PaaS veri depolarına özel bağlantısı olan ağ ile sağlamlaştırılmış web uygulaması

App Service - Web Apps
Front Door
Özel Bağlantı
SQL Veritabanı
Güvenlik Duvarı

Bu makalede, gelen ve giden ağ akışları için katı ilkeler uygulayan bir ağ ortamında bir Azure App Service web uygulamasının nasıl ayarlanacağı açıklanır. Bu gibi durumlarda web uygulaması doğrudan İnternet'e açık olamaz. Bunun yerine, tüm trafiğin bir Azure Güvenlik Duvarı veya üçüncü taraf ağ sanal gereci (NVA) üzerinden gitmesi gerekir.

Örnekte bir web uygulamasının Azure Front Door ve Azure Güvenlik Duvarı ile korunduğu bir senaryo gösterilmektedir. Bir Azure SQL Veritabanına gelişmiş güvenlikle bağlanır.

Olası kullanım örnekleri

Bu kullanım örnekleri benzer tasarım desenlerine sahiptir:

  • Bir web uygulamasından veya Azure İşlevinden gelen ağ akışları için Azure Özel Bağlantı tabanlı özel uç noktaları destekleyen herhangi bir hizmet olarak platform (PaaS) teklifine bağlanın. Örnek olarak Azure Depolama, Azure Cosmos DB ve diğer web uygulamaları verilebilir.
  • Sanal özel ağları (VPN' ler) veya Azure ExpressRoute'u kullanarak bir web uygulamasından veya Azure İşlevinden buluttaki veya şirket içindeki bir sanal makineye (VM) bağlanın.

Mimari

Yüksek güvenlikli bir ortamda web uygulaması ayarlama mimarisini gösteren diyagram.

Bu mimarinin bir Visio dosyasını indirin.

Veri akışı

Çözümün veri akışını açıklarken daha önce gösterilen açıklamalı mimari diyagramıyla aşağıdaki 10 adıma çapraz başvuru yapın:

  1. Azure Front Door örneği, Azure Web Uygulaması Güvenlik Duvarı (WAF) özellikleri sağlar ve istemcilerden GELEN TLS/SSL bağlantılarını sonlandırır. Uçtan uca TLS, ağ trafiğinin Azure Güvenlik Duvarı iletilmeden önce yeniden şifrelenmesini sağlar.

  2. Arka uç web uygulamasını temsil etmek için özel bir tam etki alanı adı (FQDN) seçilir ve CNAME veya DNS kaynak kayıtları aracılığıyla bir Azure güvenlik duvarının veya üçüncü taraf NVA'nın genel IP adresine eşlenir.

  3. Bir sanal ağ alt ağında (örnekte subnet-privatelink-1 ) web uygulaması için özel uç nokta oluşturulur.

  4. Azure Güvenlik Duvarı veya üçüncü taraf NVA, bir sanal ağda kendi ayrılmış alt ağına dağıtılır (örnekte Hub Sanal Ağ). Alet, özel IP adresine veya web uygulamasıyla ilişkili özel uç noktaya gelen isteklerin hedef ağ adresi çevirisini (DNAT) gerçekleştirecek şekilde yapılandırılmıştır. Azure Güvenlik Duvarı, Azure VM'lerinizden İnternet'ten giden çıkış trafiği için kaynak NAT'ı (SNAT) da işleyebilir.

  5. Web uygulamasına, web uygulamasının etki alanı doğrulama kimliği özelliği aracılığıyla özel FQDN atanır. Bu, özel FQDN'nin Azure Güvenlik Duvarı veya üçüncü taraf NVA'nın genel IP adresiyle zaten eşlenmiş olmasını ve Etki Alanı Adı Sistemi (DNS) ad çözümlemesi ve ağ akışlarını değiştirmeden web uygulamasıyla yeniden kullanılmasını sağlar.

  6. Web uygulaması, bölgesel sanal ağ tümleştirmesi aracılığıyla bir sanal ağ alt ağına (örnekte subnet-webapp ) bağlanır. web uygulamasından sanal ağa giden tüm trafiği zorlayan ve özel DNS sunucuları ve özel uç nokta adı çözümlemesi için kullanılan Azure Özel DNS bölgeleriyle tümleştirme de dahil olmak üzere web uygulamasının sanal ağın DNS çözümleme yapılandırmasını devralmasını sağlayan WEBSITE_VNET_ROUTE_ALL uygulama ayarı etkinleştirilir.

  7. Web uygulaması alt ağına (örnekte subnet-webapp) bağlı özel bir yönlendirme tablosu, web uygulamasından gelen tüm giden trafiği Azure Güvenlik Duvarı veya üçüncü taraf NVA'ya gitmeye zorlar.

    Not

    Azure Route Server(/azure/route-server/overview), Azure sanal ağ alt ağlarınıza rota yaymayı otomatikleştirmek için Sınır Ağ Geçidi Protokolü (BGP) kullanan el ile tutulan özel yol tablolarına alternatiftir.

  8. Bir veya daha fazla özel DNS bölgesi, özel uç noktalarla dağıtılan PaaS kaynaklarının DNS çözümlemesine izin vermek için web uygulamasını içeren sanal ağa bağlantı (örnekte Uç Sanal Ağ 1).

  9. bir sanal ağ alt ağında (örnekte subnet-privatelink-2) bir Azure SQL Veritabanı sanal sunucusu için özel uç nokta oluşturulur. Eşleşen Azure Özel DNS bölgesinde karşılık gelen bir DNS kaydı oluşturulur.

  10. Web uygulamasına artık yalnızca Azure Front Door ve Azure Güvenlik Duvarı üzerinden erişilebilir. Ayrıca özel uç nokta üzerinden Azure SQL Veritabanı sanal sunucusuyla bağlantı kurarak yalnızca özel IP adresleri üzerinden iletişimin güvenliğini sağlayabilir.

Bileşenler

  • Azure Sanal Ağları , bu çözüm için temel alınan ağ trafiği segmentasyon aracını oluşturur. Aynı anda birden çok sanal ağa tutarlı yönetim ve ağ güvenlik grubu ilkeleri uygulamak için Azure Sanal Ağ Manager 'ı (AVNM) uygulamayı göz önünde bulundurun.
  • Azure Front Door , Azure WAF özellikleri sağlar ve istemcilerden GELEN TLS/SSL bağlantılarını sonlandırır.
  • Azure Güvenlik Duvarı hem giriş hem de çıkış için web uygulamasına güvenlik sağlar.
  • Azure App Service, web uygulamaları oluşturmanıza ve bunları bir bulut altyapısında dağıtmanıza olanak tanır.
  • Azure Özel Bağlantı özel uç noktalar, Azure hizmetlerine özel olarak ve gelişmiş güvenlikle bağlanmanıza olanak sağlar.
  • Azure SQL özel uç nokta üzerinden web uygulamasına bağlanır.

Alternatifler

  • Genel İnternet'ten yalıtım sağlamak için web uygulamasını dahili, tek kiracılı bir App Service Ortamı dağıtabilirsiniz. Bu örnekte, işletim maliyetlerini azaltmak için Azure App Service bir web uygulaması kullanılır.
  • Çözümün WAF bileşenini bir güvenlik duvarının arkasında veya sanal ağ içinde dağıtmanız gerekiyorsa Azure Front Door'un yerini bir Azure Application Gateway alabilirsiniz.

Dikkat edilmesi gerekenler

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Microsoft Azure Well-Architected Framework.

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize yaptığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz . Güvenilirlik sütununa genel bakış.

Azure Front Door, yerleşik kullanılabilirlik ve yedeklilik ile yüksek hizmet düzeyi sözleşmesine (SLA) sahip küresel bir hizmettir.

Azure Güvenlik Duvarı yerleşik kullanılabilirlik ve yüksek SLA özellikleri. SLA'yı artırmak için birden çok kullanılabilirlik alanına yayılacak şekilde dağıtabilirsiniz. Üçüncü taraf veya özel NVA kullanıyorsanız, dağıtımınızı kullanılabilirlik kümelerini veya kullanılabilirlik alanlarını kullanacak şekilde yapılandırarak aynı SLA hedeflerine ulaşabilirsiniz.

Azure web uygulamaları yerleşik kullanılabilirliği destekler. Bunları birden çok kullanılabilirlik alanına dağıtabilirsiniz.

Çözümü birden çok Azure bölgesine dağıtarak kullanılabilirliğini daha da artırabilirsiniz. Bunu yapmak için tüm bileşenlerin yeni örneklerini (Azure Front Door hariç) diğer Azure bölgelerine dağıtabilir ve ardından özgün Azure Front Door örneğini birden çok arka uç hedefiyle yapılandırabilirsiniz. Veri deponuz olarak Azure SQL kullanıyorsanız birden çok veritabanının saydam ve eşgüdümlü yük devretmesini etkinleştirmek için birden çok sunucuyu otomatik yük devretme grubuna birleştirebilirsiniz.

Azure'da yüksek oranda kullanılabilir web uygulamaları dağıtma ve özel uç noktalarla çalışmak üzere çok bölgeli SQL Server örnekleri ayarlama hakkında bilgi edinmek için şu başvuru mimarilerine bakın:

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanımına karşı güvence sağlar. Daha fazla bilgi için bkz. Güvenlik sütununa genel bakış.

Özellikle, bu çözüm istemcilerden TLS/SSL bağlantılarını sonlandıran ve zengin bir WAF yapılandırmaları kümesi sağlayan bir Azure Front Door örneği dağıtır. Uygulamalarınızı yalnızca Azure Front Door örneğinizden gelen trafiği kabul edecek şekilde daha fazla kilitlemenizi öneririz. Bunu, kullandığınız NVA'ya ve uygulama yapılandırmanıza bağlı olarak çeşitli yollarla yapabilirsiniz.

Çözümünüzle tümleştirmeyi göz önünde bulundurmanız gereken bazı güvenlik seçenekleri şunlardır:

  • Azure Front Door Premium'un özel uç noktaya yerleştirilmesi. Azure Front Door Premium özel uç noktası, tüketicilerin yalnızca İnternet'e yönlendirilebilir olmayan özel IP adreslerini kullanarak çözümünüzle etkileşim kurmasını sağlayarak kaynağınızı sanal ağa güvenli hale getirir.
  • Ağ güvenlik gruplarını (NSG) her bir sanal ağ alt ağıyla ilişkilendirme. NSG'ler, Açık Sistemler Arası Bağlantı (OSI) Katman 4'te (Aktarım Katmanı) giriş ve çıkış ağ trafiğini korur. NSG'ler için Özel Uç Nokta desteği (önizleme), bir özel uç noktaya sanal ağ çıkış trafiğinde gelişmiş güvenlik denetimleri uygulamanıza olanak tanır.
  • Azure Güvenlik Duvarı veya NVA'nızı yalnızca AzureFrontDoor.Backend AzureIP aralıklarından gelen trafiği kabul etmek üzere yapılandırma.
  • NVA'nızı Azure hizmet etiketleriyle tümleştirecek şekilde yapılandırma.
  • İstek üst bilgilerini doğrulayarak uygulamanızı yalnızca Azure Front Door örneğinizden gelen trafiği kabul etmek üzere yapılandırma.
  • Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ve eXtended Algılama ve Yanıt (XDR) ile tehditlere karşı savunma. Bu kategoriye dahil olan çözümler Microsoft Sentinel, Kimlik için Microsoft Defender ve Bulut için Microsoft Defender'dır.
  • Azure DDoS Ağ Koruması ile kurumsal ölçekli Dağıtılmış Hizmet Reddi (DDoS) korumasını etkinleştirme. Bu çözüm, Front Door'unuzu korur ve genel IP adreslerini kötüye kullanıma karşı Azure Güvenlik Duvarı ve müşterilere Microsoft'un otomatik azaltma süreçleri hakkında derin içgörüler sağlar. -Microsoft Purview'un yalnızca Azure SQL verileriniz için değil, hibrit bulut, çoklu bulut kuruluşunuzdaki tüm veriler için birleşik veri idaresi oluşturduğunu düşünün

Daha fazla bilgi için bkz. Nasıl yaparım? arka ucuma erişimi yalnızca Azure Front Door'a kilitleme.

Çözüm ayrıca yalnızca özel bir uç nokta üzerinden trafiği kabul eden ve dış kaynaklardan gelen trafiği kilitleyen bir Azure SQL Veritabanı sanal sunucusu kullanır. Çözümde kullanılan web uygulaması, özel uç noktaların düzgün DNS çözümlemesini sağlayacak ve SQL Server örneğiyle güvenli iletişim sağlayacak şekilde yapılandırılmıştır.

Ortamlarınızda özel uç noktaları kullanan kaynakları dağıttığınızda, DNS altyapınızı düzgün yapılandırmak önemlidir. Daha fazla bilgi için bkz. Azure özel uç nokta DNS yapılandırması.

Maliyet iyileştirmesi

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri artırmanın yollarını gözden geçmektir. Daha fazla bilgi için bkz. Maliyet iyileştirme sütununa genel bakış.

Örnek senaryoda sağlamlaştırılmış ağ ortamında bir dağıtım bulunur. Bu nedenle, bir Azure Güvenlik Duvarı veya üçüncü taraf NVA büyük olasılıkla hedef altyapıda zaten var.

Kalan altyapıda dikkat edilmesi gereken temel nokta, web uygulamasını barındıran App Service planının stok tutma birimidir (SKU). Web uygulamaları için özel uç noktalar yalnızca Premium App Service planı SKU'larında kullanılabilir.

Maliyetlerinizi tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın. olası iki fiyatlandırma tahmini aşağıdadır:

Operasyonel Mükemmellik

Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz. Operasyonel mükemmellik sütununa genel bakış.

Bu çözümün tüm bileşenlerini izlemek için Azure İzleyici'yi kullanabilirsiniz. Azure Front Door ve Azure Güvenlik Duvarı'nin WAF ve ağ inceleme kurallarıyla ilgili günlükleri izlemek için Log Analytics'i kullanabilirsiniz. Application Insights'ı kullanarak performansı ve kullanılabilirliği izleyebilir ve web uygulamaları kullanımınızla ilgili içgörüler elde edebilirsiniz.

Performans verimliliği

Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.

Çözümün tüm bileşenleri saydam yerleşik ölçeklenebilirlik sağlar veya kullanılabilir örneklerin sayısını ölçeklendirmek için Azure web uygulaması otomatik ölçeklendirme gibi zengin bir özellik kümesini kullanıma sunar.

Bu senaryoyu dağıtın

Önkoşullar

  • Azure hesabı. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun .
  • Genel olarak yönlendirilebilir bir etki alanı. Ayrıca, genel DNS bölgenizde iki DNS kaydı oluşturma izinlerine sahip olmanız gerekir.
  • Web uygulamanız için kullanılacak geçerli bir TLS/SSL sertifikası. Bunun nasıl yapılacağını açıklayan yönergeler için bkz. Azure App Service'de TLS/SSL sertifikası ekleme.

Kılavuz

Çözüm, gerekli altyapıyı dağıtan çeşitli Bicep dosyalarından oluşur. Sağlamlaştırılmış Web Uygulaması GitHub deposundaki yönergeleri izleyerek çözümü dağıtabilirsiniz.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır:

Asıl yazarlar:

Sonraki adımlar