Aracılığıyla paylaş

Ağ Güvenlik Çevresi ile Azure İzleyici'yi yapılandırma

Bu makalede, Azure İzleyici kaynakları için bir ağ güvenlik çevresi yapılandırma işlemi sağlanır. Ağ güvenlik çevresi, sanal ağ dışında dağıtılan PaaS hizmetleri arasındaki iletişim için güvenli bir çevre sağlayan bir ağ yalıtımı özelliğidir. Bu PaaS hizmetleri çevre içinde birbirleriyle iletişim kurabilir ve genel gelen ve giden erişim kurallarını kullanarak çevre dışındaki kaynaklarla da iletişim kurabilir.

Ağ Güvenliği Çevresi, desteklenen Azure İzleyici kaynakları altında ağ yalıtımı ayarlarını kullanarak ağ erişimini denetlemenize olanak tanır. Ağ güvenlik çevresi yapılandırıldıktan sonra aşağıdaki eylemleri gerçekleştirebilirsiniz:

  • Ağ güvenlik çevresi için tanımlanan gelen ve giden erişim kurallarına göre desteklenen Azure İzleyici kaynaklarınıza ağ erişimini denetleyin.
  • Desteklenen Azure İzleyici kaynaklarınıza tüm ağ erişimini günlüğe kaydetme.
  • Ağ güvenlik çevresinde olmayan hizmetlere veri sızdırmayı engelleyin.

Tavsiye

Azure İzleyici kaynaklarını bir ağ güvenlik çevresine geçirme konusunda rehberlik için bkz. Azure'da ağ güvenlik çevresine geçiş.

Bölgeler

Azure Ağ Güvenlik Çevresi, Azure İzleyici'nin desteklendiği tüm Genel bulut bölgelerinde kullanılabilir.

Mevcut sınırlamalar

  • Depolama hesapları/olay hub'ları içeren Log Analytics dışarı aktarma senaryoları için hem Log Analytics çalışma alanı hem de depolama hesabı/olay hub'ı aynı çevrenin parçası olmalıdır.
  • Yalnızca ağ güvenlik çevrelerini destekleyen Azure kaynakları, ağ güvenlik çevresindeki bir hedefle tanılama ayarı kullanabilir. İzlenen kaynağın hedefle aynı ağ güvenlik çevresinde de olması gerekir.
  • Küresel eylem grubu kaynakları ağ güvenlik çevrelerini desteklemiyor. Ağ güvenlik çevrelerini destekleyecek bölgesel eylem grupları kaynakları oluşturmanız gerekir.
  • Bir ağ güvenlik çevresiyle ilişkili Log Analytics çalışma alanları için kaynaklar arası sorgular engellenir. Bu, adx kümesi aracılığıyla çalışma alanına erişmeyi içerir.
  • Ağ güvenliği çevre erişim günlükleri her 30 dakikada bir örneklenir.
  • Log Analytics çalışma alanı çoğaltması desteklenmez.
  • Azure Event Hubs'dan olay alımı desteklenmez.
  • Azure İzleyici çalışma alanlarıyla verilerin toplanması ve sorgulanması desteklenmez.

Uyarı

Bu sınırlamalar Sentinel özellikli Log Analytics çalışma alanları için de geçerlidir.

Desteklenen bileşenler

Ağ güvenlik çevreleriyle desteklenen Azure İzleyici bileşenleri aşağıdaki tabloda en düşük API sürümüyle listelenmiştir. Ağ güvenlik çevreleriyle desteklenen diğer Azure hizmetlerinin listesini görmek için Dahil edilmiş özel bağlantı kaynakları bölümüne bakın.

Kaynak Kaynak türü API sürümü
Veri toplama uç noktası (DCE) Microsoft.Insights/dataCollectionEndpoints 2023-03-11
Log Analytics çalışma alanı Microsoft.OperationalInsights/workspaces 2023-09-01
Günlük sorgusu uyarıları Microsoft.Insights/ScheduledQueryRules 2022-08-01-önizleme
Eylem grupları 12 Microsoft.Insights/eylemGrupları 2023-05-01
Tanılama ayarları Microsoft.Insights/diagnostikAyarlar 2021-05-01-önizleme

1 Ağ güvenlik çevreleri yalnızca bölgesel eylem gruplarıyla çalışır. Genel eylem grupları varsayılan olarak genel ağ erişimidir.

2 Olay Hub'ı şu anda ağ güvenlik çevreleri için desteklenen tek eylem türüdür. Diğer tüm eylemler varsayılan olarak genel ağ erişimidir.

Desteklenmeyen bileşenler

Azure İzleyici'nin aşağıdaki bileşenleri bir ağ güvenlik çevresi ile desteklenmez :

Uyarı

Application Insights için, Application Insights kaynağı için kullanılan Log Analytics çalışma alanı için ağ güvenlik çevresini yapılandırın.

Ağ güvenlik çevresi oluşturma

Azure portalı, AzureCLI veya PowerShell kullanarak bir ağ güvenlik çevresi oluşturun.

Ağ güvenlik çevresine Log Analytics çalışma alanı ekleme

  1. Azure portalındaki Ağ Güvenliği Çevresi menüsünden ağ güvenlik çevrenizi seçin.

  2. Kaynaklar'ı ve ardından Ekle -> seçin.

    Azure portalında bir kaynağı ağ güvenlik çevre profiliyle ilişkilendirme işleminin ekran görüntüsü.

  3. Log Analytics çalışma alanı kaynağıyla ilişkilendirmek istediğiniz profili seçin.

  4. İlişkili'yi seçin ve ardından Log Analytics çalışma alanını seçin.

  5. Ağ güvenlik çevresiyle ilişkilendirmeyi oluşturmak için ekranın sol alt bölümünde İlişkile'yi seçin.

    Azure portalında bir çalışma alanını ağ güvenlik çevre profiliyle ilişkilendirme işleminin ekran görüntüsü.

Önemli

Log Analytics çalışma alanını kaynak grupları veya abonelikler arasında aktarırken, güvenlik ilkelerini korumak için bu çalışma alanını ağ güvenlik çevresine bağlayın. Çalışma alanı silinirse, ağ güvenlik çevresinden ilişkilerini de kaldırdığınızdan emin olun.

Log Analytics çalışma alanı için erişim kuralları

Ağ güvenlik çevre profili, çevre üzerinden erişime izin veren veya erişimi reddeden kuralları belirtir. Çevre içinde, tüm kaynaklar ağ düzeyinde karşılıklı erişime sahiptir, ancak yine de kimlik doğrulaması ve yetkilendirmeye tabidir. Ağ güvenlik çevresi dışındaki kaynaklar için, gelen ve giden erişim kurallarını belirtmeniz gerekir. Gelen kurallar, hangi bağlantılara izin verileceğini, giden kurallar ise hangi isteklere izin verileceğini belirtir.

Uyarı

Ağ güvenlik çevresiyle ilişkili tüm hizmetler, yönetilen kimlikler ve rol atamaları kullanılarak erişim kimliği doğrulandığında aynı ağ güvenlik çevresiyle ilişkili diğer tüm hizmetlere örtük olarak gelen ve giden erişime izin verir. Erişim kuralları yalnızca ağ güvenlik çevresi dışında erişime izin verildiğinde veya API anahtarları kullanılarak kimliği doğrulanmış erişim için oluşturulmalıdır.

Ağ güvenlik çevresi için gelen erişim kuralı ekle

Ağ güvenlik çevresi gelen erişim kuralları, internetin ve çevre dışındaki kaynakların, çevre içindeki kaynaklarla bağlanabilmesini sağlar.

Ağ güvenlik çevreleri iki tür gelen erişim kurallarını destekler:

  • IP Adresi Aralıkları. IP adresleri veya aralıkları Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) biçiminde olmalıdır. CIDR gösterimi örneği 8.8.8.0/24'tür ve bu da 8.8.8.0 ile 8.8.8.255 arasında değişen IP'leri temsil eder. Bu tür bir kural, aralıktaki herhangi bir IP adresinden gelenlere izin verir.
  • Abonelikler. Bu kural türü, abonelikten herhangi bir yönetilen kimlik kullanılarak kimliği doğrulanmış bir şekilde gelen erişime izin verir.

Azure portalını kullanarak gelen ağ güvenlik çevresi erişim kuralı eklemek için aşağıdaki işlemi kullanın:

  1. Azure portalında ağ güvenlik çevre kaynağınıza gidin.

  2. Profiller'i ve ardından ağ güvenlik çevrenizle birlikte kullandığınız profili seçin.

    Azure portalında ağ güvenlik çevresi profillerinin ekran görüntüsü.

  3. Gelen erişim kuralları'ni seçin.

    Azure portalında ağ güvenlik çevre profili gelen erişim kurallarının ekran görüntüsü.

  4. Ekle veya Gelen erişim kuralı ekle seçeneğine tıklayın. Aşağıdaki değerleri yazın veya seçin:

    Ayarlar Değer
    Kural Adı Gelen erişim kuralının adı. Örneğin MyInboundAccessRule.
    Kaynak Türü Geçerli değerler IP adresi aralıkları veya aboneliklerdir.
    İzin Verilen Kaynaklar IP adresi aralıklarını seçtiyseniz, gelen erişime izin vermek istediğiniz IP adresi aralığını CIDR biçiminde girin. Azure IP aralıkları Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut'ta kullanılabilir. Abonelikler'i seçtiyseniz, gelen erişime izin vermek istediğiniz aboneliği kullanın.

  5. Gelen erişim kuralını oluşturmak için Ekle'ye tıklayın.

    Azure portalında ağ güvenlik çevre profili yeni gelen erişim kuralının ekran görüntüsü.

Ağ güvenliği çevresi için bir giden erişim kuralı ekleyin

Log Analytics çalışma alanında veri dışarı aktarma, çalışma alanınızdaki belirli tablolar için verileri sürekli dışarı aktarmanıza olanak tanır. Veriler bir Azure İzleyici işlem hattına ulaştığında Azure Depolama'ya veya Azure Event Hubs'a aktarabilirsiniz.

Bir güvenlik çevresi içindeki Log analytics çalışma alanı yalnızca aynı çevredeki depolama hesaplarına ve olay hub'larına dışarı aktarabilir. Diğer hedefler, hedefin Tam Etki Alanı Adı'nı (FQDN) temel alan bir giden erişim kuralı gerektirir.

Azure portalını kullanarak bir ağ güvenliği sınırları üzerinden giden erişim kuralı eklemek için aşağıdaki adımları izleyin:

  1. Azure portalında ağ güvenlik çevre kaynağınıza gidin.

  2. Profiller'i ve ardından ağ güvenlik çevrenizle birlikte kullandığınız profili seçin.

    Azure portalında ağ güvenlik çevresi profillerinin ekran görüntüsü.

  3. Giden erişim kuralları'ni seçin.

  4. Ekle veya Giden erişim kuralı ekle üzerine tıklayın. Aşağıdaki değerleri yazın veya seçin:

    Ayarlar Değer
    Kural Adı Giden erişim kuralının adı. Örneğin MyOutboundAccessRule.
    Hedef Türü FQDN olarak bırakın.
    İzin Verilen Hedefler Giden erişime izin vermek istediğiniz FQDN'lerin virgülle ayrılmış listesini girin.

  5. Giden erişim kuralını oluşturmak için Ekle'yi seçin.

    Azure portalında ağ güvenlik çevre profili yeni giden erişim kuralının ekran görüntüsü.

Erişim günlüklerini toplama

Kaynak günlükleri, ağ güvenlik çevrelerinin işleyişi hakkında içgörüler sağlar ve sorunları tanılamaya yardımcı olur. Ağ güvenlik çevresi için kaynak günlüklerini toplamak üzere tanılama ayarı oluşturma hakkında ayrıntılı bilgi için bkz. Ağ Güvenlik Çevresi için kaynak günlükleri.

Sonraki Adımlar

  • Last updated on