Ağ ve bağlantı önerileri

  • Makale

Bu Azure Well-Architected Framework Güvenlik denetim listesi önerisi için geçerlidir:

SE:05 Hem giriş hem de çıkış akışlarında ağ trafiğini yalıtma, filtreleme ve denetleme. Hem doğu-batı hem de kuzey-güney trafiğinde tüm kullanılabilir ağ sınırlarında yerelleştirilmiş ağ denetimlerini kullanarak derinlemesine savunma ilkeleri uygulayın.

Bu kılavuzda ağ tasarımına yönelik öneriler açıklanmaktadır. Odak, mimarinizin çeşitli derinliklerinde ağ sınırlarını aşan saldırganları filtreleyebilecek, engelleyebilecek ve algılayan güvenlik denetimlerine odaklanır.

Ağ tabanlı erişim denetimi ölçüleri uygulayarak kimlik denetimlerinizi güçlendirebilirsiniz. Kimlik tabanlı erişim denetiminin yanı sıra, ağ güvenliği varlıkları korumak için yüksek önceliklidir. Uygun ağ güvenlik denetimleri, tehditleri algılamaya ve içermeye yardımcı olabilecek ve saldırganların iş yükünüzde giriş yapmasını önleyebilecek derinlemesine bir savunma öğesi sağlayabilir.

Tanımlar

Süre Tanım
Doğu-batı trafiği Güvenilen bir sınır içinde hareket eden ağ trafiği.
Çıkış akışı Giden iş yükü trafiği.
Saldırgan ağ İş yükünüzün bir parçası olarak dağıtılmamış bir ağ. Düşman ağ tehdit vektör olarak kabul edilir.
Giriş akışı Gelen iş yükü trafiği.
Ağ filtreleme Belirtilen kurallara göre ağ trafiğine izin veren veya engelleyen bir mekanizma.
Ağ segmentasyonu veya yalıtım Bir ağı, sınırlarda güvenlik denetimleri uygulanmış küçük, yalıtılmış kesimlere ayıran bir strateji. Bu teknik, kaynakların İnternet gibi düşman ağlardan korunmasına yardımcı olur.
Ağ dönüşümü Ağ paketlerini gizleyen bir mekanizma.
Kuzey-güney trafiği Güvenilir bir sınırdan düşman olabilecek dış ağlara (veya tam tersi) taşınan ağ trafiği.

Temel tasarım stratejileri

Ağ güvenliği, iş yükü varlıklarını düşman ağlardan korumak için belirsizliği kullanır. Bir ağ sınırının arkasındaki kaynaklar, sınır denetimleri trafiği ilerletmek için güvenli olarak işaretleyene kadar gizlenir. Ağ güvenliği tasarımı üç ana strateji üzerine kurulmuştur:

  • Segment. Bu teknik , sınırlar ekleyerek trafiği ayrı ağlarda yalıtıyor. Örneğin, bir uygulama katmanına gelen ve bu katmandan gelen trafik, farklı güvenlik gereksinimlerine sahip diğer katmanlarla iletişim kurmak için bir sınırdan geçer. Segmentasyon katmanları, derinlemesine savunma yaklaşımını gerçekleştirir.

    En önemli güvenlik sınırı , uygulamanızla ortak ağlar arasındaki ağ kenarıdır. Düşman ağları yalıtmak için bir sınır oluşturabilmek için bu çevrenin açıkça tanımlanması önemlidir. Bu kenardaki denetimler son derece etkili olmalıdır, çünkü bu sınır ilk savunma hattınızdır.

    Sanal ağlar mantıksal bir sınır sağlar. Tasarım gereği, eşleme aracılığıyla sınır kasıtlı olarak kırılmadığı sürece bir sanal ağ başka bir sanal ağ ile iletişim kuramaz. Mimariniz, platform tarafından sağlanan bu güçlü güvenlik önleminin avantajlarından yararlanmalıdır.

    Sanal ağ içindeki oyulmuş alt ağlar gibi diğer mantıksal sınırları da kullanabilirsiniz. Alt ağların avantajlarından biri, bunları yalıtım sınırı içindeki ve benzer güvenlik güvencelerine sahip kaynakları gruplandırmak için kullanabilmenizdir. Daha sonra trafiği filtrelemek için sınırdaki denetimleri yapılandırabilirsiniz.

  • Filtre uygula'ya bakın. Bu strateji , sınıra giren trafiğin beklenen, izin verilen ve güvenli olduğundan emin olunmasını sağlar. Zero-Trust perspektiften bakıldığında filtreleme, ağ düzeyindeki tüm kullanılabilir veri noktalarını açıkça doğrular. Belirli koşulları denetlemek için sınıra kurallar yerleştirebilirsiniz.

    Örneğin, üst bilgi düzeyinde kurallar trafiğin beklenen konumdan geldiğini veya beklenen bir birime sahip olduğunu doğrulayabilir. Ancak bu denetimler yeterli değildir. Trafik beklenen özellikleri sergilese bile yük güvenli olmayabilir. Doğrulama denetimleri bir SQL ekleme saldırısı ortaya çıkabilir.

  • Dönüştür'ü seçin. Güvenlik önlemi olarak sınırdaki paketlerin sesini kapatma. Örneğin, maruz kalma riskini ortadan kaldırmak için HTTP üst bilgilerini kaldırabilirsiniz. Alternatif olarak Aktarım Katmanı Güvenliği'ni (TLS) bir noktada kapatabilir ve daha sıkı yönetilen bir sertifikayla başka bir atlamada yeniden oluşturabilirsiniz.

Trafik akışlarını sınıflandırma

Akışları sınıflandırmanın ilk adımı, iş yükü mimarinizin şemasını incelemektir. Şematikten, iş yükünüzün işlevsel yardımcı programı ve operasyonel yönleri açısından akışın amacını ve özelliklerini belirleyin . Akışı sınıflandırmaya yardımcı olması için aşağıdaki soruları kullanın:

  • İş yükünün dış ağlarla iletişim kurması gerekiyorsa, bu ağlara gereken yakınlık düzeyi ne olmalıdır?

  • Beklenen protokol ve paketlerin kaynağı ve şekli gibi akışın ağ özellikleri nelerdir? Ağ düzeyinde herhangi bir uyumluluk gereksinimi var mı?

Trafik akışlarını sınıflandırmanın birçok yolu vardır. Aşağıdaki bölümlerde yaygın olarak kullanılan ölçütler açıklanmıştır.

Dış ağlardan görünürlük

  • Genel. Bir iş yükü, uygulamasına ve diğer bileşenlere genel İnternet'ten ulaşılabiliyorsa genel kullanıma yöneliktir. Uygulama bir veya daha fazla genel IP adresi ve genel Etki Alanı Adı Sistemi (DNS) sunucusu aracılığıyla kullanıma sunulur.

  • Özel. İş yüküne yalnızca sanal özel ağ (VPN) gibi özel bir ağ üzerinden erişilebiliyorsa özeldir. Yalnızca bir veya daha fazla özel IP adresi aracılığıyla ve potansiyel olarak bir özel DNS sunucusu aracılığıyla kullanıma sunulur.

    Özel bir ağda, genel İnternet'ten iş yüküne hiçbir bakış açısı yoktur. Ağ geçidi için bir yük dengeleyici veya güvenlik duvarı kullanabilirsiniz. Bu seçenekler güvenlik güvenceleri sağlayabilir.

Genel iş yüklerinde bile iş yükünün mümkün olduğunca çoğunu gizli tutmaya çalışın. Bu yaklaşım paketleri bir genel ağdan geldiklerinde özel bir sınırdan geçmeye zorlar. Bu yoldaki bir ağ geçidi, ters ara sunucu olarak davranarak geçiş noktası olarak işlev görebilir.

Trafik yönü

  • Giriş. Giriş, bir iş yüküne veya bileşenlerine doğru akan gelen trafiktir. Girişin güvenliğini sağlamaya yardımcı olmak için önceki anahtar strateji kümesini uygulayın. Trafik kaynağının ne olduğunu ve beklendiğini, izin verilip verilmediğini ve güvenli olup olmadığını belirleyin. Genel bulut sağlayıcısı IP adresi aralıklarını tarayan saldırganlar, girişi denetlemez veya temel ağ güvenlik önlemleri uygulamazsanız savunmanıza başarıyla nüfuz edebilir.

  • Çıkış. Çıkış, bir iş yükünden veya bileşenlerinden uzaklaşan giden trafiktir. Çıkışı denetlemek için trafiğin nereye gittiğini ve hedefin beklendiğini, izin verilip verilmediğini ve güvenli olup olmadığını belirleyin. Hedef kötü amaçlı olabilir veya veri sızdırma riskleriyle ilişkili olabilir.

Azure dağıtımları ile İnternet arasındaki ağ trafiği akışını gösteren diyagram.

ayrıca iş yükünüzün genel İnternet'e yakın olduğunu göz önünde bulundurarak maruz kalma düzeyinizi de belirleyebilirsiniz. Örneğin, uygulama platformu genellikle genel IP adreslerine hizmet eder. İş yükü bileşeni çözümün yüzüdür.

Etki kapsamı

  • Kuzey-güney. İş yükü ağı ile dış ağlar arasında akan trafik, kuzey-güney trafiğidir. Bu trafik ağınızın kenarından geçer. Dış ağlar genel İnternet, şirket ağı veya denetim kapsamınızın dışında kalan herhangi bir ağ olabilir.

    Giriş ve çıkış hem kuzey-güney trafiği olabilir.

    Örnek olarak merkez-uç ağ topolojisinin çıkış akışını göz önünde bulundurun. Hub'ın bir dış ağ olması için iş yükünüzün ağ kenarını tanımlayabilirsiniz. Bu durumda uç sanal ağından giden trafik kuzey-güney trafiğidir. Ancak merkez ağını kontrol alanınız içinde düşünürseniz, kuzey-güney trafiği merkezdeki güvenlik duvarına genişletilir çünkü sonraki atlama, potansiyel olarak saldırgan olan İnternet'tir.

  • Doğu-batı. bir iş yükü ağı içinde akan trafik doğu-batı trafiğidir. İş yükünüzdeki bileşenler birbiriyle iletişim kurarken bu tür trafik sonuçları elde eder. N katmanlı bir uygulamanın katmanları arasındaki trafik örnek olarak verilmiştir. Mikro hizmetlerde hizmet-hizmet iletişimi doğu-batı trafiğidir.

Derinlemesine savunma sağlamak için , her atlamada yer alan veya paketler iç segmentler arasında geçiş yaparken kullandığınız güvenlik olanaklarının uçtan uca denetimini koruyun. Farklı risk düzeyleri farklı risk düzeltme yöntemleri gerektirir.

Özel bulut için ağ savunmasını derinlemesine gösteren diyagram.

Yukarıdaki diyagramda özel buluttaki ağ savunması ayrıntılı olarak gösterilmektedir. Bu diyagramda, genel ve özel IP adresi alanları arasındaki kenarlık, iş yükünden genel bulut diyagramından önemli ölçüde daha uzaktır. Birden çok katman Azure dağıtımlarını genel IP adresi alanından ayırır.

Not

Kimlik her zaman birincil çevredir. Erişim yönetimi ağ akışlarına uygulanmalıdır. Ağınızın bileşenleri arasında Azure rol tabanlı erişim denetimi (RBAC) kullanırken yönetilen kimlikleri kullanın.

Akışları sınıflandırdıktan sonra, ağ kesimlerinizin iletişim yollarında güvenlik duvarı ekleme noktalarını tanımlamak için bir segmentasyon alıştırması gerçekleştirin. Ağ savunmanızı tüm segmentlerde ve tüm trafik türlerinde derinlemesine tasarlarken, tüm noktalarda bir ihlal olduğunu varsayalım. Tüm kullanılabilir sınırlarda çeşitli yerelleştirilmiş ağ denetimlerinin bir bileşimini kullanın. Daha fazla bilgi için bkz . Segmentasyon stratejileri.

Kenarda güvenlik duvarı uygulama

İnternet uç trafiği kuzey-güney trafiğidir ve giriş ve çıkış içerir. Tehditleri algılamak veya engellemek için bir uç stratejisinin İnternet'e ve İnternet'ten mümkün olduğunca çok saldırıyı azaltması gerekir.

Çıkış için , İnternet'e bağlı tüm trafiği gelişmiş gözetim, idare ve trafik denetimi sağlayan tek bir güvenlik duvarı üzerinden gönderin . Giriş için İnternet'ten gelen tüm trafiği bir ağ sanal gereci (NVA) veya bir web uygulaması güvenlik duvarı üzerinden gitmeye zorlayabilirsiniz.

  • Güvenlik duvarları genellikle bir kuruluşta bölge başına dağıtılan tekillerdir. Sonuç olarak, bunlar iş yükleri arasında paylaşılıyor ve merkezi bir takıma ait. Kullandığınız tüm NVA'ların iş yükünüzün gereksinimlerini destekleyecek şekilde yapılandırıldığından emin olun.

  • Azure yerel denetimlerini mümkün olduğunca kullanmanızı öneririz.

    Yerel denetimlere ek olarak, gelişmiş veya özel özellikler sağlayan iş ortağı NVA'larını da göz önünde bulundurabilirsiniz. İş ortağı güvenlik duvarı ve web uygulaması güvenlik duvarı satıcı ürünleri Azure Market'de kullanılabilir.

    İş ortağı çözümleri yerine yerel özellikleri kullanma kararı, kuruluşunuzun deneyimine ve gereksinimlerine göre olmalıdır.

    Denge: İş ortağı özellikleri genellikle gelişmiş, ancak genellikle yaygın olmayan saldırılara karşı koruyabilen gelişmiş özellikler sağlar. Bu çözümler bulutun yapı denetleyicileriyle tümleştirilemediğinden, iş ortağı çözümlerinin yapılandırması karmaşık ve kırılgan olabilir. Maliyet açısından bakıldığında, iş ortağı çözümlerinden daha ucuz olduğundan yerel denetim tercih edilir.

Göz önünde bulundurduğunuz tüm teknolojik seçenekler hem giriş hem de çıkış akışları için güvenlik denetimleri ve izleme sağlamalıdır. Azure'da kullanılabilen seçenekleri görmek için bu makaledeki Edge güvenliği bölümüne bakın.

Sanal ağ ve alt ağ güvenliği tasarlama

Özel bulutun birincil amacı, genel İnternet'ten gelen kaynakları gizlemektir. Bu hedefe ulaşmanın birkaç yolu vardır:

  • Sanal ağları kullanarak gerçekleştirebileceğiniz özel IP adresi alanlarına geçin. Kendi özel ağlarınızda bile ağ görüş hattını en aza indirin.

  • İş yükünüzün daha azını ortaya çıkarmak için kullandığınız genel DNS girdilerinin sayısını en aza indirin.

  • Giriş ve çıkış ağ akışı denetimi ekleyin. Güvenilmeyen trafiğe izin verme.

Segmentasyon stratejisi

Ağ görünürlüğünü en aza indirmek için ağınızı segmentlere ayırmanız ve en az ayrıcalıklı ağ denetimleriyle başlamanız gerekir. Bir segment yönlendirilebilir değilse, bu bölüme erişilemez. Kapsamı yalnızca ağ erişimi aracılığıyla birbirleriyle iletişim kurması gereken kesimleri içerecek şekilde genişletin.

Alt ağlar oluşturarak sanal ağları segmentlere ayırmanız gerekir. Bölme ölçütleri kasıtlı olmalıdır. Hizmetleri bir alt ağ içinde birleştirirken, bu hizmetlerin birbirini görebildiğine emin olun.

Segmentasyonunuzu birçok faktöre dayandırabilirsiniz. Örneğin, ayrılmış segmentlere farklı uygulama katmanları yerleştirebilirsiniz. Diğer bir yaklaşım da alt ağlarınızı iyi bilinen protokolleri kullanan ortak rollere ve işlevlere göre planlamaktır.

Daha fazla bilgi için bkz . Segmentasyon stratejileri.

Alt ağ güvenlik duvarları

Her alt ağın gelen ve giden trafiğini incelemek önemlidir. Bu makalenin önceki bölümlerinde temel tasarım stratejileri bölümünde açıklanan üç ana stratejiyi kullanın. Akışın beklenen, izin verilen ve güvenli olup olmadığını denetleyin. Bu bilgileri doğrulamak için trafiğin protokolüne, kaynağına ve hedefine dayalı güvenlik duvarı kurallarını tanımlayın .

Azure'da, ağ güvenlik gruplarında güvenlik duvarı kuralları ayarlarsınız. Daha fazla bilgi için bu makalenin Ağ güvenlik grupları bölümüne bakın.

Alt ağ tasarımı örneği için bkz. Azure Sanal Ağ alt ağları.

Denetimleri bileşen düzeyinde kullanma

Ağınızın görünürlüğünü en aza indirdikten sonra Azure kaynaklarınızı ağ perspektifinden eşleyin ve akışları değerlendirin. Aşağıdaki akış türleri mümkündür:

  • Mimari tasarımınıza göre planlanmış trafik veya hizmetler arasında kasıtlı iletişim. Örneğin, mimariniz Azure İşlevleri Azure Service Bus'dan ileti çekmesini önerdiğinde trafiği planlamış olmanız gerekir.

  • Yönetim trafiği veya hizmetin işlevselliğinin bir parçası olarak gerçekleşen iletişim. Bu trafik tasarımınızın bir parçası değildir ve bu trafik üzerinde hiçbir denetiminiz yoktur. Yönetilen trafiğe örnek olarak mimarinizdeki Azure hizmetleri ile Azure yönetim düzlemi arasındaki iletişim gösteriliyor.

Planlı ve yönetim trafiği arasında ayrım yapmak, yerelleştirilmiş veya hizmet düzeyinde denetimler oluşturmanıza yardımcı olur. Her atlamadaki kaynak ve hedef hakkında iyi bir anlayışa sahipsiniz. Özellikle veri düzleminizin nasıl kullanıma sunulduğuna bakın.

Başlangıç noktası olarak, her hizmetin İnternet'e açık olup olmadığını belirleyin. Bu durumda, erişimin nasıl kısıtlanması planlanır. Değilse bir sanal ağa yerleştirin.

Hizmet güvenlik duvarları

Bir hizmetin İnternet'e açık olmasını bekliyorsanız, çoğu Azure kaynağı için kullanılabilen hizmet düzeyi güvenlik duvarından yararlanın. Bu güvenlik duvarını kullandığınızda, erişim desenlerine göre kurallar ayarlayabilirsiniz. Daha fazla bilgi için bu makalenin Azure hizmeti güvenlik duvarları bölümüne bakın.

Not

Bileşeniniz bir hizmet değilse, ağ düzeyinde güvenlik duvarlarına ek olarak konak tabanlı bir güvenlik duvarı kullanın. Sanal makine (VM), hizmet olmayan bir bileşene örnektir.

Hizmet olarak platform (PaaS) hizmetlerine bağlantı

PaaS hizmetlerine erişimin güvenliğini sağlamaya yardımcı olmak için özel uç noktaları kullanmayı göz önünde bulundurun. Özel uç noktaya sanal ağınızdan bir özel IP adresi atanır. Uç nokta, ağdaki diğer kaynakların özel IP adresi üzerinden PaaS hizmetiyle iletişim kurmasını sağlar.

PaaS hizmetiyle iletişim, hizmetin genel IP adresi ve DNS kaydı kullanılarak gerçekleştirilir. Bu iletişim İnternet üzerinden gerçekleşir. Bu iletişimi özel hale getirebilirsiniz.

PaaS hizmetinden alt ağlarınızdan birine tünel, özel bir kanal oluşturur. Tüm iletişim, bileşenin özel IP adresinden bu alt ağdaki bir özel uç noktaya gerçekleştirilir ve bu da PaaS hizmetiyle iletişim kurar.

Bu örnekte, soldaki görüntü genel kullanıma sunulan uç noktaların akışını gösterir. Sağ tarafta bu akışın güvenliği özel uç noktalar kullanılarak sağlanır.

Özel uç noktanın veritabanının İnternet kullanıcılarından korunmasına nasıl yardımcı olduğunu gösteren diyagram.

Daha fazla bilgi için bu makalenin Özel uç noktalar bölümüne bakın.

Not

Özel uç noktaları hizmet güvenlik duvarlarıyla birlikte kullanmanızı öneririz. Hizmet güvenlik duvarı gelen İnternet trafiğini engeller ve ardından hizmeti özel uç noktayı kullanan iç kullanıcılara özel olarak kullanıma sunar.

Özel uç noktaları kullanmanın bir diğer avantajı, giden trafik için güvenlik duvarındaki bağlantı noktalarını açmanız gerekmeyecek olmasıdır. Özel uç noktalar, genel İnternet için bağlantı noktasındaki tüm giden trafiği kilitler. Bağlantı, ağ içindeki kaynaklarda sınırlıdır.

Denge: Azure Özel Bağlantı, işlenen gelen ve giden veriler için ölçümler içeren ücretli bir hizmettir. Ayrıca özel uç noktalar için ücretlendirilirsiniz.

Dağıtılmış hizmet reddi (DDoS) saldırılarına karşı koruma

DDoS saldırısı, uygulamanın kaynaklarını tüketerek uygulamanın meşru kullanıcılar tarafından kullanılamaz duruma gelmesini sağlamayı dener. DDoS saldırıları, İnternet üzerinden genel olarak erişilebilen tüm uç noktaları hedefleyebilir.

DDoS saldırısı genellikle sisteminizin kaynaklarının çok büyük, yaygın, coğrafi olarak dağıtılmış bir kötüye kullanımıdır ve bu da kaynağı belirlemeyi ve engellemeyi zorlaştırır.

Bu saldırılara karşı korunmaya yardımcı Azure desteği için bu makaledeki Azure DDoS Koruması bölümüne bakın.

Azure kolaylaştırma

Ağınıza derinlemesine savunma özellikleri eklemek için aşağıdaki Azure hizmetlerini kullanabilirsiniz.

Azure Sanal Ağ

Sanal Ağ, Azure kaynaklarınızın birbirleriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmalarına yardımcı olur.

Varsayılan olarak, bir sanal ağdaki tüm kaynaklar İnternet ile giden iletişim kurabilir. Ancak gelen iletişim varsayılan olarak kısıtlanmıştır.

Sanal Ağ, trafiği filtrelemeye yönelik özellikler sunar. Kullanıcı tanımlı bir yol (UDR) ve bir güvenlik duvarı bileşeni kullanarak sanal ağ düzeyinde erişimi kısıtlayabilirsiniz. Alt ağ düzeyinde, ağ güvenlik gruplarını kullanarak trafiği filtreleyebilirsiniz.

Edge güvenliği

Varsayılan olarak, giriş ve çıkış genel IP adresleri üzerinden akar. Hizmete veya topolojiye bağlı olarak, bu adresleri siz ayarlarsınız veya Azure bunları atar. Diğer giriş ve çıkış olasılıkları arasında trafiği yük dengeleyici veya ağ adresi çevirisi (NAT) ağ geçidinden geçirme sayılabilir. Ancak bu hizmetler trafik dağıtımına yöneliktir ve mutlaka güvenlik için tasarlanmamıştır.

Aşağıdaki teknoloji seçenekleri önerilir:

  • Azure Güvenlik Duvarı. Azure Güvenlik Duvarı ağ uçlarında ve merkez-uç ağları ve sanal WAN'ler gibi popüler ağ topolojilerinde kullanabilirsiniz. Genellikle Azure Güvenlik Duvarı, trafik İnternet'e gitmeden önce son güvenlik kapısı işlevi gören bir çıkış güvenlik duvarı olarak dağıtırsınız. Azure Güvenlik Duvarı, HTTP olmayan ve Uzak Masaüstü Protokolü (RDP), Secure Shell Protokolü (SSH) ve Dosya Aktarım Protokolü (FTP) gibi HTTPS olmayan protokolleri kullanan trafiği yönlendirebilir. Azure Güvenlik Duvarı özellik kümesi şunları içerir:

    • Hedef ağ adresi çevirisi (DNAT) veya bağlantı noktası iletme.
    • İzinsiz giriş algılama ve önleme sistemi (IDPS) imza algılama.
    • Güçlü katman 3, katman 4 ve tam etki alanı adı (FQDN) ağ kuralları.

    Not

    Çoğu kuruluşun trafiği NVA üzerinden akmaya zorlayan zorlamalı tünel ilkesi vardır.

    Sanal WAN topolojisi kullanmıyorsanız, NVA'nızın özel IP adresine ile bir NextHopTypeInternetUDR dağıtmanız gerekir. UDF'ler alt ağ düzeyinde uygulanır. Varsayılan olarak, alt ağdan alt ağa trafik NVA üzerinden akmıyor.

    Azure Güvenlik Duvarı aynı anda giriş için de kullanabilirsiniz. HTTP ve HTTPS trafiğini yönlendirebilir. Daha yüksek katmanlı SKU'larda Azure Güvenlik Duvarı yük düzeyinde denetimler uygulayabilmeniz için TLS sonlandırması sunar.

    Aşağıdaki uygulamalar önerilir:

    • Trafik akışı günlüklerini, IDPS günlüklerini ve DNS istek günlüklerini toplamak için Azure Güvenlik Duvarı tanılama ayarlarını etkinleştirin.

    • Kurallarda olabildiğince açık olun.

    • Pratik olduğu durumlarda FQDN hizmet etiketlerinden kaçının. Ancak bunları kullandığınızda, hizmetin tüm uç noktalarıyla iletişime izin veren bölgesel değişkeni kullanın.

    • IP grubunun ömrü boyunca aynı kuralları paylaşması gereken kaynakları tanımlamak için IP gruplarını kullanın. IP grupları segmentasyon stratejinizi yansıtmalıdır.

    • Altyapı FQDN'sini geçersiz kıl yalnızca iş yükünüz mutlak çıkış denetimi gerektiriyorsa izin verme kuralı. Azure platform gereksinimleri hizmetlerde değiştiği için bu kuralın geçersiz kılınmış olması güvenilirlik dengelemesiyle birlikte gelir.

    Denge: Azure Güvenlik Duvarı performansınızı etkileyebilir. Kural sırası, miktar, TLS incelemesi ve diğer faktörler önemli gecikmeye neden olabilir.

    İş yükünüzün güvenilirliği üzerinde de bir etki olabilir. Kaynak ağ adresi çevirisi (SNAT) bağlantı noktası tükenmesi yaşayabilir. Bu sorunun üstesinden gelmeye yardımcı olmak için gerektiğinde genel IP adreslerini ekleyin.

    Risk: Azure, çıkış trafiği için bir genel IP adresi atar. Bu atamanın dış güvenlik geçidiniz üzerinde aşağı akış etkisi olabilir.

  • Azure Web Uygulaması Güvenlik Duvarı. Bu hizmet gelen filtrelemeyi destekler ve yalnızca HTTP ve HTTPS trafiğini hedefler.

    Açık Dünya Çapında Uygulama Güvenliği Projesi'nin (OWASP) OWASP İlk 10 belgesinde tanımlamış olduğu tehditler gibi yaygın saldırılar için temel güvenlik sunar. Azure Web Uygulaması Güvenlik Duvarı hız sınırlama, SQL ekleme kuralları ve siteler arası betik oluşturma gibi katman 7'ye odaklanan diğer güvenlik özelliklerini de sağlar.

    Azure Web Uygulaması Güvenlik Duvarı ile, denetimlerin çoğu yükleri temel alarak olduğundan TLS sonlandırması gerekir.

    Azure Web Uygulaması Güvenlik Duvarı Azure Application Gateway veya Azure Front Door gibi yönlendiricilerle tümleştirebilirsiniz. Bu tür yönlendiriciler için Azure Web Uygulaması Güvenlik Duvarı uygulamaları farklılık gösterebilir.

Azure Güvenlik Duvarı ve Azure Web Uygulaması Güvenlik Duvarı birbirini dışlayan seçenekler değildir. Uç güvenlik çözümünüz için çeşitli seçenekler sağlanır. Örnekler için bkz. Sanal ağlar için güvenlik duvarı ve Application Gateway.

Ağ güvenlik grupları

Ağ güvenlik grubu, alt ağ veya ağ arabirimi kartı (NIC) düzeyinde uyguladığınız katman 3 ve katman 4 güvenlik duvarıdır. Ağ güvenlik grupları varsayılan olarak oluşturulmaz veya uygulanmaz.

Ağ güvenlik grubu kuralları, bir alt ağın çevresine gelen ve giden trafiği durdurmak için bir güvenlik duvarı görevi görür. Ağ güvenlik grubu, aşırı izin veren varsayılan bir kural kümesine sahiptir. Örneğin, varsayılan kurallar çıkış açısından bir güvenlik duvarı ayarlamaz. Giriş için gelen İnternet trafiğine izin verilmez.

Kurallar oluşturmak için varsayılan kural kümesiyle başlayın:

  • Gelen trafik veya giriş için:
    • Doğrudan, eşlenmiş ve VPN ağ geçidi kaynaklarından sanal ağ trafiğine izin verilir.
    • Azure Load Balancer sistem durumu yoklamalarına izin verilir.
    • Diğer tüm trafik engellenir.
  • Giden trafik veya çıkış için:
    • Yönlendirme, eşleme ve VPN ağ geçidi hedeflerine yönelik sanal ağ trafiğine izin verilir.
    • İnternet'e gelen trafiğe izin verilir.
    • Diğer tüm trafik engellenir.

Ardından aşağıdaki beş faktörü göz önünde bulundurun:

  • Protokol
  • Kaynak IP adresi
  • Kaynak bağlantı noktası
  • Hedef IP adresi
  • Hedef bağlantı noktası

FQDN desteğinin olmaması, ağ güvenlik grubu işlevselliğini sınırlar. İş yükünüz için belirli IP adresi aralıkları sağlamanız gerekir ve bunların bakımı zordur.

Ancak Azure hizmetlerinde kaynak ve hedef IP adresi aralıklarını özetlemek için hizmet etiketlerini kullanabilirsiniz. Hizmet etiketlerinin bir güvenlik avantajı, kullanıcı için donuk olması ve sorumluluğun Azure'a boşaltılmış olmasıdır. Ayrıca, trafiğin yönlendirilecek hedef türü olarak bir uygulama güvenlik grubu atayabilirsiniz. Bu adlandırılmış grup türü, benzer gelen veya giden erişim gereksinimlerine sahip kaynakları içerir.

Risk: Hizmet etiketi aralıkları, mümkün olan en geniş müşteri yelpazesini barındıracak şekilde çok geniştir. Hizmet etiketlerine Güncelleştirmeler, hizmetteki değişikliklerin gerisinde kalır.

Eşleme ile sanal ağ varsayılan yalıtımını gösteren diyagram.

Önceki görüntüde ağ güvenlik grupları NIC'ye uygulanır. İnternet trafiği ve alt ağdan alt ağa trafik reddedilir. Ağ güvenlik grupları etiketiyle VirtualNetwork birlikte uygulanır. Bu durumda, eşlenmiş ağların alt ağlarının doğrudan bir görüş hattı vardır. Etiketin VirtualNetwork geniş tanımı önemli bir güvenlik etkisine sahip olabilir.

Hizmet etiketlerini kullandığınızda, mümkün olduğunda yerine gibi Storage.WestUSStoragebölgesel sürümleri kullanın. Bu yaklaşımı benimseyerek kapsamı belirli bir bölgedeki tüm uç noktalarla sınırlandırabilirsiniz.

Bazı etiketler yalnızca gelen veya giden trafiğe yöneliktir. Diğerleri her iki tür için de geçerlidir. Gelen etiketler genellikle gibi AzureFrontDoor.Backendhizmet çalışma zamanlarını LogicAppsManagementdesteklemek için gibi tüm barındırma iş yüklerinden veya Azure'dan gelen trafiğe izin verir. Benzer şekilde, giden etiketler tüm barındırma iş yüklerine veya hizmet çalışma zamanlarını desteklemek için Azure'dan gelen trafiğe izin verir.

Kuralları mümkün olduğunca kapsam olarak belirleyin. Aşağıdaki örnekte kural belirli değerlere ayarlanmıştır. Diğer trafik türleri reddedilir.

Bilgi Örnek
Protokol İletim Denetimi Protokolü (TCP), UDP
Kaynak IP adresi Source-IP-address-range> adresinden <alt ağa girişe izin ver: 4575/UDP
Kaynak bağlantı noktası Hizmet etiketinden <>alt ağa girişe izin ver: 443/TCP
Hedef IP adresi Alt ağdan destination-IP-address-range> adresine çıkışa <izin ver: 443/TCP
Hedef bağlantı noktası Alt ağdan hizmet etiketine> çıkışa <izin ver: 443/TCP

Özetlemek gerekirse:

  • Kurallar oluştururken kesinlik sağlayın. Yalnızca uygulamanızın çalışması için gereken trafiğe izin verin. Diğer her şeyi reddet. Bu yaklaşım, ağ görüş hattını iş yükünün çalışmasını desteklemek için gereken ağ akışlarıyla sınırlar. Gerektiğinden daha fazla ağ akışının desteklenmesi gereksiz saldırı vektörlerine yol açar ve yüzey alanını genişletir.

    Trafiğin kısıtlanması, izin verilen akışların saldırı kapsamının dışında olduğu anlamına gelmez. Ağ güvenlik grupları Açık Sistemler Arası Bağlantı (OSI) yığınında 3. ve 4. katmanlarda çalıştığından, bunlar yalnızca şekil ve yön bilgilerini içerir. Örneğin, iş yükünüzün İnternet'e yönelik DNS trafiğine izin vermesi gerekiyorsa, ağ güvenlik grubu Internet:53:UDPkullanırsınız. Bu durumda, bir saldırgan 53 numaralı bağlantı noktası üzerinden UDP aracılığıyla başka bir hizmete veri sızdırmayı başarabilir.

  • Ağ güvenlik gruplarının birbirinden biraz farklı olabileceğini anlayın. Farklılıkların amacını göz ardı etmek kolaydır. Ayrıntılı filtrelemeye sahip olmak için ek ağ güvenlik grupları oluşturmak daha güvenlidir. En az bir ağ güvenlik grubu ayarlayın.

    • Ağ güvenlik grubu eklemek, akış günlükleri ve ağ trafiği analizi gibi birçok tanılama aracının kilidini açar.

    • Ağ güvenlik grupları olmayan alt ağlardaki trafiği denetlemeye yardımcı olması için Azure İlkesi kullanın.

  • Bir alt ağ ağ güvenlik gruplarını destekliyorsa, en düşük düzeyde etkili olsa bile bir grup ekleyin.

Azure hizmeti güvenlik duvarları

Azure hizmetlerinin çoğu hizmet düzeyi güvenlik duvarı sunar. Bu özellik, belirtilen sınıfsız etki alanları arası yönlendirme (CIDR) aralıklarından hizmete giriş trafiğini inceler. Bu güvenlik duvarları avantajlar sunar:

  • Temel bir güvenlik düzeyi sağlar.
  • Performansın tolere edilebilir bir etkisi vardır.
  • Çoğu hizmet bu güvenlik duvarlarını ek ücret ödemeden sunar.
  • Güvenlik duvarları, erişim desenlerini analiz etmek için yararlı olabilecek Azure tanılamaları aracılığıyla günlükleri yayar.

Ancak bu güvenlik duvarlarıyla ilişkili güvenlik kaygıları ve parametrelerin sağlanmasıyla ilişkili sınırlamalar da vardır. Örneğin, Microsoft tarafından barındırılan derleme aracılarını kullanıyorsanız, Microsoft tarafından barındırılan tüm derleme aracıları için IP adresi aralığını açmanız gerekir. Bu aralık daha sonra derleme aracınıza, diğer kiracılara ve hizmetinizi kötüye kullanabilecek saldırganlara açık olur.

Hizmet için hizmet güvenlik duvarı kural kümeleri olarak yapılandırılabilir erişim desenleriniz varsa, hizmeti etkinleştirmeniz gerekir. etkinleştirmek için Azure İlkesi kullanabilirsiniz. Varsayılan olarak etkin değilse güvenilen Azure hizmetleri seçeneğini etkinleştirmediğinizden emin olun. Bunu yapmak, kuralların kapsamındaki tüm bağımlı hizmetleri getirir.

Daha fazla bilgi için tek tek Azure hizmetlerinin ürün belgelerine bakın.

Özel uç noktalar

Özel Bağlantı, PaaS örneğine özel bir IP adresi vermeniz için bir yol sağlar. Bu durumda hizmete İnternet üzerinden ulaşılamaz. Özel uç noktalar tüm SKU'lar için desteklenmez.

Özel uç noktaları kullanırken aşağıdaki önerileri göz önünde bulundurun:

  • Bu PaaS hizmetlerinin de genel erişim sunmasını gerektirse bile , özel uç noktalar aracılığıyla PaaS hizmetleriyle iletişim kurmak için sanal ağlara bağlı hizmetleri yapılandırın.

  • Özel uç nokta IP adreslerine erişimi kısıtlamak için özel uç noktalar için ağ güvenlik gruplarının kullanımını teşvik edin.

  • Özel uç noktaları kullanırken her zaman hizmet güvenlik duvarlarını kullanın.

  • Mümkün olduğunda, yalnızca özel uç noktalar aracılığıyla erişilebilen bir hizmetiniz varsa, genel uç noktası için DNS yapılandırmasını kaldırın.

  • Özel uç noktaları uygularken çalışma zamanı görüş hattı sorunlarını göz önünde bulundurun. Ancak DevOps ve izleme endişelerini de göz önünde bulundurun.

  • Kaynak yapılandırmasını zorlamak için Azure İlkesi kullanın.

Dezavantaj: Özel uç noktaları olan hizmet SKU'ları pahalıdır. Özel uç noktalar, ağ belirsizliği nedeniyle işlemleri karmaşıklaştırabilir. Mimarinize şirket içinde barındırılan aracılar, atlama kutuları, VPN ve diğer bileşenleri eklemeniz gerekir.

DNS yönetimi ortak ağ topolojilerinde karmaşık olabilir. DNS ileticilerini ve diğer bileşenleri tanıtmanız gerekebilir.

Sanal ağ ekleme

Ağınıza bazı Azure hizmetlerini dağıtmak için sanal ağ ekleme işlemini kullanabilirsiniz. Bu tür hizmetlere örnek olarak Azure App Service, İşlevler, Azure API Management ve Azure Spring Apps verilebilir. Bu işlem uygulamayı İnternet'ten, özel ağlardaki sistemlerden ve diğer Azure hizmetlerinden yalıtır . Ağ kurallarına göre uygulamadan gelen ve giden trafiğe izin verilir veya trafik reddedilir.

Azure Bastion

Azure Bastion'ı kullanarak tarayıcınızı ve Azure portal kullanarak bir VM'ye bağlanabilirsiniz. Azure Bastion , RDP ve SSH bağlantılarının güvenliğini artırır. Tipik bir kullanım örneği, aynı sanal ağdaki veya eşlenmiş bir sanal ağdaki atlama kutusuna bağlanmayı içerir. Azure Bastion'ın kullanılması, VM'nin genel IP adresine sahip olması gereksinimini ortadan kaldırır.

Azure DDoS Koruması

Azure'daki her özellik, ek ücret ödemeden ve ek yapılandırma olmadan Azure DDoS altyapı koruması tarafından korunur. Koruma düzeyi temeldir, ancak koruma yüksek eşiklere sahiptir. Ayrıca telemetri veya uyarı sağlamaz ve iş yükü belirsizdir.

Daha yüksek katmanlı DDoS Koruması SKU'ları kullanılabilir ancak ücretsiz değildir. Genel olarak dağıtılan Azure ağının ölçeği ve kapasitesi, yaygın ağ katmanı saldırılarına karşı koruma sağlar. Her zaman açık trafik izleme ve gerçek zamanlı risk azaltma gibi teknolojiler bu özelliği sağlar.

Daha fazla bilgi için bkz. Azure DDoS Korumasına genel bakış.

Örnek

Bu makalede önerilen ağ denetimlerinin kullanımını gösteren bazı örnekler aşağıda verilmiştir.

BT ortamı

Bu örnek , güvenlik temelinde (SE:01) oluşturulan Bilgi Teknolojisi (BT) ortamını temel alır. Bu yaklaşım, trafiği kısıtlamak için çeşitli çevrelerde uygulanan ağ denetimleri hakkında kapsamlı bir anlayış sağlar.

Ağ denetimleriyle bir kuruluşun güvenlik temeli örneğini gösteren diyagram.

  1. Ağ saldırısı kişilikleri. Ağ saldırısında Yöneticiler, çalışanlar, müşterinin müşterileri ve anonim saldırganlar gibi çeşitli kişiler dikkate alınabilir.

  2. VPN erişimi. Kötü bir aktör, şirket içi ortama VPN aracılığıyla veya VPN aracılığıyla şirket içi ortama bağlı bir Azure ortamı üzerinden erişebilir. Güvenli iletişimi etkinleştirmek için IPSec protokolüyle yapılandırın.

  3. Uygulamaya genel erişim. Ağ OSI katmanının 7. katmanında korumak için uygulamanın önünde bir web uygulaması güvenlik duvarı (WAF) oluşturun.

  4. operatör erişimi. Ağ OSI katmanlarının Katman 4 üzerinden uzaktan erişimin güvenliği sağlanmalıdır. IDP/IDS özellikleriyle Azure Güvenlik Duvarı kullanmayı göz önünde bulundurun.

  5. DDoS koruması. Tüm sanal ağınız için DDoS korumasına sahip olun.

  6. Ağ topolojisi. Merkez-uç gibi bir ağ topolojisi daha güvenlidir ve maliyetleri iyileştirir. Merkez ağı, eşlenen tüm uçlara merkezi güvenlik duvarı koruması sağlar.

  7. Özel uç noktalar: Özel uç noktaları kullanarak özel ağınıza genel kullanıma sunulan hizmetler eklemeyi göz önünde bulundurun. Bunlar özel sanal ağınızda bir Ağ Kartı (NIC) oluşturur ve Azure hizmetine bağlanır.

  8. TLS iletişimi. TLS üzerinden iletişim kurarak aktarımdaki verileri koruyun.

  9. Ağ Güvenlik Grubu (NSG):IP ve bağlantı noktası aralıklarını dikkate alarak TCP/UDP gelen ve giden iletişimi filtreleyen ücretsiz bir kaynak olan NSG ile bir sanal ağ içindeki kesimleri koruyun. NSG'nin bir parçası, daha kolay yönetim için trafik kuralları için etiketler oluşturmanıza olanak tanıyan Uygulama Güvenlik Grubu'dur (ASG).

  10. Log Analytics. Azure kaynakları Log Analytics'e alınan ve analiz için Microsoft Sentinel gibi bir SIEM çözümüyle kullanılan telemetri verilerini yayar.

  11. Microsoft Sentinel Tümleştirmesi. Log Analytics, Microsoft Sentinel ve Bulut için Microsoft Defender gibi diğer çözümlerle tümleşiktir.

  12. Bulut için Microsoft Defender. Microsoft Defender for Cloud, ortamınıza yönelik ağ önerileri de dahil olmak üzere birçok iş yükü koruma çözümü sunar.

  13. Trafik Analizi: Trafik Analizi ile ağ denetimlerinizi izleyin. Bu, Azure İzleyici'nin bir parçası olan Ağ İzleyicisi ile yapılandırılır ve NSG tarafından toplanan alt ağlarınızdaki gelen ve giden isabetleri toplar.

Kapsayıcılı iş yükü mimarisi

Bu örnek mimari, bu makalede açıklanan ağ denetimlerini birleştirir. Örnekte mimarinin tamamı gösterilmiyor. Bunun yerine, özel bulut üzerindeki giriş denetimlerine odaklanır.

Application Gateway, ağ güvenlik grubu, Azure Bastion ve Azure DDoS Koruması gibi denetimli girişi gösteren diyagram.

Application Gateway, web uygulamalarınıza gelen trafiği yönetmek için kullanabileceğiniz bir web trafiği yük dengeleyicidir. Application Gateway ağ güvenlik grubu denetimleri ve web uygulaması güvenlik duvarı denetimleri bulunan ayrılmış bir alt ağa dağıtırsınız.

Tüm PaaS hizmetleriyle iletişim , özel uç noktalar üzerinden gerçekleştirilen bir iletişimdir. Tüm uç noktalar ayrılmış bir alt ağa yerleştirilir. DDoS Koruması, temel veya daha yüksek bir güvenlik duvarı koruması düzeyi için yapılandırılmış tüm genel IP adreslerinin korunmasına yardımcı olur.

Yönetim trafiği Azure Bastion aracılığıyla kısıtlanır ve bu da VM'lerinize doğrudan AZURE PORTAL TLS üzerinden güvenli ve sorunsuz RDP ve SSH bağlantısı sağlamaya yardımcı olur. Derleme aracıları, işlem kaynakları, kapsayıcı kayıt defterleri ve veritabanları gibi iş yükü kaynaklarına yönelik bir ağ görünümüne sahip olmaları için sanal ağa yerleştirilir. Bu yaklaşım, derleme aracılarınız için güvenli ve yalıtılmış bir ortam sağlamaya yardımcı olur ve bu da kodunuz ve yapıtlarınız için korumayı artırır.

Ağ güvenlik grubu ve Azure Güvenlik Duvarı için denetimli çıkışı gösteren diyagram.

İşlem kaynaklarının alt ağ düzeyindeki ağ güvenlik grupları çıkış trafiğini kısıtlar. Zorlamalı tünel, tüm trafiği Azure Güvenlik Duvarı üzerinden yönlendirmek için kullanılır. Bu yaklaşım, işlem kaynaklarınız için güvenli ve yalıtılmış bir ortam sağlamaya yardımcı olur ve bu da verileriniz ve uygulamalarınız için korumayı artırır.

Güvenlik denetim listesi

Önerilerin tamamına bakın.

Güvenlik denetim listesi