştığını ve ne zaman kullanılacağını öğrenirsiniz.
Güvenlik yöneticisi kuralı nedir?
Güvenlik yöneticisi kuralları, sanal ağlardaki kural koleksiyonunda tanımlanan güvenlik ilkelerini zorunlu kılan genel ağ güvenlik kurallarıdır. Hedeflenen ağ gruplarınızdaki sanal ağlar arasında trafiğe İzin Vermek, Her Zaman İzin Vermek veya Trafiği Reddetmek için bu kuralları kullanın. Bu ağ grupları yalnızca sanal ağ yöneticisi örneğiniz kapsamındaki sanal ağlardan oluşabilir. Güvenlik yöneticisi kuralları, bir sanal ağ yöneticisi tarafından yönetilmeyen sanal ağlara uygulanamaz.
Güvenlik yöneticisi kurallarını kullanabileceğiniz bazı senaryolar şunlardır:
| Senaryo | Açıklama |
|---|---|
| Yüksek riskli ağ bağlantı noktalarına erişimi kısıtlama | Uzak Masaüstü Protokolü için bağlantı noktası 3389 (RDP) veya Secure Shell (SSH) için 22 numaralı bağlantı noktası gibi saldırganlar tarafından yaygın olarak hedeflenen belirli bağlantı noktalarında trafiği engellemek için güvenlik yöneticisi kurallarını kullanın. |
| Uyumluluk gereksinimlerini zorunlu tutma | Uyumluluk gereksinimlerini zorunlu kılmak için güvenlik yöneticisi kurallarını kullanın. Örneğin, belirli IP adreslerine veya ağ bloklarına giden veya gelen trafiği engelleyin. |
| Hassas verileri koruma | Belirli IP adreslerine veya alt ağlara gelen veya giden trafiği engelleyerek hassas verilere erişimi kısıtlamak için güvenlik yöneticisi kurallarını kullanın. |
| Ağ kesimlemesi zorunlu kılma | Sanal ağlar veya alt ağlar arasındaki trafiği engelleyerek ağ segmentasyonu uygulamak için güvenlik yöneticisi kurallarını kullanın. |
| Uygulama düzeyi güvenliği zorunlu tutma | Belirli uygulamalara veya hizmetlere giden veya gelen trafiği engelleyerek uygulama düzeyinde güvenliği zorunlu kılmak için güvenlik yönetimi kurallarını kullanın. |
Azure Sanal Ağ Yöneticisi'ni kullanarak, güvenlik yöneticisi kurallarını yönetmek için merkezi bir konumunuz vardır. Merkezileştirme, büyük ölçekte güvenlik ilkeleri tanımlamanıza ve bunları aynı anda birden çok sanal ağa uygulamanıza olanak tanır.
Not
Şu anda, güvenlik yöneticisi kuralları yönetilen bir sanal ağ kapsamındaki özel uç noktalar için geçerli değildir.
Güvenlik yöneticisi kuralları nasıl çalışır?
Güvenlik yöneticisi kuralları belirli bağlantı noktaları, protokoller ve kaynak veya hedef IP ön eklerinde belirtilen yönde trafiğe izin verir veya trafiği reddeder. Bir güvenlik yöneticisi kuralı tanımlarken aşağıdaki koşulları belirtin:
- Kuralın önceliği
- Gerçekleştirecek eylem (izin ver, reddet veya her zaman izin ver)
- Trafiğin yönü (gelen veya giden)
- Kullanılacak protokol
Birden çok sanal ağda güvenlik ilkelerini zorunlu kılmak için bir güvenlik yöneticisi yapılandırması oluşturun ve dağıtın. Bu yapılandırma bir dizi kural koleksiyonu içerir ve her kural koleksiyonu bir veya daha fazla güvenlik yöneticisi kuralı içerir. Oluşturulduktan sonra, kural koleksiyonunu güvenlik yöneticisi kuralları gerektiren ağ gruplarıyla ilişkilendirin. Kurallar, yapılandırmayı dağıttığınızda ağ gruplarında yer alan tüm sanal ağlar için geçerlidir. Tek bir yapılandırma, birden çok sanal ağda güvenlik ilkelerinin merkezi ve ölçeklenebilir bir şekilde uygulanmasını sağlar.
Önemli
Bir bölgeye yalnızca bir güvenlik yöneticisi yapılandırması dağıtabilirsiniz. Ancak, bir bölgede birden çok bağlantı yapılandırması bulunabilir. Bir bölgeye birden çok güvenlik yöneticisi yapılandırması dağıtmak için, bunun yerine bir güvenlik yapılandırmasında birden çok kural koleksiyonu oluşturun .
Güvenlik yöneticisi kuralları ve ağ güvenlik grupları (NSG) nasıl değerlendirilir?
Azure'da ağ güvenlik ilkelerini zorunlu kılmak için güvenlik yöneticisi kurallarını ve ağ güvenlik gruplarını (NSG) kullanabilirsiniz. Ancak farklı kapsamları ve öncelikleri vardır.
Merkezi idare ekibindeki ağ yöneticileri güvenlik yöneticisi kurallarını kullanır. Tek tek uygulama veya hizmet ekipleri, NSG'leri kullanarak gerektiğinde güvenliği daha fazla belirtebilir. Güvenlik yöneticisi kuralları NSG'lerden daha yüksek önceliğe sahiptir ve NSG kurallarından önce değerlendirilir.
Tek tek uygulama veya hizmet ekipleri, tek tek alt ağlara veya ağ arabirimlerine gelen ve bu ağ arabirimlerinden gelen ağ trafiğini filtrelemek için NSG'leri kullanır. NSG'ler güvenlik yöneticisi kurallarından daha düşük önceliğe sahiptir ve güvenlik yöneticisi kurallarından sonra değerlendirilir.
Şu anda sanal ağ düzeyinde güvenlik yöneticisi kuralları uyguluyorsunuz. Ağ güvenlik gruplarını alt ağ ve NIC düzeyinde ilişkilendirebilirsiniz. Bu tabloda şu farklar ve benzerlikler gösterilmektedir:
| Kural Türü | Hedef Kitle | Uygulama Tarihi | Değerlendirme Sırası | Eylem Türleri | Parametreler |
|---|---|---|---|---|---|
| Güvenlik yöneticisi kuralları | Ağ yöneticileri, merkezi idare ekibi | Sanal ağlar | Daha yüksek öncelik | İzin Ver, Reddet, Her Zaman İzin Ver | Öncelik, protokol, eylem, kaynak, hedef |
| Ağ güvenlik grubu kuralları | Tek tek ekipler | Alt ağlar, NIC'ler | Güvenlik yöneticisi kuralları sonrasında düşük öncelik | İzin Ver, Reddet | Öncelik, protokol, eylem, kaynak, hedef |
Güvenlik yöneticisi kuralları trafik üzerinde üç eylem gerçekleştirebilir: İzin Ver, Her Zaman İzin Ver ve Reddet. İzin Ver kuralı oluşturduğunuzda, önce bu kural değerlendirilir, ardından ağ güvenlik grubu kuralları eklenir. Bu eylem, ağ güvenlik grubu kurallarının gerekirse trafiği farklı şekilde işlemesine olanak tanır.
Her Zaman İzin Ver veya Reddet kuralı oluşturursanız, güvenlik yöneticisi kuralı değerlendirildikten sonra trafik değerlendirmesi sonlandırılır. Her Zaman İzin Ver kuralıyla trafik doğrudan kaynağa gider ve NSG kuralları tarafından daha fazla (ve muhtemelen çakışan) değerlendirmeyi sonlandırır. Bu eylem, trafiği zorlamak ve ağ güvenlik grubu kurallarına göre reddetmeyi önlemek için yararlı olabilir. Reddetme kuralıyla trafik hedefe teslim edilmeden durur. Güvenlik yöneticisi kuralları NSG'lere bağımlı değildir, bu nedenle bunları kullanarak kendi başına varsayılan güvenlik kuralları oluşturabilirsiniz.
Güvenlik yöneticisi kurallarını ve NSG'leri birlikte kullanarak, ağ güvenlik ilkelerini hem genel hem de bireysel düzeylerde zorunlu kılabilirsiniz. Bu yaklaşım, sanal ağlarınızın güvenli ve kuruluşunuzun güvenlik ilkeleriyle uyumlu olmasını sağlar.
Önemli
Güvenlik yöneticisi kurallarını dağıttığınızda nihai tutarlılık modeli kullanılır. Bu model, güvenlik yöneticisi kurallarının kısa bir gecikmeden sonra bir sanal ağda yer alan kaynaklara uygulanacağı anlamına gelir. Güvenlik yöneticisi kurallarının uygulandığı bir sanal ağa kaynak eklerseniz, bu kaynaklar sonunda gecikmeli olarak aynı güvenlik yöneticisi kurallarını alır.
Güvenlik yöneticisi kurallarının avantajları
Güvenlik yöneticisi kuralları, kuruluşunuzun kaynaklarının güvenliğini sağlamak için birçok avantaj sağlar. Güvenlik yöneticisi kurallarını kullanarak, ağ güvenlik grubu kurallarıyla çakışarak izin verilen trafiği zorunlu kılabilir ve engellemeyi önleyebilirsiniz. Ayrıca, mevcut NSG'lere bağımlı olmayan varsayılan güvenlik yöneticisi kuralları da oluşturabilirsiniz. Bu varsayılan kurallar özellikle uygulama sahipleri NSG'leri yanlış yapılandırdığında veya kurmayı unuttuğunda yararlı olabilir. Buna ek olarak, güvenlik yöneticisi kuralları büyük ölçekte güvenliği yönetmek için bir yol sağlar ve bu da artan sayıda ağ kaynağıyla birlikte gelen işletimsel yükü azaltır.
Yüksek riskli bağlantı noktalarını koruma
Microsoft'un sektör çalışmasına ve önerilerine dayanarak, bu yüksek riskli bağlantı noktaları listesi için güvenlik yöneticisi kurallarını kullanarak dışarıdan gelen trafiği kısıtlayın. Bu bağlantı noktaları genellikle kaynakların yönetimi veya güvenli olmayan ve şifrelenmemiş veri iletimi için kullanılır ve İnternet'e sunulmamalıdır. Ancak, belirli sanal ağların ve kaynaklarının yönetim veya diğer işlemler için trafiğe izin vermeleri gerekir. Gerektiğinde özel durumlar oluşturabilirsiniz. Bu tür senaryolar için özel durumlarla yüksek riskli bağlantı noktalarını engellemeyi öğrenin.
| Bağlantı noktası | Protokol | Açıklama |
|---|---|---|
| 20 | TCP | Şifrelenmemiş FTP Trafiği |
| 21 | TCP | Şifrelenmemiş FTP Trafiği |
| 22 | TCP | SSH. Olası deneme yanılma saldırıları |
| 23 | TCP | TFTP kimliği doğrulanmamış ve şifrelenmemiş trafiğe izin verir |
| 69 | UDP | TFTP kimliği doğrulanmamış ve şifrelenmemiş trafiğe izin verir |
| 111 | TCP/UDP | RPC. Şifrelenmemiş kimlik doğrulamasına izin verilir |
| 119 | TCP | Şifrelenmemiş kimlik doğrulaması için NNTP |
| 135 | TCP/UDP | Uç Nokta Eşleyici, birden çok uzaktan yönetim hizmeti |
| 161 | TCP | Güvenli olmayan /kimlik doğrulaması olmayan SNMP |
| 162 | TCP/UDP | SNMP Yakalama - güvenli değil / kimlik doğrulaması yok |
| 445 | TCP | SMB - iyi bilinen saldırı vektöru |
| 512 | TCP | Linux üzerinde Rexec - şifreleme kimlik doğrulaması olmayan uzak komutlar |
| 514 | TCP | Uzak Kabuk - kimlik doğrulaması veya şifreleme olmadan uzak komutlar |
| 593 | TCP/UDP | HTTP RPC EPMAP - şifrelenmemiş uzak yordam çağrısı |
| 873 | TCP | Rsync - şifrelenmemiş dosya aktarımı |
| 2049 | TCP/UDP | Ağ Dosya Sistemi |
| 3389 | TCP | RDP - Yaygın deneme yanılma saldırısı bağlantı noktası |
| 5800 | TCP | HTTP üzerinden VNC Uzak Çerçeve AraBelleği |
| 5900 | TCP | HTTP üzerinden VNC Uzak Çerçeve AraBelleği |
| 11211 | UDP | Memcached |
Büyük ölçekte yönetim
Azure Virtual Network Manager, güvenlik yönetici kurallarını kullanarak güvenlik ilkelerinizi uygun ölçekte yönetmenin bir yolunu sağlar. Bir ağ grubuna güvenlik yöneticisi yapılandırması uyguladığınızda, ağ grubunun kapsamındaki tüm sanal ağlar ve bunların içerdiği kaynaklar ilkedeki güvenlik yöneticisi kurallarını alır.
Yeni kaynaklar, mevcut kaynaklarla birlikte korunur. Örneğin, güvenlik yöneticisi kuralı kapsamında bir sanal ağa yeni VM'ler eklerseniz, VM'lerin güvenliği de otomatik olarak sağlanır. Bu VM'leri dağıttıktan kısa bir süre sonra, güvenlik yönetimi kuralları onları korur.
Yeni güvenlik risklerini tanımladığınızda, yeni risklere karşı koruma sağlamak için bir güvenlik yöneticisi kuralı oluşturup bunu ağ gruplarınıza uygulayarak büyük ölçekte koruma dağıtabilirsiniz. Bu yeni kuralı dağıttığınızda, şimdi ve gelecekte ağ grupları kapsamındaki tüm kaynakları korur.
Güvenlik yöneticisi kurallarının uygulamaması
Çoğu durumda, güvenlik yöneticisi kuralları bir ağ grubunun uygulanan güvenlik yapılandırması kapsamındaki tüm sanal ağlar ve alt ağlar için geçerlidir. Ancak, hizmetin ağ gereksinimleri nedeniyle bazı hizmetler güvenlik yöneticisi kuralları uygulamaz. Hizmetin ağ niyeti politikası bu gereksinimleri uygular.
Sanal ağ düzeyinde güvenlik yöneticisi kurallarının uygulamaması
Varsayılan olarak, güvenlik yöneticisi kuralları aşağıdaki hizmetleri içeren bir sanal ağa uygulanmaz:
- Azure SQL Yönetilen Örneği
- Azure Databricks
Bu formu kullanarak bir istek göndererek Azure Sanal Ağ Manager'ınızın bu hizmetlerle sanal ağlara güvenlik yöneticisi kuralları uygulamasını etkinleştirmeyi isteyebilirsiniz.
Bir sanal ağ bu hizmetleri içerdiğinde, güvenlik yöneticisi kuralları bu sanal ağı atlar. Bu sanal ağa İzin ver kurallarının uygulanmasını istiyorsanız, güvenlik yapılandırmanızı securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServicesAllowRulesOnlyalanla oluşturursunuz. Ayarlandığında, bu sanal ağa yalnızca güvenlik yapılandırmanızdaki kurallara izin ver uygulanır.
Reddetme kuralları bu sanal ağa uygulanmaz. Bu hizmetlere sahip olmayan sanal ağlar İzin Ver ve Reddet kurallarını kullanmaya devam edebilir.
Azure PowerShell ve Azure CLI kullanarak Yalnızca kurallara izin ver ile bir güvenlik yapılandırması oluşturabilir ve bunu sanal ağlarınıza dağıtabilirsiniz.
Not
Birden çok Azure Sanal Ağ Manager örneği sınıfta aynı sanal ağa farklı ayarlar uyguladığındasecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices, en yüksek kapsamlı ağ yöneticisi örneğinin ayarı kullanılır.
İki sanal ağ yöneticisine sahip olduğunuzu varsayalım. İlk ağ yöneticisi kök yönetim grubu kapsamındadır ve sınıfında AllowRulesOnly olarak ayarlanmış bir güvenlik yapılandırmasına securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices sahiptir. İkinci sanal ağ yöneticisinin kapsamı kök yönetim grubu altındaki bir abonelik olarak belirlenmiştir ve güvenlik yapılandırmasında varsayılan Yok alanını kullanır. Her iki yapılandırma da aynı sanal ağa güvenlik yöneticisi kuralları uyguladığında , allowRulesOnly ayarı sanal ağa uygulanır.
Alt ağ düzeyinde güvenlik yöneticisi kurallarının uygulamaması
Benzer şekilde, alt ağların sanal ağları bir güvenlik yöneticisi yapılandırması kapsamında olduğunda bazı hizmetler alt ağ düzeyinde güvenlik yöneticisi kuralları uygulamaz. Bu hizmetler şunlardır:
- Azure Application Gateway
- Azure Bastion
- Azure Güvenlik Duvarı
- Azure Route Server
- Azure VPN Gateway
- Azure Sanal WAN
- Azure ExpressRoute Ağ Geçidi
Bu durumda, güvenlik yöneticisi kuralları bu hizmetlerle alt ağdaki kaynakları etkilemez. Ancak, aynı sanal ağ içindeki diğer alt ağlara güvenlik yöneticisi kuralları uygulanır.
Not
Azure Uygulaması Lication Ağ Geçidi içeren alt ağlara güvenlik yöneticisi kuralları uygulamak istiyorsanız, her alt ağın yalnızca ağ yalıtımı etkin olarak sağlanan ağ geçitlerini içerdiğine emin olun. Bir alt ağ, ağ yalıtımı olmayan bir Azure Uygulaması Lication Ağ Geçidi içeriyorsa, güvenlik yöneticisi kuralları bu alt ağa uygulanmaz.
Güvenlik yöneticisi alanları
Bir güvenlik yöneticisi kuralı tanımladığınızda, gerekli ve isteğe bağlı alanlar vardır.
Gerekli alanlar
Öncelik
Güvenlik yöneticisi kuralının önceliği 1 ile 4.096 arasında bir tamsayıdır. Değer ne kadar düşükse kuralın önceliği o kadar yüksektir. Örneğin, önceliği 10 olan bir reddetme kuralı, 20 önceliğine sahip bir izin verme kuralını geçersiz kılar.
Eylem
Güvenlik kuralı için üç eylemden birini tanımlayabilirsiniz:
| Eylem | Açıklama |
|---|---|
| İzin ver | Belirli bağlantı noktası, protokol ve kaynak/hedef IP ön eklerinde belirtilen yönde trafiğe izin verir. |
| Reddet | Belirtilen bağlantı noktası, protokol ve kaynak/hedef IP ön eklerindeki trafiği belirtilen yönde engeller. |
| Her zaman izin ver | Düşük öncelikli veya kullanıcı tanımlı ağ güvenlik gruplarına sahip diğer kurallardan bağımsız olarak, belirtilen bağlantı noktası, protokol ve kaynak/hedef IP ön eklerindeki trafiğe belirtilen yönde izin verir. |
Yön
Kuralın geçerli olduğu trafiğin yönünü belirtin. Gelen veya giden'i tanımlayabilirsiniz.
Protokol
Şu anda güvenlik yöneticisi kurallarıyla desteklenen protokoller şunlardır:
- TCP
- UDP
- ICMP
- ESP
- AH
- Tüm protokoller
İsteğe bağlı alanlar
Kaynak ve hedef türleri
- IP adresleri: CIDR gösteriminde IPv4 veya IPv6 adresleri veya adres blokları sağlayabilirsiniz. Birden çok IP adresini listelemek için her IP adresini virgülle ayırın.
- Hizmet Etiketi: Bölgelere veya hizmetin tamamına göre belirli hizmet etiketleri tanımlayabilirsiniz. Desteklenen etiketlerin listesi için kullanılabilir hizmet etiketleriyle ilgili genel belgelere bakın. Bu listenin dışında güvenlik yöneticisi kuralları şu anda AzurePlatformDNS, AzurePlatformIMDS ve AzurePlatformLKM hizmet etiketlerini desteklememektedir.
Kaynak ve hedef bağlantı noktaları
Kaynaktan veya hedefe engel olacak belirli ortak bağlantı noktaları tanımlayabilirsiniz. Yaygın TCP bağlantı noktalarının listesi aşağıdadır:
| Bağlantı Noktaları | Hizmet adı |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | RDP |
| 1433 | SQL |
Sonraki adımlar
Güvenlik yöneticisi yapılandırmasını kullanarak ağ trafiğini engellemeyi öğrenin.