Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Bastion, doğrudan Azure portalında TLS üzerinden sanal makinelere güvenli ve sorunsuz RDP ve SSH bağlantısı sağlayan, tam olarak yönetilen bir hizmet olarak platformdur (PaaS). Bastion, sanal ağlarınız ve VM'leriniz için kritik bir ağ geçidi görevi üstlendiğinden, altyapınızı yetkisiz erişime ve ağ tehditlerine karşı korumak için dağıtımınızın güvenliğini sağlamak önemlidir.
Bu makalede, Azure Bastion dağıtımınızın güvenliğini en iyi şekilde sağlamaya yönelik yönergeler sağlanır.
Uyarı
RDP bağlantıları için Entra Id kimlik doğrulaması artık önizleme aşamasında! Ayrıntılar için bkz. Microsoft Entra ID.
Ağ güvenliği
Azure Bastion, kullanıcıların ve hizmetlerin nasıl bağlandığını denetlerken yetkisiz erişimi veya genel İnternet'e erişimi önleyerek VM'lerinize güvenli uzaktan erişim sağlayan bir ağ güvenlik hizmetidir. Uygun ağ denetimleri, DNS saldırılarının önlenmesine ve hizmet bütünlüğünün korunmasına yardımcı olur.
Bastion'ı ayrılmış bir sanal ağda dağıtma: İş risklerine uygun kurumsal segmentasyon ilkelerine uygun mevcut bir sanal ağ oluşturun veya kullanın. Yüksek riskli sistemleri kendi sanal ağlarında yalıtma ve ağ güvenlik gruplarıyla bunların güvenliğini sağlama. Daha fazla bilgi için bkz. Güvenlik kurallarıyla bir ağ güvenlik grubu oluşturma.
Gerekli bağlantı noktası erişimini doğru yapılandırın: Genel İnternet'ten gelen trafik için Bastion genel IP'sinde 443 numaralı gelen bağlantı noktasını etkinleştirin. Bunlar gerekli olmadığından AzureBastionSubnet'te 3389 veya 22 bağlantı noktalarını açmayın. Bu, saldırı yüzeyinizi önemli ölçüde azaltır.
Veri düzlemi iletişimini yapılandırma: VirtualNetwork hizmet etiketinden VirtualNetwork hizmet etiketine gelen ve giden 8080 ve 5701 bağlantı noktalarını etkinleştirin. Bu, Azure Bastion iç bileşenlerinin birbirleriyle güvenli bir şekilde iletişim kurmasını sağlar.
VM bağlantısı için çıkış trafiğini yapılandırma: Bastion'ı dağıtırken, NSG'lerin 3389 ve 22 bağlantı noktalarındaki VM alt ağlarını hedeflemek için AzureBastionSubnet'ten giden trafiğe izin ettiğinden emin olun. Standart SKU veya üzeri ile özel bağlantı noktası işlevselliği için, NSG'leri VirtualNetwork hizmet etiketine giden trafiğe izin verecek şekilde yapılandırın.
Azure hizmet bağlantısını etkinleştir: AzureBastionSubnet'ten AzureCloud hizmet etiketine giden 443 numaralı bağlantı noktasındaki çıkış trafiğine ve GatewayManager hizmet etiketinden 443 numaralı bağlantı noktası üzerinden AzureBastionSubnet'e gelen giriş trafiğine izin verin. Bu bağlantılar yönetilen hizmetin düzgün çalışması için gereklidir ve Bastion'ın sistem durumu izleme, tanılama ve yönetim işlemleri için Azure denetim düzlemi hizmetleriyle iletişim kurmasını sağlar.
Sertifika doğrulama bağlantısını yapılandırma: Oturum doğrulaması, Bastion Paylaşılabilir Bağlantılar ve sertifika doğrulaması için İnternet'e giden 80 numaralı bağlantı noktasını etkinleştirin. İnternet bağlantısı kısıtlanmış ortamlar için ağ ekibinizle birlikte çalışarak güvenlik duruşunuzu korurken bu belirli uç noktalara izin verin.
Merkezi dağıtım için sanal ağ eşlemesini kullanma: Dağıtımınızı merkezileştirmek ve ağlar arası bağlantıyı etkinleştirmek için Bastion'ı eşlenmiş bir ağa dağıtın. Daha fazla bilgi için bkz. Azure Bastion ve sanal ağ eşleme.
Kapsamlı ağ güvenlik grupları uygulama: Trafik akışını denetlemek için hem AzureBastionSubnet hem de hedef VM alt ağlarında NSG'leri kullanın. Gerekli tüm kuralların geçerli olduğundan emin olun, aksi halde gerekli güncelleştirmelerin atlanması gerekli güncelleştirmeleri engelleyebilir ve güvenlik açıkları oluşturabilir. Daha fazla bilgi için NSG erişimiyle çalışma ve Azure Bastion başlığına bakın.
Gelişmiş güvenlik için yalnızca özel dağıtımı göz önünde bulundurun: ExpressRoute içeren ortamlarda en yüksek güvenlik için, sanal ağ dışından giden erişimi ortadan kaldırmak için Bastion'ı yalnızca özel olarak dağıtın. Bunun için Premium SKU ve statik IP ataması gerekir. Daha fazla bilgi için bkz Bastion'ı yalnızca özel olarak dağıtma.
Uygun alt ağ boyutlandırmasını kullanın: Konak ölçeklendirmesini desteklemek ve gelecekteki büyüme için yeterli IP adresi alanı sağlamak için Bastion'ı /26 veya daha büyük bir alt ağa sahip bir AzureBastionSubnet'e dağıtın. Daha fazla bilgi için bkz. Bastion yapılandırma ayarları hakkında.
Ayrıcalıklı erişim
Azure Bastion için ayrıcalıklı erişim yönetimi, en az ayrıcalık ilkesini izleyerek yalnızca yetkili kullanıcıların Bastion kaynaklarını değiştirebilmesini ve VM'lere bağlanabilmesini sağlar. Uygun erişim denetimleri, altyapınızı tehlikeye atabilecek yetkisiz değişiklikleri önler ve erişimin düzenli olarak gözden geçirilmesini ve izlenmesini sağlamaya yardımcı olur.
Microsoft Entra ID ile Azure Bastion kaynak yönetimini Kontrol Et: Azure portalında Azure Bastion kaynaklarını kimin oluşturabileceğini, değiştirebileceğini veya silebileceğini kontrol etmek için Microsoft Entra ID kimlik doğrulamasını ve Azure RBAC (Rol Tabanlı Erişim Kontrolü) kullanın. Bu, Bastion hizmetinin kendisi üzerinde merkezi kimlik yönetimi ve yönetim denetimi sağlar.
SSH anahtarlarını Azure Key Vault içinde depolayın: SSH anahtarlarını Key Vault gizli diziler olarak depolayın ve Bunları Kullanarak Bastion aracılığıyla VM'lere bağlanın. Tek tek kullanıcılara veya Microsoft Entra ID gruplarına Key Vault erişim ilkeleri atayarak erişimi denetleyin.
Uygun Key Vault izinlerini yapılandırın: VM bağlantıları için depolanan SSH anahtarlarını kullanırken kullanıcılara gizli dizileri Key Vault için "Get" ve "List" izinleri verin. Bu, güvenli, merkezi kimlik bilgileri yönetimi sağlar.
Microsoft Entra ID PIM ile en az ayrıcalık erişimini uygulayın: Bastion aracılığıyla VM'lere anında ve belirli süreli erişim sağlamak için Privileged Identity Management (PIM) kullanın. Hedef VM'de Okuyucu rolüne sahip kullanıcıları, VM'nin özel IP'li ağ kartını (NIC), Bastion kaynağını ve hedef VM'nin sanal ağını (Bastion eşlenmiş bir ağdaysa) yapılandırın. PIM, kullanıcıların yalnızca gerektiğinde yükseltilmiş erişime sahip olmasını sağlar ve eski veya aşırı izinleri tanımlamaya yardımcı olur. Daha fazla bilgi için bkz. Azure Bastion kullanarak Linux sanal makinesine bağlanma.
Etki alanına katılmış VM'ler için Kerberos kimlik doğrulamasını etkinleştirme: Etki alanına katılmış Windows VM'lere bağlanırken gelişmiş güvenlik için Kerberos kimlik doğrulamasını yapılandırın. NSG'lerin gerekli bağlantı noktalarında (53, 88, 389, 464, 636) trafiğe izin verin ve özel DNS ayarlarını yapılandırın. Daha fazla bilgi için bkz. Azure portalını kullanarak Kerberos kimlik doğrulaması için Bastion'ı yapılandırma.
K kullanıcı erişimini düzenli olarak görüntüle: Grup üyeliklerini, kurumsal uygulama erişimini ve rol atamalarını düzenli olarak gözden geçirmek için Microsoft Entra ID erişim gözden geçirmelerini kullanın. Bu, eski veya uygunsuz erişimi tanımlamaya ve kaldırmaya yardımcı olur.
Ayrıcalıklı erişim iş istasyonlarını kullanma: Üretim ortamlarında Bastion yönetim görevlerini gerçekleştiren yöneticiler için güvenli, yalıtılmış iş istasyonları dağıtın. Güçlü kimlik doğrulaması ve kısıtlı erişim uygulamak için Microsoft Entra ID, Microsoft Defender for Endpoint veya Intune kullanın.
Paylaşılabilir bağlantı erişimini denetleme: Paylaşılabilir Bağlantı özelliğini kullanıyorsanız, kullanıcıların yalnızca gerekli en düşük izinlere sahip olduğundan emin olun. Varsayılan olarak, kullanıcıların bağlantıları görüntüleyebilmesi ve kullanabilmesi ancak oluşturamaması veya silmesi için paylaşılan bağlantılara yalnızca "Okuma" erişimi verin. Daha fazla bilgi için bkz. Bastion için paylaşılabilir bağlantı oluşturma.
Veri koruma
Azure Bastion için veri koruması, veri bütünlüğünü korumaya ve oturum verilerine ve yapılandırma bilgilerine yetkisiz erişimi önlemeye odaklanır.
- Verage yerleşik TLS şifreleme: Azure Bastion otomatik olarak TLS kullanarak kullanıcılar ve sanal makineler arasında aktarımda olan verileri şifreler. Bu şifreleme Microsoft tarafından yönetilir ve ek yapılandırma gerektirmez. Daha fazla bilgi için bkz. Azure Bastion temel avantajları.
Oturum yönetimi ve izleme
Oturum yönetimi özellikleri, sanal makinelerinize yönelik etkin bağlantılar üzerinde görünürlük ve denetim sahibi olmanıza yardımcı olarak uyumluluk ve operasyonel güvenlik sağlar.
Monitor etkin oturumları: Bağlantı süreleri, süre ve kaynak IP adresleri dahil olmak üzere hangi kullanıcıların hangi VM'lere bağlı olduğunu görüntülemek için Azure portalındaki Oturumlar sayfasını kullanın. Bu, Bastion kullanımına gerçek zamanlı görünürlük sağlar. Daha fazla bilgi için bkz. Azure Bastion için Oturum izleme ve yönetimi.
Oturum bağlantısı kesme özelliklerini uygulama: Güvenlik veya yönetim amacıyla gerektiğinde, kullanıcıların devam eden oturumlarının bağlantısını zorla kesmek için oturum yönetimi arabirimini kullanın. Bu, kaynaklarınıza erişim üzerinde denetimin korunmasına yardımcı olur.
Uyumluluk için oturum kaydını etkinleştirme: Denetim ve uyumluluk amacıyla tüm RDP ve SSH oturumlarını yakalamak için Premium SKU ile oturum kaydını yapılandırın. Kayıtları uygun saklama ilkeleriyle Azure Storage depolayın. Daha fazla bilgi için bkz. Bastion oturum kaydını yapılandırma.
Uygun oturum kayıt ilkelerini ayarlama: Oturum kaydı depolama hesaplarının sabit depolama ilkeleri veya blob sürümü oluşturma özelliğinin etkinleştirilmediğinden emin olun çünkü bunlar kayıt işlevselliğini etkileyebilir. Oturum kayıt kapsayıcıları için Tek Yazımlık-Çok Okumalı (WORM) ilkeleri olmadan depolama hesaplarını yapılandırın.
Kayıt tutma ve tehdit algılama
Kapsamlı günlük kaydı ve tehdit algılama, Bastion kullanımını izlemenize, şüpheli etkinlikleri algılamanıza ve güvenlik olaylarını etkili bir şekilde yanıtlamanıza yardımcı olur. Günlüğe kaydetme ve izleme etkili tehdit algılamaya olanak tanır ve uyumluluk gereksinimlerini karşılamaya yardımcı olur.
Azure Bastion kaynak günlüklerini etkinleştirin: Hangi kullanıcıların hangi iş yüklerine, ne zaman ve nereden bağlandığı izlemek için BastionAuditLogs gibi tanılama günlüklerini açın. Bu günlükleri uzun süreli saklama ve denetim için depolama hesaplarına gönderilecek şekilde yapılandırın. Daha fazla bilgi için bkz. Azure Bastion günlükleriyle çalışmayı etkinleştirme ve.
Microsoft Entra ID oturum açma ve denetim günlüklerini izleyin: Microsoft Entra ID günlüklerini Azure Monitor, Microsoft Sentinel veya diğer SIEM araçlarıyla tümleştirerek oturum açma işlemlerini, denetleme değişikliklerini, riskli oturum açma işlemlerini ve riskli olarak işaretlenmiş kullanıcıları izleyin.
NSG akış günlüklerini etkinleştirme: Bastion kaynaklarıyla sanal ağlara uygulanan ağ güvenlik gruplarında NSG kaynak günlüklerini ve akış günlüklerini toplayın. Bunları güvenlik analizi, olay incelemeleri ve tehdit avcılığı için kullanın. Daha fazla bilgi için bkz. Ağ güvenlik grubu akış günlüklerini etkinleştirme.
Traffic Analytics kullanın: NSG akış günlüklerini Azure Monitor Log Analytics çalışma alanına gönderin ve ağ içgörüleri elde etmek ve olası güvenlik sorunlarını belirlemek için Trafik Analizi'ni kullanın.
Monitor Azure Etkinlik Günlükleri: Etkinlik günlükleri, Bastion kaynakları için tüm yazma işlemlerini otomatik olarak yakalar. Kaynak değişikliklerini gidermek ve izlemek için bu günlükleri kullanın.
Merkezi günlük yönetimi: Güvenlik verilerini birleştirmek için günlükleri Azure Monitor aracılığıyla alın. Sorgulama ve analiz için Log Analytics çalışma alanlarını, uzun süreli saklama için Azure Storage hesaplarını kullanın.
Uygun günlük saklamayı ayarlayın: kuruluşunuzun uyumluluk gereksinimlerine göre Log Analytics çalışma alanlarında ve depolama hesaplarında günlük saklama sürelerini yapılandırın.
Microsoft Defender for Cloud: Aşırı başarısız kimlik doğrulama girişimleri ve kullanım dışı hesaplar gibi şüpheli etkinlikleri izlemek için Bulut için Defender'ı kullanın. Tehdit Koruması modülü ayrıntılı güvenlik uyarıları sağlar.
Varlık yönetimi
Azure Bastion için varlık yönetimi, idare denetimlerini uygulamayı, yapılandırmaları izlemeyi ve kurumsal güvenlik ilkeleriyle uyumluluğu sağlamayı içerir. Uygun varlık yönetimi, güvenlik duruşu ve operasyonel görünürlüğün korunmasına yardımcı olur.
Güvenlik ekiplerine uygun görünürlük sağlayın: Güvenlik ekiplerinin Microsoft Defender for Cloud kullanarak güvenlik risklerini izlemek üzere uygun kapsamlarda (kiracı, yönetim grubu veya abonelik) Güvenlik Okuyucusu izinlerine sahip olmalarını sağlayın.
Tutarlı kaynak etiketlemesi uygulama: Mantıksal kuruluş için Bastion kaynaklarında, kaynak gruplarında ve aboneliklerde etiketleri kullanın. Uygun varlık kategorisini ve yönetimini etkinleştirmek için "Ortam" ve "Üretim" gibi etiketler uygulayın.
Varlık envanteri yönetimini etkinleştir: Bastion dağıtımları dahil olmak üzere tüm kaynakları sorgulamak ve bulmak için Azure Resource Graph kullanarak güvenlik ekiplerine sürekli güncelleştirilen varlık envanterlerine erişim verin.
İdare için Azure Policy kullanın: Bastion kaynak dağıtımlarına izin verme veya reddetme dahil olmak üzere hizmet sağlamayı denetlemek ve kısıtlamak için Azure Policy uygulayın. "Microsoft.Network" ad alanı takma adlarını kullanarak özel ilkeler oluşturun.
Güzel yapılandırma temellerini oluşturun: Tutarlı ve güvenli dağıtımlar sağlamak için Azure Policy, Azure Blueprints veya ARM şablonlarını kullanarak Bastion için standart güvenlik yapılandırmalarını tanımlayın. Daha fazla bilgi için bkz. Azure Policy yapılandırma ve yönetme.
Uyumluluğu sürekli izleyin: Bastion kaynaklarınızın ağ yapılandırmalarını sürekli denetlemek ve uygulamak için Azure Policy'i kullanarak onların kurumsal güvenlik standartlarına uyumlu kalmalarını sağlayın.
Güvenlik gereksinimleri için uygun SKU'yu seçin: Gerekli güvenlik özelliklerine göre SKU'yu seçin. Oturum kaydı ve yalnızca özel dağıtımlar için Premium SKU, paylaşılabilir bağlantılar ve konak ölçeklendirme için Standart SKU veya standart dağıtımlar için Temel SKU kullanın. Daha fazla bilgi için bkz. Bastion yapılandırma ayarları hakkında.