Azure Güvenlik Duvarı Yöneticisi nedir?
Azure Güvenlik Duvarı Yöneticisi, bulut tabanlı güvenlik sınırları için merkezi güvenlik ilkesi ve yol yönetimi sağlayan bir güvenlik yönetim hizmetidir.
Güvenlik Duvarı Yöneticisi, iki ağ mimarisi türü için güvenlik yönetimi sağlayabilir:
Güvenli sanal merkez
Microsoft tarafından yönetilen bir kaynak olan Azure Sanal WAN Merkezi, merkez-uç mimarilerini kolayca oluşturmanızı sağlar. Güvenlik ve yönlendirme ilkeleri böyle bir hub ile ilişkilendirildiğinde güvenli sanal hub olarak adlandırılır.
Merkez sanal ağı
Bu, sizin oluşturduğunuz ve yönettiğiniz standart bir Azure sanal ağıdır. Güvenlik ilkeleri böyle bir hub ile ilişkilendirildiğinde, buna merkez sanal ağı denir. Şu anda yalnızca Azure Güvenlik Duvarı İlkesi desteklenir. İş yükü sunucularınızı ve hizmetlerinizi içeren uç sanal ağlarını eşleyebilirsiniz. Ayrıca, herhangi bir uçla eşlenmemiş tek başına sanal ağlarda güvenlik duvarlarını yönetebilirsiniz.
Güvenli sanal hub ve hub sanal ağ mimarilerinin ayrıntılı karşılaştırması için bkz. Azure Güvenlik Duvarı Yöneticisi mimari seçenekleri nelerdir?.
Azure Güvenlik Duvarı Yöneticisi özellikleri
Azure Güvenlik Duvarı Yöneticisi aşağıdaki özellikleri sunar:
Merkezi Azure Güvenlik Duvarı dağıtımı ve yapılandırması
Farklı Azure bölgelerine ve aboneliklerine yayılan birden çok Azure Güvenlik Duvarı örneğini merkezi olarak dağıtabilir ve yapılandırabilirsiniz.
Hiyerarşik ilkeler (genel ve yerel)
birden çok güvenli sanal hub'da Azure Güvenlik Duvarı ilkelerini merkezi olarak yönetmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanabilirsiniz. Merkezi BT ekipleriniz, ekipler arasında kuruluş genelinde güvenlik duvarı ilkesini zorunlu kılmak için genel güvenlik duvarı ilkeleri yazabilir. Yerel olarak yazılan güvenlik duvarı ilkeleri, daha iyi çeviklik için DevOps self servis modeline olanak sağlar.
Gelişmiş güvenlik için hizmet olarak iş ortağı güvenliğiyle tümleşik
Azure Güvenlik Duvarı ek olarak, sanal ağınız ve dal İnternet bağlantılarınız için daha fazla ağ koruması sağlamak üzere iş ortağı hizmet olarak güvenlik (SECaaS) sağlayıcılarını tümleştirebilirsiniz.
Bu özellik yalnızca güvenli sanal hub dağıtımlarında kullanılabilir.
Sanal ağdan İnternete (V2I) trafik filtreleme
- Tercih ettiğiniz iş ortağı güvenlik sağlayıcısıyla giden sanal ağ trafiğini filtreleyin.
- Azure'da çalışan bulut iş yükleriniz için kullanıcı algılayan gelişmiş İnternet koruması kullanın.
Daldan İnternete (B2I) trafik filtreleme
İnternet senaryolarına dal için iş ortağı filtrelemeyi kolayca eklemek için Azure bağlantınızı ve genel dağıtımınızı kullanın.
Güvenlik ortağı sağlayıcıları hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı Manager güvenlik ortağı sağlayıcıları nelerdir?
Merkezi yol yönetimi
Uç sanal ağlarda Kullanıcı Tanımlı Yolları (UDR) el ile ayarlamaya gerek kalmadan trafiği filtrelemek ve günlüğe kaydetmek için güvenli hub'ınıza kolayca yönlendirin.
Bu özellik yalnızca güvenli sanal hub dağıtımlarında kullanılabilir.
Şubeden İnternete (B2I) trafik filtreleme için iş ortağı sağlayıcılarını, Şubeden sanal ağa (B2V) Azure Güvenlik Duvarı, sanal ağdan sanal ağa (V2V) ve sanal ağdan İnternete (V2I) yan yana kullanabilirsiniz.
DDoS koruma planı
sanal ağlarınızı Azure Güvenlik Duvarı Manager'da bir DDoS koruma planıyla ilişkilendirebilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Manager kullanarak Azure DDoS Koruma Planı yapılandırma.
Web Uygulaması Güvenlik Duvarı ilkelerini yönetme
Azure Front Door ve Azure Uygulaması lication Gateway dahil olmak üzere uygulama teslim platformlarınız için Web Uygulaması Güvenlik Duvarı (WAF) ilkelerini merkezi olarak oluşturabilir ve ilişkilendirebilirsiniz. Daha fazla bilgi için bkz. Web Uygulaması Güvenlik Duvarı ilkelerini yönetme.
Bölgesel kullanılabilirlik
Azure Güvenlik Duvarı İlkeleri bölgeler arasında kullanılabilir. Örneğin, Batı ABD'de bir ilke oluşturabilir ve bunu Doğu ABD'de kullanabilirsiniz.
Bilinen sorunlar
Azure Güvenlik Duvarı Yöneticisi'nin bilinen sorunları şunlardır:
| Sorun | Description | Risk azaltma |
|---|---|---|
| Trafik bölme | Microsoft 365 ve Azure Genel PaaS trafiği bölme işlemi şu anda desteklenmemektedir. Bu nedenle, V2I veya B2I için bir iş ortağı sağlayıcısı seçmek, iş ortağı hizmeti aracılığıyla tüm Azure Genel PaaS ve Microsoft 365 trafiğini de gönderir. | Merkezde trafiğin bölünmesi araştırılıyor. |
| Temel ilkeler yerel ilkeyle aynı bölgede olmalıdır | Tüm yerel ilkelerinizi temel ilkeyle aynı bölgede oluşturun. Başka bir bölgeden güvenli bir hub'da bir bölgede oluşturulmuş bir ilkeyi uygulamaya devam edebilirsiniz. | Araştırılıyor |
| Güvenli sanal hub dağıtımlarında merkezler arası trafiği filtreleme | Güvenli Sanal Hub'dan Güvenli Sanal Hub'a iletişim filtreleme, Yönlendirme Amacı özelliğiyle desteklenir. | Sanal WAN Hub'ınızda Yönlendirme Amacı'nı etkinleştirmek için Azure Güvenlik Duvarı Yöneticisi'nde Hub'ı Etkin olarak ayarlayın. Bu özellik hakkında daha fazla bilgi için Yönlendirme Amacı belgelerine bakın. Merkezler arası trafik filtrelemeyi etkinleştiren tek Sanal WAN yönlendirme yapılandırması Yönlendirme amacıdır. |
| Özel trafik filtreleme etkinken trafiği daldan dallara dallanma | Yönlendirme Amacı etkinse, daldan dala trafik güvenli hub senaryolarında Azure Güvenlik Duvarı tarafından denetlenebilir. | Sanal WAN Hub'ınızda Yönlendirme Amacı'nı etkinleştirmek için Azure Güvenlik Duvarı Yöneticisi'nde Hub'ı Etkin olarak ayarlayın. Bu özellik hakkında daha fazla bilgi için Yönlendirme Amacı belgelerine bakın. Dalın özel trafiği dallamasını sağlayan tek Sanal WAN yönlendirme yapılandırması yönlendirme amacıdır. |
| Aynı sanal WAN'ı paylaşan tüm Güvenli Sanal Hub'lar aynı kaynak grubunda olmalıdır. | Bu davranış bugün Sanal WAN Hubs ile uyumlu hale getirir. | Güvenli Sanal Hub'ların farklı kaynak gruplarında oluşturulmasına izin vermek için birden çok Sanal WAN oluşturun. |
| Toplu IP adresi ekleme işlemi başarısız oluyor | Birden çok genel IP adresi eklerseniz güvenli hub güvenlik duvarı başarısız duruma geçer. | Daha küçük genel IP adresi artışları ekleyin. Örneğin, bir kerede 10 ekleyin. |
| DDoS Koruması güvenli sanal hub'larla desteklenmiyor | DDoS Koruması vWAN'larla tümleştirilmiyor. | Araştırılıyor |
| Etkinlik günlükleri tam olarak desteklenmiyor | Güvenlik duvarı ilkesi şu anda Etkinlik günlüklerini desteklemez. | Araştırılıyor |
| Tam olarak desteklenmeyen kuralların açıklaması | Güvenlik duvarı ilkesi, ARM dışarı aktarmada kuralların açıklamasını görüntülemez. | Araştırılıyor |
| Azure Güvenlik Duvarı Yöneticisi, sanal WAN hub'ında kapalı kalma süresine neden olan statik ve özel yolların üzerine yazar. | Özel veya statik yollarla yapılandırılmış dağıtımlarda ayarlarınızı yönetmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanmamalısınız. Güvenlik Duvarı Yöneticisi'nden Güncelleştirmeler statik veya özel yol ayarlarının üzerine yazabilir. | Statik veya özel yollar kullanıyorsanız, güvenlik ayarlarını yönetmek ve Azure Güvenlik Duvarı Yöneticisi aracılığıyla yapılandırmadan kaçınmak için Sanal WAN sayfasını kullanın. Daha fazla bilgi için bkz. Senaryo: Azure Güvenlik Duvarı - özel. |
Sonraki adımlar
- Learn modülü: Azure Güvenlik Duvarı Yöneticisi'ne giriş
- Azure Güvenlik Duvarı Manager dağıtımına genel bakış gözden geçirin
- Güvenli Virtual Hubs hakkında bilgi edinin
- Azure ağ güvenliği hakkında daha fazla bilgi edinin