Aracılığıyla paylaş


Giriş bölgesi ağ segmentasyonu için planlama

Bu bölümde, bir ağ Sıfır Güven uygulamasını yönlendirmek için giriş bölgesi içinde yüksek oranda güvenli iç ağ segmentasyonu sağlamak için önemli öneriler incelanmaktadır.

Tasarımla ilgili dikkat edilecek noktalar

Tasarım önerileri

  • Giriş bölgesi sahibine alt ağ oluşturma yetkisi verin. Bu, iş yüklerinin alt ağlar arasında (örneğin, tek bir büyük alt ağ, çok katmanlı uygulama veya ağa eklenmiş uygulama) nasıl segmentlere bölüneceğini tanımlamalarını sağlar. Platform ekibi, belirli kurallara (İnternet'ten gelen SSH veya RDP'yi reddetme veya giriş bölgeleri arasında trafiğe izin verme/engelleme gibi) sahip bir NSG'nin her zaman yalnızca reddetme ilkelerine sahip alt ağlarla ilişkilendirildiğinden emin olmak için Azure İlkesi kullanabilir.

  • NSG'leri kullanarak alt ağlardaki trafiğin yanı sıra platform genelindeki (giriş bölgeleri arasındaki trafik) doğu/batı trafiğinin korunmasına yardımcı olun.

  • Uygulama ekibi, giriş bölgesi içindeki çok katmanlı VM'lerin korunmasına yardımcı olmak için alt ağ düzeyindeki NSG'lerde uygulama güvenlik gruplarını kullanmalıdır.

    Uygulama güvenlik grubunun nasıl çalıştığını gösteren diyagram.

  • Giriş bölgesi içindeki trafiği mikro segmentlere ayırmak için NSG'leri ve uygulama güvenlik gruplarını kullanın ve trafik akışlarını filtrelemek için merkezi bir NVA kullanmaktan kaçının.

  • Giriş ve çıkış trafik akışları hakkında içgörüler elde etmek için sanal ağ akış günlüklerini etkinleştirin ve trafik analizini kullanın. Windows Server Active Directory etki alanı denetleyicileri veya kritik veri depoları içeren sanal ağlar ve alt ağlar gibi aboneliklerinizdeki tüm kritik sanal ağlarda ve alt ağlarda akış günlüklerini etkinleştirin. Ayrıca olası güvenlik olaylarını algılamak ve araştırmak, uyumluluk ve izleme ve kullanımı iyileştirmek için akış günlüklerini kullanabilirsiniz.

  • Giriş bölgeleri arasında seçmeli olarak bağlantıya izin vermek için NSG'leri kullanın.

  • Sanal WAN topolojiler için, kuruluşunuz giriş bölgeleri arasında akan trafik için filtreleme ve günlüğe kaydetme özellikleri gerektiriyorsa trafiği Azure Güvenlik Duvarı aracılığıyla giriş bölgeleri arasında yönlendirin.

  • Kuruluşunuz şirket içine zorlamalı tünel uygulamaya (varsayılan yolu tanıtmaya) karar verirse, BGP oturumunun bırakılması durumunda sanal ağlardan doğrudan İnternet'e giden trafiği reddetmek için aşağıdaki giden NSG kurallarını eklemenizi öneririz.

Not

Kural önceliklerinin mevcut NSG kural kümenize göre ayarlanması gerekir.

Öncelik Name Kaynak Hedef Hizmet Eylem Açıklama
100 AllowLocal Any VirtualNetwork Any Allow Normal işlemler sırasında trafiğe izin verin. Zorlamalı tünel etkinleştirildiğinde, 0.0.0.0/0 BGP bunu ExpressRoute veya VPN Gateway'e tanıtıyorsa etiketin bir parçası VirtualNetwork olarak kabul edilir.
110 DenyInternet Any Internet Any Deny Yol tanıtılan yollardan geri çekilirse 0.0.0.0/0 (örneğin, bir kesinti veya yanlış yapılandırma nedeniyle) doğrudan İnternet'e giden trafiği reddedin.

Dikkat

Sanal ağa eklenebilir Azure PaaS hizmetleri, zorlamalı tünelle uyumlu olmayabilir. Denetim düzlemi işlemleri, hizmetin düzgün çalışması için belirli genel IP adreslerine doğrudan bağlantı gerektirebilir. Ağ gereksinimleri için belirli hizmet belgelerini gözden geçirmeniz ve sonunda hizmet alt ağını varsayılan yol yayma işleminin dışında tutması önerilir. UDR'deki Hizmet Etiketleri, yalnızca belirli bir hizmet etiketi varsa varsayılan yolu atlamak ve denetim düzlemi trafiğini yeniden yönlendirmek için kullanılabilir.