Gelen ve giden İnternet bağlantısını planlama
Bu makalede, Azure ile genel İnternet arasında gelen ve giden bağlantıyla ilgili önemli noktalar ve öneriler listeleniyor.
Tasarımla ilgili dikkat edilecek noktalar
Azure Güvenlik Duvarı, Azure Uygulaması lication Gateway üzerinde Azure Web Uygulaması Güvenlik Duvarı (WAF) ve Azure Front Door gibi Azure yerel ağ güvenlik hizmetleri tam olarak yönetilir. Büyük ölçekte altyapı dağıtımlarının operasyonel ve yönetim maliyetlerine ve karmaşıklıklarına neden olmazsınız.
Kuruluşunuz Azure dışı ağ sanal gereci (NVA) kullanmayı tercih ederse veya yerel hizmetlerin belirli gereksinimleri karşılamadığı durumlarda Azure giriş bölgesi mimarisi iş ortağı NVA'larıyla tam olarak uyumludur.
Azure, sanal makineler (VM'ler) veya bir sanal ağdaki işlem örnekleri için ağ adresi çevirisi (NAT) ağ geçitleri veya yük dengeleyiciler gibi çeşitli doğrudan İnternet giden bağlantı yöntemleri sağlar. Azure NAT Gateway , işletimsel olarak en kolay ayarlandığı için giden bağlantıyı etkinleştirmek için varsayılan olarak önerilir ve Azure'da kullanılabilen tüm giden bağlantı yöntemleri arasında en ölçeklenebilir ve verimli seçenektir. Daha fazla bilgi için bkz . Azure giden bağlantı yöntemleri.
Tasarım önerileri
İnternet'e doğrudan giden bağlantı için Azure NAT Gateway'i kullanın. NAT ağ geçidi, ölçeklenebilir ve isteğe bağlı SNAT sağlayan, tam olarak yönetilen, yüksek oranda dayanıklı bir NAT hizmetidir.
Aşağıdakiler için NAT ağ geçidi kullanın:
- İnternet'e trafik gönderen dinamik veya büyük iş yükleri.
- Giden bağlantı için statik ve öngörülebilir genel IP adresleri. NAT ağ geçidi en fazla 16 genel IP adresi veya /28 genel IP ön eki ile ilişkilendirilebilir.
- Yük dengeleyici giden kuralları, Azure Güvenlik Duvarı veya Azure Uygulaması Hizmetleri ile yaygın olarak karşılaşılan SNAT bağlantı noktası tükenmesi sorunlarının azaltılması.
- Ağınızdaki kaynakların güvenliği ve gizliliği. YALNıZCA giden ve dönüş trafiği NAT ağ geçidinden geçebilir.
yönetmek için Azure Güvenlik Duvarı kullanın:
- İnternet'e giden Azure trafiği.
- HTTP/S olmayan gelen bağlantılar.
- Kuruluşunuz için gerekliyse Doğu-Batı trafik filtrelemesi.
Aşağıdakiler gibi gelişmiş güvenlik duvarı özellikleri için Azure Güvenlik Duvarı Premium kullanın:
- Aktarım Katmanı Güvenliği (TLS) denetimi.
- Ağ yetkisiz erişim algılama ve önleme sistemi (IDPS).
- URL filtreleme.
- Web kategorileri.
Azure Güvenlik Duvarı Yöneticisi hem Azure Sanal WAN hem de normal sanal ağları destekler. Azure güvenlik duvarlarını Sanal WAN hub'larında veya hub sanal ağlarında dağıtmak ve yönetmek için Sanal WAN ile Güvenlik Duvarı Yöneticisi'ni kullanın.
Azure Güvenlik Duvarı kurallarında tutarlı olarak birden çok IP adresi ve aralık kullanıyorsanız, Azure Güvenlik Duvarı'de IP Grupları ayarlayın. Azure bölgeleri ve abonelikleri genelinde birden çok güvenlik duvarı için DNAT, ağ ve uygulama kuralları Azure Güvenlik Duvarı IP gruplarını kullanabilirsiniz.
Hizmet olarak Azure platformu (PaaS) hizmetlerine giden bağlantıyı yönetmek için özel bir kullanıcı tanımlı yol (UDR) kullanıyorsanız, adres ön eki olarak bir hizmet etiketi belirtin. Hizmet etiketleri, değişiklikleri içerecek şekilde temel IP adreslerini otomatik olarak güncelleştirir ve yol tablosundaKi Azure ön eklerini yönetme yükünü azaltır.
Genel ağ ortamında güvenlik duruşunu idare etmek için genel bir Azure Güvenlik Duvarı ilkesi oluşturun. İlkeyi tüm Azure Güvenlik Duvarı örneklerine atayın.
Artımlı ilkeleri yerel güvenlik ekiplerine devretmek için Azure rol tabanlı erişim denetimini kullanarak ayrıntılı ilkelerin belirli bölge gereksinimlerini karşılamasına izin verin.
İnternet'ten gelen HTTP/S trafiğini korumak için giriş bölgesi sanal ağı içinde WAF kullanın.
Giriş bölgesine gelen HTTP/S bağlantıları için Azure bölgelerinde genel koruma sağlamak için Azure Front Door ve WAF ilkelerini kullanın.
HTTP/S uygulamalarını korumaya yardımcı olmak üzere Azure Front Door ve Azure Uygulaması lication Gateway'i kullanmak için Azure Front Door'da WAF ilkelerini kullanın. Yalnızca Azure Front Door'dan trafik almak için Azure Uygulaması Lication Gateway'i kilitleyin.
Gelen HTTP/S bağlantıları için iş ortağı NVA'larına ihtiyacınız varsa, bunları korudukları ve İnternet'te kullanıma verdikleri uygulamalarla birlikte bir giriş bölgesi sanal ağı içinde dağıtın.
Giden erişim için, herhangi bir senaryo için Azure'ın varsayılan İnternet giden erişimini kullanmayın. Varsayılan giden erişimle ilgili sorunlar şunlardır:
- SNAT bağlantı noktası tükenme riskinin artması.
- Varsayılan olarak güvenli değildir.
- Varsayılan erişim IP'lerine bağımlı olamaz. Bunlar müşteriye ait değildir ve değiştirilebilir.
Çevrimiçi giriş bölgeleri veya merkez sanal ağına bağlı olmayan giriş bölgeleri için NAT ağ geçidi kullanın. Giden İnternet erişimine ihtiyaç duyan ve standart veya premium Azure Güvenlik Duvarı ya da üçüncü taraf NVA güvenliği gerektirmeyen işlem kaynakları çevrimiçi giriş bölgelerini kullanabilir.
Kuruluşunuz giden bağlantıların korunmasına yardımcı olmak için hizmet olarak yazılım (SaaS) güvenlik sağlayıcılarını kullanmak istiyorsa, Güvenlik Duvarı Yöneticisi'nde desteklenen iş ortaklarını yapılandırın.
Doğu-batı veya kuzey-güney trafik koruması ve filtreleme için iş ortağı NVA'ları kullanıyorsanız:
- Sanal WAN ağ topolojileri için NVA'ları ayrı bir NVA sanal ağına dağıtın. Sanal ağı bölgesel Sanal WAN hub'ına ve NVA'lara erişmesi gereken giriş bölgelerine Bağlan. Daha fazla bilgi için bkz . Senaryo: Trafiği NVA üzerinden yönlendirme.
- Sanal WAN olmayan ağ topolojileri için iş ortağı NVA'larını merkezi merkez sanal ağına dağıtın.
VM yönetim bağlantı noktalarını İnternet'te kullanıma sunma. Yönetim görevleri için:
Sanal ağlarınızda barındırdığınız genel uç noktaları korumaya yardımcı olmak için Azure DDoS Koruması koruma planlarını kullanın.
Şirket içi çevre ağı kavramlarını ve mimarilerini Azure'a çoğaltmayı denemeyin. Azure benzer güvenlik özelliklerine sahip olsa da uygulama ve mimari buluta uyarlanır.