Aracılığıyla paylaş

Ağ ve bağlantı önerileri

  • Makale

Bu Azure İyi Tasarlanmış Çerçeve Güvenliği denetim listesi önerisi için geçerlidir:

SE:06 Hem giriş hem de çıkış akışlarında ağ trafiğini yalıtma, filtreleme ve denetleme. Hem doğu-batı hem de kuzey-güney trafiğindeki tüm kullanılabilir ağ sınırlarında yerelleştirilmiş ağ denetimlerini kullanarak derinlemesine savunma ilkeleri uygulayın.

Bu kılavuzda ağ tasarımına yönelik öneriler açıklanmaktadır. Odak, mimarinizin çeşitli derinliklerinde ağ sınırlarını aşan saldırganları filtreleyebilecek, engelleyebilecek ve algılayan güvenlik denetimleridir.

Ağ tabanlı erişim denetimi ölçüleri uygulayarak kimlik denetimlerinizi güçlendirebilirsiniz. Kimlik tabanlı erişim denetiminin yanı sıra, ağ güvenliği varlıkları korumak için yüksek önceliklidir. Uygun ağ güvenlik denetimleri, tehditleri algılamaya ve içermeye yardımcı olabilecek ve saldırganların iş yükünüzde giriş yapmasını önleyebilecek derinlemesine bir savunma öğesi sağlayabilir.

Tanımlar

Terim Tanım
Doğu-batı trafiği Güvenilir bir sınır içinde hareket eden ağ trafiği.
Çıkış akışı Giden iş yükü trafiği.
Düşman ağ İş yükünüzün bir parçası olarak dağıtılmamış bir ağ. Düşman ağ tehdit vektörleri olarak kabul edilir.
Giriş akışı Gelen iş yükü trafiği.
Ağ filtreleme Belirtilen kurallara göre ağ trafiğine izin veren veya trafiği engelleyen bir mekanizma.
Ağ segmentasyonu veya yalıtımı Ağı, sınırlarda güvenlik denetimleri uygulanmış küçük, yalıtılmış kesimlere bölen bir strateji. Bu teknik, kaynakların İnternet gibi düşman ağlardan korunmasına yardımcı olur.
Ağ dönüşümü Ağ paketlerini gizleyen bir mekanizma.
Kuzey-güney trafiği Güvenilir bir sınırdan düşman olabilecek dış ağlara (veya tersi) taşınan ağ trafiği.

Temel tasarım stratejileri

Ağ güvenliği, iş yükü varlıklarını düşman ağlardan korumak için belirsizliği kullanır. Bir ağ sınırının arkasındaki kaynaklar, sınır denetimleri trafiği ilerlemek için güvenli olarak işaretleyene kadar gizlenir. Ağ güvenliği tasarımı üç ana strateji üzerine kurulmuştur:

  • Segment. Bu teknik , sınırlar ekleyerek trafiği ayrı ağlarda yalıtıyor. Örneğin, bir uygulama katmanından gelen ve giden trafik, farklı güvenlik gereksinimlerine sahip diğer katmanlarla iletişim kurmak için bir sınır geçirir. Segmentasyon katmanları, derinlemesine savunma yaklaşımını gerçekleştirir.

    En önemli güvenlik sınırı, uygulamanızla genel ağlar arasındaki ağ kenarıdır. Düşman ağları yalıtmak için bir sınır oluşturmanız için bu çevrenin açıkça tanımlanması önemlidir. Bu kenardaki denetimler son derece etkili olmalıdır çünkü bu sınır ilk savunma hattınızdır.

    Sanal ağlar mantıksal bir sınır sağlar. Tasarım gereği, eşleme aracılığıyla sınır kasıtlı olarak bozulmadığı sürece sanal ağ başka bir sanal ağ ile iletişim kuramaz. Mimariniz bu güçlü, platform tarafından sağlanan güvenlik önleminin avantajlarından yararlanmalıdır.

    Sanal ağ içindeki oyulmuş alt ağlar gibi diğer mantıksal sınırları da kullanabilirsiniz. Alt ağların avantajlarından biri, bunları yalıtım sınırı içindeki ve benzer güvenlik güvencelerine sahip kaynakları gruplandırmak için kullanabilmenizdir. Ardından, trafiği filtrelemek için sınırdaki denetimleri yapılandırabilirsiniz.

  • Filtre. Bu strateji, sınıra giren trafiğin beklenen, izin verilen ve güvenli olmasını sağlamaya yardımcı olur. Sıfır Güven perspektifinden bakıldığında, filtreleme ağ düzeyindeki tüm kullanılabilir veri noktalarını açıkça doğrular. Belirli koşulları denetlemek için sınıra kurallar yerleştirebilirsiniz.

    Örneğin, üst bilgi düzeyinde kurallar trafiğin beklenen bir konumdan geldiğini veya beklenen bir birime sahip olduğunu doğrulayabilir. Ancak bu denetimler yeterli değildir. Trafik beklenen özellikleri sergilese bile yük güvenli olmayabilir. Doğrulama denetimleri bir SQL ekleme saldırısı ortaya çıkabilir.

  • Dönüştür'ü seçin. Sınırdaki paketleri güvenlik önlemi olarak sessize alma. Örneğin, maruz kalma riskini ortadan kaldırmak için HTTP üst bilgilerini kaldırabilirsiniz. Alternatif olarak, Aktarım Katmanı Güvenliği'ni (TLS) bir noktada kapatabilir ve daha sıkı yönetilen bir sertifikayla başka bir atlamada yeniden kurabilirsiniz.

Trafik akışlarını sınıflandırma

Akışları sınıflandırmanın ilk adımı, iş yükü mimarinizin şemasını incelemektir. Şematikten, iş yükünüzün işlevsel yardımcı programı ve operasyonel yönleriyle ilgili olarak akışın amacını ve özelliklerini belirleyin. Akışı sınıflandırmaya yardımcı olması için aşağıdaki soruları kullanın:

  • İş yükünün dış ağlarla iletişim kurması gerekiyorsa, bu ağlara gereken yakınlık düzeyi ne olmalıdır?

  • Beklenen protokol ve paketlerin kaynağı ve şekli gibi akışın ağ özellikleri nelerdir? Ağ düzeyinde uyumluluk gereksinimleri var mı?

Trafik akışlarını sınıflandırmanın birçok yolu vardır. Aşağıdaki bölümlerde yaygın olarak kullanılan ölçütler açıklanmıştır.

Dış ağlardan görünürlük

  • Ortak. Bir iş yükü, uygulamasına ve diğer bileşenlere genel İnternet'ten ulaşılabilirse genel kullanıma yöneliktir. Uygulama bir veya daha fazla genel IP adresi ve genel Etki Alanı Adı Sistemi (DNS) sunucusu aracılığıyla kullanıma sunulur.

  • Özel. İş yüküne yalnızca sanal özel ağ (VPN) gibi özel bir ağ üzerinden erişilebiliyorsa özeldir. Yalnızca bir veya daha fazla özel IP adresi aracılığıyla ve büyük olasılıkla bir özel DNS sunucusu aracılığıyla kullanıma sunulur.

    Özel bir ağda, genel İnternet'ten iş yüküne kadar hiçbir görüş alanı yoktur. Ağ geçidi için bir yük dengeleyici veya güvenlik duvarı kullanabilirsiniz. Bu seçenekler güvenlik güvenceleri sağlayabilir.

Genel iş yüklerinde bile iş yükünün mümkün olduğunca çoğunu gizli tutmaya çalışın. Bu yaklaşım, paketleri ortak bir ağdan geldiklerinde özel bir sınırdan geçmeye zorlar. Bu yoldaki bir ağ geçidi, ters ara sunucu olarak davranarak geçiş noktası olarak işlev görebilir.

Trafik yönü

  • Giriş. Giriş, bir iş yüküne veya bileşenlerine doğru akan gelen trafiktir. Girişin güvenliğini sağlamaya yardımcı olmak için, önceki anahtar strateji kümesini uygulayın. Trafik kaynağının ne olduğunu ve beklendiğini, izin verilip verilmediğini ve güvenli olup olmadığını belirleyin. Genel bulut sağlayıcısı IP adresi aralıklarını tarayan saldırganlar, girişi denetlemez veya temel ağ güvenlik önlemlerini uygulamazsanız savunmanıza başarıyla nüfuz edebilir.

  • Çıkış. Çıkış, bir iş yükünden veya bileşenlerinden uzaklaşan giden trafiktir. Çıkışı denetlemek için trafiğin nereye gittiğini ve hedefin beklenip beklenmediğini, izin verilip verilmediğini ve güvenli olduğunu belirleyin. Hedef kötü amaçlı olabilir veya veri sızdırma riskleriyle ilişkili olabilir.

Azure dağıtımları ile İnternet arasındaki ağ trafiği akışını gösteren diyagram.

Ayrıca iş yükünüzün genel İnternet'e yakınlığı göz önünde bulundurularak maruz kalma düzeyinizi belirleyebilirsiniz. Örneğin, uygulama platformu genellikle genel IP adreslerine hizmet eder. İş yükü bileşeni çözümün yüzüdür.

Etki kapsamı

  • Kuzey-güney. bir iş yükü ağı ile dış ağlar arasında akan trafik, kuzey-güney trafiğidir. Bu trafik ağınızın kenarından geçer. Dış ağlar genel İnternet, şirket ağı veya denetim kapsamınızın dışında kalan herhangi bir ağ olabilir.

    Giriş ve çıkış kuzey-güney trafiği olabilir.

    Örnek olarak, merkez-uç ağ topolojisinin çıkış akışını göz önünde bulundurun. Hub'ın bir dış ağ olması için iş yükünüzün ağ kenarını tanımlayabilirsiniz. Bu durumda uç sanal ağından giden trafik kuzey-güney trafiğidir. Ancak merkez ağını kontrol alanınız içinde ele alırsanız, kuzey-güney trafiği merkezdeki güvenlik duvarına genişletilir çünkü sonraki atlama potansiyel olarak saldırgan olan İnternet'tir.

  • Doğu-batı. bir iş yükü ağı içinde akan trafik doğu-batı trafiğidir. İş yükünüzdeki bileşenler birbiriyle iletişim kurarken bu tür bir trafik oluşur. N katmanlı bir uygulamanın katmanları arasındaki trafik bir örnektir. Mikro hizmetlerde hizmet-hizmet iletişimi doğu-batı trafiğidir.

Derinlemesine savunma sağlamak için, her atlamada yer alan veya paketler iç segmentler arasında geçiş yaparken kullandığınız güvenlik bütçeleri için uçtan uca denetim sağlayın. Farklı risk düzeyleri farklı risk düzeltme yöntemleri gerektirir.

Özel bulut için ağ savunmasını derinlemesine gösteren diyagram.

Yukarıdaki diyagramda özel buluttaki ağ savunması ayrıntılı olarak gösterilmektedir. Bu diyagramda, genel ve özel IP adresi alanları arasındaki kenarlık, iş yükünden genel bulut diyagramından önemli ölçüde daha uzaktır. Birden çok katman Azure dağıtımlarını genel IP adresi alanından ayırır.

Not

Kimlik her zaman birincil çevredir. Erişim yönetimi ağ akışlarına uygulanmalıdır. Ağınızın bileşenleri arasında Azure rol tabanlı erişim denetimi (RBAC) kullanırken yönetilen kimlikleri kullanın.

Akışları sınıflandırdıktan sonra, ağ kesimlerinizin iletişim yollarında güvenlik duvarı ekleme noktalarını tanımlamak için bir segmentasyon alıştırması gerçekleştirin. Ağ savunmanızı tüm segmentlerde ve tüm trafik türlerinde ayrıntılı bir şekilde tasarlarken , tüm noktalarda bir ihlal olduğunu varsayalım. Tüm kullanılabilir sınırlarda çeşitli yerelleştirilmiş ağ denetimlerinin bir bileşimini kullanın. Daha fazla bilgi için bkz . Segmentasyon stratejileri.

Uçta güvenlik duvarı uygulama

İnternet uç trafiği kuzey-güney trafiğidir ve giriş ve çıkış içerir. Tehditleri algılamak veya engellemek için uç stratejinin İnternet'e ve İnternet'ten mümkün olduğunca çok saldırıyı azaltması gerekir.

Çıkış için, İnternet'e bağlı tüm trafiği gelişmiş gözetim, idare ve trafik denetimi sağlayan tek bir güvenlik duvarı üzerinden gönderin. Giriş için, İnternet'ten gelen tüm trafiği bir ağ sanal gereci (NVA) veya bir web uygulaması güvenlik duvarı üzerinden gitmeye zorlayabilirsiniz.

  • Güvenlik duvarları genellikle bir kuruluşta bölge başına dağıtılan tekillerdir. Sonuç olarak, bunlar iş yükleri arasında paylaştırılıp merkezi bir ekibİn sahibidir. Kullandığınız tüm NVA'ların iş yükünüzün gereksinimlerini destekleyecek şekilde yapılandırıldığından emin olun.

  • Azure yerel denetimlerini mümkün olduğunca kullanmanızı öneririz.

    Yerel denetimlere ek olarak, gelişmiş veya özel özellikler sağlayan iş ortağı NVA'larını da göz önünde bulundurabilirsiniz. İş ortağı güvenlik duvarı ve web uygulaması güvenlik duvarı satıcı ürünleri Azure Market...

    İş ortağı çözümleri yerine yerel özellikleri kullanma kararı, kuruluşunuzun deneyimine ve gereksinimlerine dayalı olmalıdır.

    Denge: İş ortağı özellikleri genellikle gelişmiş, ancak genellikle yaygın olmayan saldırılara karşı koruyabilen gelişmiş özellikler sağlar. İş ortağı çözümlerinin yapılandırması karmaşık ve kırılgan olabilir çünkü bu çözümler bulutun yapı denetleyicileriyle tümleştirilmiyor. Maliyet açısından bakıldığında, iş ortağı çözümlerinden daha ucuz olduğundan yerel denetim tercih edilir.

Göz önünde bulundurduğunuz tüm teknolojik seçenekler hem giriş hem de çıkış akışları için güvenlik denetimleri ve izleme sağlamalıdır. Azure'da kullanılabilen seçenekleri görmek için bu makaledeki Edge güvenliği bölümüne bakın.

Sanal ağ ve alt ağ güvenliği tasarlama

Özel bulutun birincil amacı, genel İnternet'ten kaynakları gizlemektir. Bu hedefe ulaşmanın birkaç yolu vardır:

  • Sanal ağları kullanarak gerçekleştirebileceğiniz özel IP adresi alanlarına geçin. Kendi özel ağlarınızda bile ağ görüş hattını en aza indirin.

  • İş yükünüzün daha azını kullanıma açmak için kullandığınız genel DNS girdilerinin sayısını en aza indirin.

  • Giriş ve çıkış ağ akışı denetimi ekleyin. Güvenilmeyen trafiğe izin verme.

Segmentasyon stratejisi

Ağ görünürlüğünü en aza indirmek için ağınızı segmentlere ayırır ve en az ayrıcalıklı ağ denetimleriyle başlar. Bir kesim yönlendirilebilir değilse, bu bölüme erişilemez. Kapsamı yalnızca ağ erişimi aracılığıyla birbirleriyle iletişim kurması gereken kesimleri içerecek şekilde genişletin.

Alt ağlar oluşturarak sanal ağları segmentlere ekleyebilirsiniz. Bölme ölçütleri kasıtlı olmalıdır. Hizmetleri bir alt ağ içinde birleştirirken, bu hizmetlerin birbirini görebildiğine emin olun.

Segmentasyonunuzu birçok faktöre dayandırabilirsiniz. Örneğin, ayrılmış segmentlere farklı uygulama katmanları yerleştirebilirsiniz. Diğer bir yaklaşım da alt ağlarınızı iyi bilinen protokolleri kullanan yaygın rollere ve işlevlere göre planlamaktır.

Daha fazla bilgi için bkz . Segmentasyon stratejileri.

Alt ağ güvenlik duvarları

Her alt ağın gelen ve giden trafiğini incelemek önemlidir. Bu makalenin önceki bölümlerinde ele alınan üç ana stratejiyi Temel tasarım stratejileri bölümünden kullanın. Akışın beklenip beklenmediğini, izin verilip verilmediğini ve güvenli olup olmadığını denetleyin. Bu bilgileri doğrulamak için, trafiğin protokolüne, kaynağına ve hedefine dayalı güvenlik duvarı kuralları tanımlayın.

Azure'da, ağ güvenlik gruplarında güvenlik duvarı kuralları ayarlarsınız. Daha fazla bilgi için bu makalenin Ağ güvenlik grupları bölümüne bakın.

Alt ağ tasarımı örneği için bkz. Azure Sanal Ağ alt ağları.

Denetimleri bileşen düzeyinde kullanma

Ağınızın görünürlüğünü en aza indirdikten sonra Azure kaynaklarınızı ağ açısından eşleyin ve akışları değerlendirin. Aşağıdaki akış türleri mümkündür:

  • Mimari tasarımınıza göre planlanmış trafik veya hizmetler arasında kasıtlı iletişim. Örneğin, mimariniz Azure İşlevleri Azure Service Bus'tan ileti çekmesini önerdiğinde trafiği planladınız.

  • Yönetim trafiği veya hizmetin işlevselliğinin bir parçası olarak gerçekleşen iletişim. Bu trafik tasarımınızın bir parçası değildir ve bu trafik üzerinde hiçbir denetiminiz yoktur. Yönetilen trafiğe örnek olarak mimarinizdeki Azure hizmetleri ile Azure yönetim düzlemi arasındaki iletişim gösterilebilir.

Planlı ve yönetim trafiği arasında ayrım yapmak, yerelleştirilmiş veya hizmet düzeyinde denetimler oluşturmanıza yardımcı olur. Her atlamadaki kaynak ve hedef hakkında iyi bir anlayışa sahip olun. Özellikle veri düzleminizin nasıl kullanıma sunulduğuna bakın.

Başlangıç noktası olarak, her hizmetin İnternet'e açık olup olmadığını belirleyin. Bu durumda erişimi kısıtlamayı planlayın. Değilse, sanal ağa yerleştirin.

Hizmet güvenlik duvarları

Bir hizmetin İnternet'e açık olmasını bekliyorsanız çoğu Azure kaynağı için kullanılabilen hizmet düzeyi güvenlik duvarından yararlanın. Bu güvenlik duvarını kullandığınızda, erişim desenlerine göre kurallar ayarlayabilirsiniz. Daha fazla bilgi için bu makaledeki Azure hizmeti güvenlik duvarları bölümüne bakın.

Not

Bileşeniniz bir hizmet değilse, ağ düzeyinde güvenlik duvarlarına ek olarak konak tabanlı bir güvenlik duvarı kullanın. Sanal makine (VM), hizmet olmayan bir bileşene örnektir.

Hizmet olarak platform (PaaS) hizmetlerine bağlantı

PaaS hizmetlerine erişimin güvenliğini sağlamaya yardımcı olmak için özel uç noktaları kullanmayı göz önünde bulundurun. Özel uç noktaya sanal ağınızdan bir özel IP adresi atanır. Uç nokta, ağdaki diğer kaynakların özel IP adresi üzerinden PaaS hizmetiyle iletişim kurmasına olanak tanır.

PaaS hizmetiyle iletişim, hizmetin genel IP adresi ve DNS kaydı kullanılarak gerçekleştirilir. Bu iletişim İnternet üzerinden gerçekleşir. Bu iletişimi özel hale getirebilirsiniz.

PaaS hizmetinden alt ağlarınızdan birine tünel, özel bir kanal oluşturur. Tüm iletişim, bileşenin özel IP adresinden bu alt ağdaki özel bir uç noktaya gerçekleştirilir ve bu da PaaS hizmetiyle iletişim kurar.

Bu örnekte, soldaki görüntü genel kullanıma sunulan uç noktaların akışını gösterir. Sağ tarafta bu akışın güvenliği özel uç noktalar kullanılarak sağlanır.

Özel uç noktanın veritabanının İnternet kullanıcılarından korunmasına nasıl yardımcı olduğunu gösteren diyagram.

Daha fazla bilgi için bu makaledeki Özel uç noktalar bölümüne bakın.

Not

Özel uç noktaları hizmet güvenlik duvarlarıyla birlikte kullanmanızı öneririz. Hizmet güvenlik duvarı gelen İnternet trafiğini engeller ve ardından hizmeti özel uç noktayı kullanan iç kullanıcılara özel olarak kullanıma sunar.

Özel uç noktaları kullanmanın bir diğer avantajı, giden trafik için güvenlik duvarındaki bağlantı noktalarını açmanız gerekmeyecek olmasıdır. Özel uç noktalar, genel İnternet için bağlantı noktasındaki tüm giden trafiği kilitler. Bağlantı, ağ içindeki kaynaklarda sınırlıdır.

Tradeoff: Azure Özel Bağlantı, işlenen gelen ve giden veriler için ölçümler içeren ücretli bir hizmettir. Ayrıca özel uç noktalar için ücretlendirilirsiniz.

Dağıtılmış hizmet reddi (DDoS) saldırılarına karşı koruma

DDoS saldırısı, uygulamanın kaynaklarını tüketerek uygulamanın geçerli kullanıcılar tarafından kullanılamaz duruma gelmesini sağlar. DDoS saldırıları, İnternet üzerinden herkese açık olan uç noktaları hedefleyebilir.

DDoS saldırısı genellikle sisteminizin kaynaklarının büyük, yaygın, coğrafi olarak dağınık bir şekilde kötüye kullanılmasıdır ve bu da kaynağı belirlemeyi ve engellemeyi zorlaştırır.

Bu saldırılara karşı korunmaya yardımcı Azure desteği için bu makaledeki Azure DDoS Koruması bölümüne bakın.

Azure kolaylaştırma

Ağınıza derinlemesine savunma özellikleri eklemek için aşağıdaki Azure hizmetlerini kullanabilirsiniz.

Azure Sanal Ağ

Sanal Ağ, Azure kaynaklarınızın birbirleriyle, internetle ve şirket içi ağlarla güvenli bir şekilde iletişim kurmalarına yardımcı olur.

Varsayılan olarak, sanal ağdaki tüm kaynaklar İnternet ile giden iletişim kurabilir. Ancak gelen iletişim varsayılan olarak kısıtlanmıştır.

Sanal Ağ, trafiği filtrelemeye yönelik özellikler sunar. Kullanıcı tanımlı bir yol (UDR) ve bir güvenlik duvarı bileşeni kullanarak sanal ağ düzeyinde erişimi kısıtlayabilirsiniz. Alt ağ düzeyinde, ağ güvenlik gruplarını kullanarak trafiği filtreleyebilirsiniz.

Edge güvenliği

Varsayılan olarak, hem giriş hem de çıkış genel IP adresleri üzerinden akar. Hizmete veya topolojiye bağlı olarak, bu adresleri siz ayarlarsınız veya Azure atar. Diğer giriş ve çıkış olasılıkları arasında trafiği yük dengeleyici veya ağ adresi çevirisi (NAT) ağ geçidinden geçirme sayılabilir. Ancak bu hizmetler trafik dağıtımına yöneliktir ve güvenlik için tasarlanmamıştır.

Aşağıdaki teknoloji seçenekleri önerilir:

  • Azure Güvenlik Duvarı. Azure Güvenlik Duvarı ağ uçlarında ve merkez-uç ağları ve sanal WAN'ler gibi popüler ağ topolojilerinde kullanabilirsiniz. Azure Güvenlik Duvarı genellikle trafik İnternet'e gitmeden önce son güvenlik geçidi görevi gören bir çıkış güvenlik duvarı olarak dağıtırsınız. Azure Güvenlik Duvarı, HTTP olmayan ve Uzak Masaüstü Protokolü (RDP), Güvenli Kabuk Protokolü (SSH) ve Dosya Aktarım Protokolü (FTP) gibi HTTPS olmayan protokoller kullanan trafiği yönlendirebilir. Azure Güvenlik Duvarı özellik kümesi şunları içerir:

    • Hedef ağ adresi çevirisi (DNAT) veya bağlantı noktası iletme.
    • İzinsiz giriş algılama ve önleme sistemi (IDPS) imza algılama.
    • Güçlü katman 3, katman 4 ve tam etki alanı adı (FQDN) ağ kuralları.

    Not

    Çoğu kuruluş, trafiği bir NVA üzerinden akmaya zorlayan zorlamalı bir tünel ilkesine sahiptir.

    Sanal WAN topolojisi kullanmıyorsanız, NVA'nızın özel IP adresine ile bir NextHopType Internet UDR dağıtmanız gerekir. UDF'ler alt ağ düzeyinde uygulanır. Varsayılan olarak, alt ağdan alt ağa trafik NVA üzerinden akmıyor.

    Giriş için Azure Güvenlik Duvarı aynı anda da kullanabilirsiniz. HTTP ve HTTPS trafiğini yönlendirebilir. Daha yüksek katmanlı SKU'larda Azure Güvenlik Duvarı yük düzeyinde denetimler gerçekleştirebilmeniz için TLS sonlandırması sunar.

    Aşağıdaki uygulamalar önerilir:

    • Trafik akışı günlüklerini, IDPS günlüklerini ve DNS istek günlüklerini toplamak için Azure Güvenlik Duvarı tanılama ayarlarını etkinleştirin.

    • Kurallarda mümkün olduğunca açık olun.

    • Pratik olduğu durumlarda FQDN hizmet etiketlerinden kaçının. Ancak bunları kullandığınızda, hizmetin tüm uç noktalarıyla iletişime izin veren bölgesel değişkenini kullanın.

    • IP grubunun ömrü boyunca aynı kuralları paylaşması gereken kaynakları tanımlamak için IP gruplarını kullanın. IP grupları segmentasyon stratejinizi yansıtmalıdır.

    • Altyapı FQDN'sini yalnızca iş yükünüz mutlak çıkış denetimi gerektiriyorsa izin verme kuralını geçersiz kılın. Azure platform gereksinimleri hizmetlerde değiştiği için bu kuralın geçersiz kılınmış olması güvenilirlik dengelemesi ile birlikte gelir.

    Denge: Azure Güvenlik Duvarı performansınızı etkileyebilir. Kural sırası, miktar, TLS incelemesi ve diğer faktörler önemli gecikme süresine neden olabilir.

    İş yükünüzün güvenilirliği üzerinde de bir etki olabilir. Kaynak ağ adresi çevirisi (SNAT) bağlantı noktası tükenmesi yaşayabilir. Bu sorunun üstesinden gelmeye yardımcı olmak için gerektiğinde genel IP adresleri ekleyin.

    Risk: Azure, çıkış trafiği için bir genel IP adresi atar. Bu atamanın dış güvenlik geçidiniz üzerinde aşağı akış etkisi olabilir.

  • Azure Web Uygulaması Güvenlik Duvarı. Bu hizmet gelen filtrelemeyi destekler ve yalnızca HTTP ve HTTPS trafiğini hedefler.

    OWASP İlk 10 belgesinde Açık Dünya Çapında Uygulama Güvenliği Projesi'nin (OWASP) tanımlamış olduğu tehditler gibi yaygın saldırılar için temel güvenlik sunar. Azure Web Uygulaması Güvenlik Duvarı hız sınırlama, SQL ekleme kuralları ve siteler arası betik oluşturma gibi katman 7'ye odaklanan diğer güvenlik özelliklerini de sağlar.

    Çoğu denetim yükleri temel alarak olduğundan Azure Web Uygulaması Güvenlik Duvarı tls sonlandırması gerekir.

    Azure Web Uygulaması Güvenlik Duvarı Azure Uygulaması lication Gateway veya Azure Front Door gibi yönlendiricilerle tümleştirebilirsiniz. Bu tür yönlendiriciler için Azure Web Uygulaması Güvenlik Duvarı uygulamaları farklılık gösterebilir.

Azure Güvenlik Duvarı ve Azure Web Uygulaması Güvenlik Duvarı birbirini dışlayan seçenekler değildir. Uç güvenlik çözümünüz için çeşitli seçenekler mevcuttur. Örnekler için bkz . Sanal ağlar için Güvenlik Duvarı ve Application Gateway.

Ağ güvenlik grupları

Ağ güvenlik grubu, alt ağ veya ağ arabirimi kartı (NIC) düzeyinde uyguladığınız katman 3 ve katman 4 güvenlik duvarıdır. Ağ güvenlik grupları varsayılan olarak oluşturulmaz veya uygulanmaz.

Ağ güvenlik grubu kuralları, bir alt ağın çevresine gelen ve giden trafiği durdurmak için güvenlik duvarı görevi görür. Ağ güvenlik grubu, fazla izin veren varsayılan bir kural kümesine sahiptir. Örneğin, varsayılan kurallar çıkış perspektifinden bir güvenlik duvarı ayarlamaz. Giriş için gelen İnternet trafiğine izin verilmez.

Kurallar oluşturmak için varsayılan kural kümesiyle başlayın:

  • Gelen trafik veya giriş için:
    • Doğrudan, eşlenmiş ve VPN ağ geçidi kaynaklarından sanal ağ trafiğine izin verilir.
    • Azure Load Balancer sistem durumu yoklamalarına izin verilir.
    • Diğer tüm trafik engellenir.
  • Giden trafik veya çıkış için:
    • Yönlendirme, eşleme ve VPN ağ geçidi hedeflerine yönelik sanal ağ trafiğine izin verilir.
    • İnternet trafiğine izin verilir.
    • Diğer tüm trafik engellenir.

Ardından aşağıdaki beş faktörü göz önünde bulundurun:

  • Protokol
  • Kaynak IP adresi
  • Kaynak bağlantı noktası
  • Hedef IP adresi
  • Hedef bağlantı noktası

FQDN desteğinin olmaması, ağ güvenlik grubu işlevselliğini sınırlar. İş yükünüz için belirli IP adresi aralıkları sağlamanız gerekir ve bunların bakımını yapmak zordur.

Ancak Azure hizmetlerinde kaynak ve hedef IP adresi aralıklarını özetlemek için hizmet etiketlerini kullanabilirsiniz. Hizmet etiketlerinin bir güvenlik avantajı, bunların kullanıcıya göre uyumsuz olması ve sorumluluğun Azure'a yüklenmesidir. Ayrıca, trafiği yönlendirmek için hedef türü olarak bir uygulama güvenlik grubu atayabilirsiniz. Bu adlandırılmış grup türü, benzer gelen veya giden erişim gereksinimlerine sahip kaynakları içerir.

Risk: Hizmet etiketi aralıkları çok geniştir, böylece mümkün olan en geniş müşteri aralığını barındırırlar. Hizmet etiketlerine yapılan güncelleştirmeler, hizmetteki değişikliklerin gerisinde kalır.

Eşleme ile sanal ağ varsayılan yalıtımını gösteren diyagram.

Yukarıdaki görüntüde ağ güvenlik grupları NIC'ye uygulanır. İnternet trafiği ve alt ağdan alt ağa trafik reddedilir. Ağ güvenlik grupları etiketiyle VirtualNetwork birlikte uygulanır. Bu durumda, eşlenmiş ağların alt ağlarının doğrudan bir görüş hattı vardır. Etiketin VirtualNetwork geniş tanımı önemli bir güvenlik etkisine sahip olabilir.

Hizmet etiketlerini kullandığınızda, mümkün olduğunda yerine gibi Storage.WestUS Storagebölgesel sürümleri kullanın. Bu yaklaşımı benimseyerek kapsamı belirli bir bölgedeki tüm uç noktalarla sınırlandırmış olursunuz.

Bazı etiketler yalnızca gelen veya giden trafik içindir. Diğerleri her iki türe de yöneliktir. Gelen etiketler, gibi hizmet çalışma zamanlarını LogicAppsManagementdesteklemek için genellikle gibi tüm barındırma iş yüklerinden AzureFrontDoor.Backendveya Azure'dan gelen trafiğe izin verir. Benzer şekilde, giden etiketler tüm barındırma iş yüklerine veya hizmet çalışma zamanlarını desteklemek için Azure'dan gelen trafiğe izin verir.

Kuralları mümkün olduğunca kapsam olarak belirleyin. Aşağıdaki örnekte kural belirli değerlere ayarlanmıştır. Diğer trafik türleri reddedilir.

Bilgiler Örnek
Protokol İletim Denetimi Protokolü (TCP), UDP
Kaynak IP adresi Kaynak-IP-adresi-aralığından> alt ağa <girişe izin ver: 4575/UDP
Kaynak bağlantı noktası Hizmet etiketinden <>alt ağa girişe izin ver: 443/TCP
Hedef IP adresi Alt ağdan destination-IP-address-range> adresine çıkışa <izin ver: 443/TCP
Hedef bağlantı noktası Alt ağdan hizmet etiketine> çıkışa <izin ver: 443/TCP

Özetlemek gerekirse:

  • Kurallar oluştururken kesin olun. Yalnızca uygulamanızın çalışması için gereken trafiğe izin verin. Diğer her şeyi inkar et. Bu yaklaşım, ağ görüş hattını iş yükünün çalışmasını desteklemek için gereken ağ akışlarıyla sınırlar. Gerektiğinden daha fazla ağ akışını desteklemek gereksiz saldırı vektörlerine yol açar ve yüzey alanını genişletir.

    Trafiği kısıtlamak, izin verilen akışların saldırı kapsamının dışında olduğu anlamına gelmez. Ağ güvenlik grupları Açık Sistemler Arası Bağlantı (OSI) yığınında 3. ve 4. katmanlarda çalıştığından, yalnızca şekil ve yön bilgilerini içerir. Örneğin, iş yükünüzün İnternet'e dns trafiğine izin vermesi gerekiyorsa, bir ağ güvenlik grubu Internet:53:UDPkullanırsınız. Bu durumda, bir saldırgan 53 numaralı bağlantı noktası üzerindeki UDP aracılığıyla verileri başka bir hizmete dışarı sızabilir.

  • Ağ güvenlik gruplarının birbirinden biraz farklı olabileceğini anlayın. Farklılıkların amacını göz ardı etmek kolaydır. Ayrıntılı filtrelemeye sahip olmak için ek ağ güvenlik grupları oluşturmak daha güvenlidir. En az bir ağ güvenlik grubu ayarlayın.

    • Ağ güvenlik grubu eklemek, akış günlükleri ve ağ trafiği analizi gibi birçok tanılama aracının kilidini açar.

    • Ağ güvenlik grupları olmayan alt ağlardaki trafiği denetlemeye yardımcı olması için Azure İlkesi kullanın.

  • Bir alt ağ ağ güvenlik gruplarını destekliyorsa, en düşük düzeyde etkili olsa bile bir grup ekleyin.

Azure hizmet güvenlik duvarları

Çoğu Azure hizmeti hizmet düzeyi güvenlik duvarı sunar. Bu özellik, belirtilen sınıfsız etki alanları arası yönlendirme (CIDR) aralıklarından hizmete giriş trafiğini inceler. Bu güvenlik duvarları avantajlar sunar:

  • Temel bir güvenlik düzeyi sağlar.
  • Performansın tolere edilebilir bir etkisi vardır.
  • Çoğu hizmet bu güvenlik duvarlarını ek ücret ödemeden sunar.
  • Güvenlik duvarları, erişim desenlerini analiz etmek için yararlı olabilecek Azure tanılamaları aracılığıyla günlükleri yayar.

Ancak bu güvenlik duvarlarıyla ilişkili güvenlik endişeleri ve parametre sağlamayla ilgili sınırlamalar da vardır. Örneğin, Microsoft tarafından barındırılan derleme aracılarını kullanıyorsanız, Microsoft tarafından barındırılan tüm derleme aracıları için IP adresi aralığını açmanız gerekir. Bu aralık daha sonra derleme aracınıza, diğer kiracılarınıza ve hizmetinizi kötüye kullanabilecek saldırganlara açıktır.

Hizmet için hizmet güvenlik duvarı kural kümeleri olarak yapılandırılabilir erişim desenleriniz varsa, hizmeti etkinleştirmeniz gerekir. etkinleştirmek için Azure İlkesi kullanabilirsiniz. Varsayılan olarak etkin değilse güvenilen Azure hizmetleri seçeneğini etkinleştirmediğinizden emin olun. Bunu yapmak, kuralların kapsamındaki tüm bağımlı hizmetleri getirir.

Daha fazla bilgi için tek tek Azure hizmetlerinin ürün belgelerine bakın.

Özel uç noktalar

Özel Bağlantı, PaaS örneğine özel bir IP adresi vermeniz için bir yol sağlar. Daha sonra hizmete İnternet üzerinden ulaşılamaz. Özel uç noktalar tüm SKU'lar için desteklenmez.

Özel uç noktaları kullanırken aşağıdaki önerileri göz önünde bulundurun:

  • Bu PaaS hizmetlerinin de genel erişim sunmasını gerektirse bile, sanal ağlara bağlı hizmetleri özel uç noktalar üzerinden PaaS hizmetleriyle iletişim kuracak şekilde yapılandırın.

  • Özel uç nokta IP adreslerine erişimi kısıtlamak için özel uç noktalar için ağ güvenlik gruplarının kullanımını teşvik edin.

  • Özel uç noktaları kullanırken her zaman hizmet güvenlik duvarlarını kullanın.

  • Mümkün olduğunda, yalnızca özel uç noktalar aracılığıyla erişilebilen bir hizmetiniz varsa, genel uç noktası için DNS yapılandırmasını kaldırın.

  • Özel uç noktaları uygularken çalışma zamanı görüş hattı sorunlarını göz önünde bulundurun. Ancak DevOps ve izleme endişelerini de göz önünde bulundurun.

  • Kaynak yapılandırmasını zorlamak için Azure İlkesi kullanın.

Denge: Özel uç noktaları olan hizmet SKU'ları pahalıdır. Özel uç noktalar, ağ belirsizliği nedeniyle işlemleri karmaşıklaştırabilir. Mimarinize şirket içinde barındırılan aracılar, atlama kutuları, VPN ve diğer bileşenleri eklemeniz gerekir.

DNS yönetimi ortak ağ topolojilerinde karmaşık olabilir. DNS ileticilerini ve diğer bileşenleri tanıtmanız gerekebilir.

Sanal ağ ekleme

Ağınıza bazı Azure hizmetleri dağıtmak için sanal ağ ekleme işlemini kullanabilirsiniz. Bu tür hizmetlere örnek olarak Azure Uygulaması Hizmeti, İşlevler, Azure API Management ve Azure Spring Apps verilebilir. Bu işlem uygulamayı İnternet'ten, özel ağlardaki sistemlerden ve diğer Azure hizmetlerinden yalıtıyor. Ağ kurallarına göre uygulamadan gelen ve giden trafiğe izin verilir veya trafik reddedilir.

Azure Bastion

Tarayıcınızı ve Azure portalını kullanarak bir VM'ye bağlanmak için Azure Bastion'ı kullanabilirsiniz. Azure Bastion , RDP ve SSH bağlantılarının güvenliğini artırır. Tipik bir kullanım örneği, aynı sanal ağdaki bir atlama kutusuna veya eşlenmiş bir sanal ağa bağlanmayı içerir. Azure Bastion'ın kullanılması VM'nin genel IP adresine sahip olması gereksinimini ortadan kaldırır.

Azure DDoS Koruması

Azure'daki her özellik, ek ücret ödemeden ve ek yapılandırma olmadan Azure DDoS altyapı koruması tarafından korunur. Koruma düzeyi temeldir, ancak korumanın eşikleri yüksektir. Ayrıca telemetri veya uyarı sağlamaz ve iş yükü belirsizdir.

DDoS Koruması'nın daha yüksek katmanlı SKU'ları kullanılabilir ancak ücretsiz değildir. Genel olarak dağıtılan Azure ağının ölçeği ve kapasitesi, yaygın ağ katmanı saldırılarına karşı koruma sağlar. Her zaman açık trafik izleme ve gerçek zamanlı risk azaltma gibi teknolojiler bu özelliği sağlar.

Daha fazla bilgi için bkz . Azure DDoS Koruması'ne genel bakış.

Örnek

Bu makalede önerilen ağ denetimlerinin kullanımını gösteren bazı örnekler aşağıda verilmiştir.

BT ortamı

Bu örnek, güvenlik temelinde (SE:01) oluşturulan Bilgi Teknolojisi (BT) ortamını temel alır. Bu yaklaşım, trafiği kısıtlamak için çeşitli çevrelerde uygulanan ağ denetimleri hakkında geniş bir anlayış sağlar.

Ağ denetimleriyle bir kuruluşun güvenlik temeli örneğini gösteren diyagram.

  1. Ağ saldırısı kişilikleri. Bir ağ saldırısında Yöneticiler, çalışanlar, müşterinin müşterileri ve anonim saldırganlar dahil olmak üzere çeşitli kişiler dikkate alınabilir.

  2. VPN erişimi. Kötü bir aktör, şirket içi ortama VPN aracılığıyla veya bir VPN aracılığıyla şirket içi ortama bağlı bir Azure ortamı üzerinden erişebilir. Güvenli iletişimi etkinleştirmek için IPSec protokolüyle yapılandırın.

  3. Uygulamaya genel erişim. Ağ OSI katmanının 7. katmanında korumak için uygulamanın önünde bir web uygulaması güvenlik duvarı (WAF) oluşturun.

  4. İşleç erişimi. Ağ OSI katmanlarının Katman 4 üzerinden uzaktan erişimin güvenliği sağlanmalıdır. IDP/IDS özellikleriyle Azure Güvenlik Duvarı kullanmayı göz önünde bulundurun.

  5. DDoS koruması. Tüm sanal ağınız için DDoS korumasına sahip olun.

  6. Ağ topolojisi. Merkez-uç gibi bir ağ topolojisi daha güvenlidir ve maliyetleri iyileştirir. Merkez ağı, eşlenen tüm uçlara merkezi güvenlik duvarı koruması sağlar.

  7. Özel uç noktalar: Özel uç noktaları kullanarak özel ağınıza genel kullanıma sunulan hizmetler eklemeyi göz önünde bulundurun. Bunlar, özel sanal ağınızda bir Ağ Kartı (NIC) oluşturur ve Azure hizmetiyle bağlanır.

  8. TLS iletişimi. TLS üzerinden iletişim kurarak aktarımdaki verileri koruyun.

  9. Ağ Güvenlik Grubu (NSG): IP ve bağlantı noktası aralıklarını dikkate alarak TCP/UDP gelen ve giden iletişimi filtreleyen ücretsiz bir kaynak olan NSG ile bir sanal ağ içindeki kesimleri koruyun. NSG'nin bir parçası, daha kolay yönetim için trafik kuralları için etiketler oluşturmanıza olanak tanıyan Uygulama Güvenlik Grubu'dur (ASG).

  10. Log Analytics. Azure kaynakları Log Analytics'e alınan ve analiz için Microsoft Sentinel gibi bir SIEM çözümüyle birlikte kullanılan telemetri verilerini yayar.

  11. Microsoft Sentinel Tümleştirmesi. Log Analytics, Microsoft Sentinel ve Bulut için Microsoft Defender gibi diğer çözümlerle tümleşiktir.

  12. Bulut için Microsoft Defender. Bulut için Microsoft Defender ortamınıza yönelik Ağ önerileri de dahil olmak üzere birçok iş yükü koruma çözümü sunar.

  13. Trafik Analizi: Trafik Analizi ile ağ denetimlerinizi izleyin. Bu, Azure İzleyici'nin bir parçası olan Ağ İzleyicisi ile yapılandırılır ve NSG tarafından toplanan alt ağlarınızdaki gelen ve giden isabetleri toplar.

Kapsayıcılı iş yükü mimarisi

Bu örnek mimari, bu makalede açıklanan ağ denetimlerini birleştirir. Örnekte mimarinin tamamı gösterilmiyor. Bunun yerine, özel bulut üzerindeki giriş denetimlerine odaklanır.

Application Gateway, ağ güvenlik grubu, Azure Bastion ve Azure DDoS Koruması gibi denetimli girişi gösteren diyagram.

Application Gateway, web uygulamalarınıza gelen trafiği yönetmek için kullanabileceğiniz bir web trafiği yük dengeleyicidir . Application Gateway'i, ağ güvenlik grubu denetimleri ve web uygulaması güvenlik duvarı denetimleri bulunan ayrılmış bir alt ağa dağıtırsınız.

Tüm PaaS hizmetleriyle iletişim, özel uç noktalar üzerinden gerçekleştirilen bir iletişimdir. Tüm uç noktalar ayrılmış bir alt ağa yerleştirilir. DDoS Koruması, temel veya daha yüksek bir güvenlik duvarı koruması düzeyi için yapılandırılmış tüm genel IP adreslerinin korunmasına yardımcı olur.

Yönetim trafiği Azure Bastion aracılığıyla kısıtlanır ve bu da VM'lerinize doğrudan Azure portalından TLS üzerinden güvenli ve sorunsuz RDP ve SSH bağlantısı sağlamaya yardımcı olur. Derleme aracıları, işlem kaynakları, kapsayıcı kayıt defterleri ve veritabanları gibi iş yükü kaynaklarına yönelik bir ağ görünümüne sahip olmaları için sanal ağa yerleştirilir. Bu yaklaşım, derleme aracılarınız için güvenli ve yalıtılmış bir ortam sağlamaya yardımcı olur ve bu da kodunuz ve yapıtlarınız için korumayı artırır.

Ağ güvenlik grubu ve Azure Güvenlik Duvarı için denetimli çıkışı gösteren diyagram.

İşlem kaynaklarının alt ağ düzeyindeki ağ güvenlik grupları çıkış trafiğini kısıtlar. Zorlamalı tünel, tüm trafiği Azure Güvenlik Duvarı üzerinden yönlendirmek için kullanılır. Bu yaklaşım, işlem kaynaklarınız için güvenli ve yalıtılmış bir ortam sağlamaya yardımcı olur ve bu da verileriniz ve uygulamalarınız için korumayı artırır.

Güvenlik denetim listesi

Öneriler kümesinin tamamına bakın.

Güvenlik denetim listesi