premium özellikleri Azure Güvenlik Duvarı
Azure Güvenlik Duvarı Premium, ödeme ve sağlık sektörleri gibi son derece hassas ve düzenlenmiş ortamların gereksinimlerini karşılayan gelişmiş tehdit koruması sağlar.
Kuruluşlar, kötü amaçlı yazılımların ve virüslerin hem yanal hem de yatay yönde ağlara yayılmasını önlemek için IDPS ve TLS denetimi gibi Premium stok tutma birimi (SKU) özelliklerini kullanabilir. AZURE GÜVENLIK DUVARı Premium, IDPS ve TLS incelemesinin artan performans taleplerini karşılamak için daha güçlü bir sanal makine SKU'su kullanır. Standart SKU gibi Premium SKU da 100 Gb/sn'ye kadar sorunsuz bir şekilde ölçeklendirilebilir ve yüzde 99,99 hizmet düzeyi sözleşmesini (SLA) desteklemek için kullanılabilirlik alanlarıyla tümleştirebilir. Premium SKU, Ödeme Kartı Sektör Veri Güvenliği Standardı (PCI DSS) ortam gereksinimlerine uyar.
Azure Güvenlik Duvarı Premium aşağıdaki özellikleri içerir:
- TLS incelemesi - giden trafiğin şifresini çözer, verileri işler, ardından verileri şifreler ve hedefe gönderir.
- IDPS - Ağ yetkisiz erişim algılama ve önleme sistemi (IDPS), kötü amaçlı etkinlikler için ağ etkinliklerini izlemenize, bu etkinlikle ilgili bilgileri günlüğe kaydetmenize, raporlamanıza ve isteğe bağlı olarak engellemeye çalışmanıza olanak tanır.
- URL filtreleme - Azure Güvenlik Duvarı FQDN filtreleme özelliğini genişleterek tüm URL'yi ve ek yolları dikkate alır. Örneğin,
www.contoso.com/a/c
yerinewww.contoso.com
. - Web kategorileri - yöneticiler kumar web siteleri, sosyal medya web siteleri ve diğerleri gibi web sitesi kategorilerine kullanıcı erişimine izin verebilir veya erişimi reddedebilir.
Tüm Güvenlik Duvarı SKU'larının Azure Güvenlik Duvarı özelliklerini karşılaştırmak için bkz. gereksinimlerinizi karşılamak için doğru Azure Güvenlik Duvarı SKU'yu seçme.
TLS incelemesi
TLS (Aktarım Katmanı Güvenliği) protokolü öncelikli olarak iki veya daha fazla iletişim aracı arasındaki sertifikaları kullanarak gizlilik, bütünlük ve kimlik doğrulaması için şifreleme sağlar. Uygulama katmanında çalışır ve HTTP protokollerini şifrelemek için yaygın olarak kullanılır.
Şifrelenmiş trafik olası bir güvenlik riskine sahiptir ve geçersiz kullanıcı etkinliğini ve kötü amaçlı trafiği gizleyebilir. TLS denetimi olmadan Azure Güvenlik Duvarı (aşağıdaki diyagramda gösterildiği gibi) şifrelenmiş TLS tüneline akan veriler için görünürlük yoktur, bu nedenle tam koruma kapsamı sağlayamaz.
İkinci diyagramda Azure Güvenlik Duvarı Premium'un HTTPS'deki kötü amaçlı etkinlikleri algılamak, uyarmak ve azaltmak için TLS bağlantılarını nasıl sonlandırıp incelediğini gösterir. Güvenlik duvarı iki ayrılmış TLS bağlantısı oluşturur: biri Web Sunucusu (contoso.com) ve diğeri istemciyle bağlantı. Müşteri tarafından sağlanan CA sertifikasını kullanarak, Web Sunucusu sertifikasının yerini alan ve güvenlik duvarı ile istemci arasında TLS bağlantısı kurmak için istemciyle paylaşan bir anında sertifika oluşturur.
TLS denetimi olmadan Azure Güvenlik Duvarı:
TLS incelemesiyle Azure Güvenlik Duvarı:
Aşağıdaki kullanım örnekleri Azure Güvenlik Duvarı ile desteklenir:
Giden TLS İncelemesi
Azure'da barındırılan bir iç istemciden İnternet'e gönderilen kötü amaçlı trafiğe karşı koruma.
Doğu-Batı TLS İncelemesi (şirket içi ağdan/şirket içi ağa giden trafiği içerir)
Azure iş yüklerinizi Azure içinden gönderilen olası kötü amaçlı trafiğe karşı korumak için.
Aşağıdaki kullanım örneği, Azure Uygulaması lication Gateway üzerinde Azure Web Uygulaması Güvenlik Duvarı tarafından desteklenir:
Gelen TLS İncelemesi
Azure'da barındırılan iç sunucuları veya uygulamaları İnternet'ten veya dış ağdan gelen kötü amaçlı isteklerden korumak için. Application Gateway uçtan uca şifreleme sağlar.
İlgili bilgiler için bkz:
İpucu
TLS 1.0 ve 1.1 kullanım dışı bırakılıyor ve desteklenmeyecektir. TLS/Güvenli Yuva Katmanı'nın (SSL) TLS 1.0 ve 1.1 sürümlerinin güvenlik açığı olduğu tespit edilmiştir ve geriye dönük uyumluluk sağlamak için çalışmaya devam ederken bunlar önerilmez. TlS 1.2'ye en kısa sürede geçiş yapın.
Premium Ara CA sertifika gereksinimleri Azure Güvenlik Duvarı hakkında daha fazla bilgi edinmek için bkz. Premium sertifikaları Azure Güvenlik Duvarı.
TLS denetimi hakkında daha fazla bilgi edinmek için bkz. Azure Güvenlik Duvarı'da TLS denetimi için POC oluşturma.
IDPS
Ağ yetkisiz erişim algılama ve önleme sistemi (IDPS), ağınızı kötü amaçlı etkinlikler için izlemenize, bu etkinlikle ilgili bilgileri günlüğe kaydetmenize, raporlamanıza ve isteğe bağlı olarak engellemeye çalışmanıza olanak tanır.
Azure Güvenlik Duvarı Premium, ağ trafiğindeki bayt dizileri veya kötü amaçlı yazılımlar tarafından kullanılan bilinen kötü amaçlı yönerge dizileri gibi belirli desenleri arayarak saldırıların hızla algılanması için imza tabanlı IDPS sağlar. IDPS imzaları hem uygulama hem de ağ düzeyinde trafik için geçerlidir (Katmanlar 3-7). Bunlar tamamen yönetilir ve sürekli olarak güncelleştirilir. IDPS gelen, uç-uç (Doğu-Batı) ve giden trafiğe uygulanabilir. Uç-uç (Doğu-Batı), şirket içi ağdan/şirket içi ağa giden trafiği içerir. IdPS özel IP adresi aralıklarınızı Özel IP aralıkları özelliğini kullanarak yapılandırabilirsiniz. Daha fazla bilgi için bkz . IDPS Özel IP aralıkları.
Azure Güvenlik Duvarı imzaları/kural kümeleri şunlardır:
- Gerçek kötü amaçlı yazılımların parmak izini alma, Komut ve Denetim, açıklardan yararlanma kitleri ve geleneksel önleme yöntemleri tarafından kaçırılan vahşi kötü amaçlı etkinliklere vurgu.
- 50'den fazla kategoride 67.000'den fazla kural.
- Kategoriler kötü amaçlı yazılım komutu ve denetimi, kimlik avı, truva atları, botnet'ler, bilgilendirme olayları, açıklardan yararlanmalar, güvenlik açıkları, SCADA ağ protokolleri, exploit kit etkinliği ve daha fazlasını içerir.
- Her gün 20'den 40'a kadar yeni kural yayınlanıyor.
- Küresel algılayıcı ağı geri bildirim döngüsü gibi son derece gelişmiş kötü amaçlı yazılım algılama tekniklerini kullanarak düşük hatalı pozitif derecelendirme.
IDPS, şifrelenmemiş trafik için tüm bağlantı noktalarındaki ve protokollerdeki saldırıları algılamanıza olanak tanır. Ancak HTTPS trafiğinin incelenmesi gerektiğinde Azure Güvenlik Duvarı trafiğin şifresini çözmek ve kötü amaçlı etkinlikleri daha iyi algılamak için TLS denetleme özelliğini kullanabilir.
IDPS Atlama Listesi, atlama listesinde belirtilen IP adreslerine, aralıklara ve alt ağlara giden trafiği filtrelememenizi sağlayan bir yapılandırmadır. IdPS Atlama listesi, güvenlik duvarı hala kullanım örneğinizle ilişkili performansa tabi olduğundan aktarım hızı performansını artırmanın bir yolu olarak tasarlanmamıştır. Daha fazla bilgi için bkz. performans Azure Güvenlik Duvarı.
IDPS Özel IP aralıkları
Azure Güvenlik Duvarı Premium IDPS'de trafiğin gelen, giden veya iç (Doğu-Batı) olup olmadığını belirlemek için özel IP adresi aralıkları kullanılır. Her imza, imza kuralları tablosunda belirtildiği gibi belirli bir trafik yönüne uygulanır. Varsayılan olarak, yalnızca IANA RFC 1918 tarafından tanımlanan aralıklar özel IP adresleri olarak kabul edilir. Bu nedenle, özel IP adresi aralığından özel IP adresi aralığına gönderilen trafik dahili olarak kabul edilir. Özel IP adreslerinizi değiştirmek için artık aralıkları gerektiği gibi kolayca düzenleyebilir, kaldırabilir veya ekleyebilirsiniz.
IDPS imza kuralları
IDPS imza kuralları şunları yapmanızı sağlar:
Bir veya daha fazla imzayı özelleştirin ve modlarını Devre Dışı, Uyarı veya Uyarı ve Reddetme olarak değiştirin. En fazla özelleştirilmiş IDPS kuralı sayısı 10.000'i aşmamalıdır.
Örneğin, hatalı bir imza nedeniyle meşru bir isteğin Azure Güvenlik Duvarı tarafından engellendiği hatalı pozitif bir sonuç alırsanız, ağ kuralları günlüklerinden imza kimliğini kullanabilir ve IDPS modunu kapalı olarak ayarlayabilirsiniz. Bu işlem "yanlış" imzanın yoksayılmasına neden olur ve hatalı pozitif sorununu çözer.
Çok fazla düşük öncelikli uyarı oluşturan ve dolayısıyla yüksek öncelikli uyarıların görünürlüğüne müdahale eden imzalar için de aynı hassas ayar yordamını uygulayabilirsiniz.
67.000'den fazla imzanın bütünsel görünümünü alma
Akıllı arama
Bu eylem, herhangi bir öznitelik türüne göre imza veritabanının tamamında arama yapmanıza olanak tanır. Örneğin, arama çubuğuna kimliği yazarak bu CVE ile hangi imzaların ilgilendiğini bulmak için belirli CVE-ID'yi arayabilirsiniz.
IDPS imza kuralları aşağıdaki özelliklere sahiptir:
Sütun | Açıklama |
---|---|
İmza Kimliği | Her imza için iç kimlik. Bu kimlik Azure Güvenlik Duvarı Ağ Kuralları günlüklerinde de sunulur. |
Mod | İmzanın etkin olup olmadığını ve güvenlik duvarının eşleşen trafikte düşüp düşmediğini veya uyarı verip vermediğini gösterir. Aşağıdaki imza modu IDPS modunu geçersiz kılabilir - Devre dışı: İmza güvenlik duvarınızda etkin değil. - Uyarı: Şüpheli trafik algılandığında uyarı alırsınız. - Uyarı ve Reddetme: Uyarılar alırsınız ve şüpheli trafik engellenir. Birkaç imza kategorisi "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddetme" olarak ayarlanmış olsa bile varsayılan olarak imzalarıyla eşleşen trafik engellenmez. Bu özel imzaları Uyarı ve Reddetme modunda özelleştirerek bunu geçersiz kılabilirsiniz. IDPS İmza modu aşağıdaki nedenlerden biriyle belirlenir: 1. İlke Modu tarafından tanımlanır – İmza modu, mevcut ilkenin IDPS modundan türetilir. 2. Üst İlke tarafından tanımlanır – İmza modu, üst ilkenin IDPS modundan türetilir. 3. Geçersiz Kılınmış – İmza modunu geçersiz kılabilir ve özelleştirebilirsiniz. 4. Sistem tarafından tanımlanır - İmza modu, kategorisi nedeniyle sistem tarafından Yalnızca Uyarı olarak ayarlanır. Bu imza modunu geçersiz kılabilirsiniz. Not: IDPS uyarıları portalda ağ kuralı günlük sorgusu aracılığıyla kullanılabilir. |
Önem | Her imzanın, imzanın gerçek bir saldırı olma olasılığını gösteren bir önem düzeyi ve atanmış önceliği vardır. - Düşük (öncelik 3): Anormal bir olay normalde ağda gerçekleşmeyen bir olaydır veya Bilgilendiren olaylar günlüğe kaydedilir. Saldırı olasılığı düşüktür. - Orta (öncelik 2): İmza şüpheli bir saldırıyı gösterir. Yönetici daha fazla araştırma yapmalıdır. - Yüksek (öncelik 1): Saldırı imzaları ciddi bir saldırının başlatıldığını gösterir. Paketlerin meşru bir amacı olma olasılığı çok azdır. |
Yön | İmzanın uygulandığı trafik yönü. - Gelen: İmza yalnızca İnternet'ten gelen ve yapılandırılan özel IP adresi aralığınıza yönlendirilen trafiğe uygulanır. - Giden: İmza yalnızca yapılandırılan özel IP adresi aralığınızdan İnternet'e gönderilen trafiğe uygulanır. - İç: İmza yalnızca yapılandırılan özel IP adresi aralığınızdan gönderilen ve hedeflenen trafiğe uygulanır. - İç/Gelen: İmza, yapılandırılan özel IP adresi aralığınızdan veya İnternet'ten gelen ve yapılandırılan özel IP adresi aralığınız hedeflenen trafiğe uygulanır. - İç/Giden: İmza, yapılandırılan özel IP adresi aralığınızdan gönderilen ve yapılandırılan özel IP adresi aralığınıza veya İnternet'e gönderilen trafiğe uygulanır. - Herhangi Biri: İmza her zaman herhangi bir trafik yönüne uygulanır. |
Gruplandırma | İmzanın ait olduğu grup adı. |
Açıklama | Aşağıdaki üç bölümden yapılandırılmış: - Kategori adı: Azure Güvenlik Duvarı IDPS imza kuralı kategorilerinde açıklandığı gibi imzanın ait olduğu kategori adı. - İmzanın üst düzey açıklaması - İmzanın belirli bir CVE ile ilişkilendirildiği durumda CVE kimliği (isteğe bağlı). |
Protokol | Bu imzayla ilişkili protokol. |
Kaynak/Hedef Bağlantı Noktaları | Bu imzayla ilişkilendirilmiş bağlantı noktaları. |
Son güncelleştirme | Bu imzanın tanıtıldığı veya değiştirildiği son tarih. |
IDPS hakkında daha fazla bilgi için bkz. Test Sürüşü'ne Azure Güvenlik Duvarı IDPS alma.
URL filtreleme
URL filtreleme, Azure Güvenlik Duvarı FQDN filtreleme özelliğini bir URL'nin tamamını dikkate almak için genişletir. Örneğin, www.contoso.com/a/c
yerine www.contoso.com
.
URL Filtreleme hem HTTP hem de HTTPS trafiğine uygulanabilir. HTTPS trafiği incelendiğinde Azure Güvenlik Duvarı Premium, trafiğin şifresini çözmek için TLS denetleme özelliğini kullanabilir ve erişime izin verilip verilmediğini doğrulamak için hedef URL'yi ayıklayabilir. TLS incelemesi, uygulama kuralı düzeyinde kabul olmayı gerektirir. Etkinleştirildikten sonra, HTTPS ile filtreleme için URL'leri kullanabilirsiniz.
Web kategorileri
Web kategorileri yöneticilerin kumar web siteleri, sosyal medya web siteleri ve diğerleri gibi web sitesi kategorilerine kullanıcı erişimine izin vermesine veya erişimi reddetmesine olanak tanır. Web kategorileri de Azure Güvenlik Duvarı Standard'a dahil edilir, ancak Azure Güvenlik Duvarı Premium'da daha hassas ayarlanmıştır. Standart SKU'daki FQDN tabanlı kategoriyle eşleşen Web kategorileri özelliğinin aksine Premium SKU, hem HTTP hem de HTTPS trafiğinin URL'sinin tamamına göre kategoriyle eşleşir.
Azure Güvenlik Duvarı Premium web kategorileri yalnızca güvenlik duvarı ilkelerinde kullanılabilir. İlke SKU'nuzun güvenlik duvarı örneğinizin SKU'su ile eşleştiğinden emin olun. Örneğin, bir Güvenlik Duvarı Premium örneğin varsa, güvenlik duvarı Premium ilkesi kullanmanız gerekir.
Örneğin, Azure Güvenlik Duvarı için www.google.com/news
bir HTTPS isteğini durdurursa aşağıdaki kategorilere ayırma beklenir:
Güvenlik Duvarı Standart – Yalnızca FQDN bölümü incelendiğinden
www.google.com
Arama Altyapısı olarak kategorilere ayrılmıştır.Güvenlik Duvarı Premium– URL'nin tamamı incelendiğinden
www.google.com/news
Haber kategorisine ayrılmıştır.
Kategoriler Sorumluluk, Yüksek Bant Genişliği, İş Kullanımı, Üretkenlik Kaybı, Genel Sörf ve Kategorilere Ayrılmamış altındaki önem derecesine göre düzenlenmiştir. Web kategorilerinin ayrıntılı açıklaması için bkz. web kategorilerini Azure Güvenlik Duvarı.
Web kategorisi günlüğü
Uygulama günlüklerinde Web kategorilerine göre filtrelenmiş trafiği görüntüleyebilirsiniz. Web kategorileri alanı yalnızca güvenlik duvarı ilkesi uygulama kurallarınızda açıkça yapılandırılmışsa görüntülenir. Örneğin, Arama Motorlarını açıkça reddeden bir kuralınız yoksa ve kullanıcı www.bing.com gitmek isterse, Web kategorileri iletisinin aksine yalnızca varsayılan bir reddetme iletisi görüntülenir. Bunun nedeni web kategorisinin açıkça yapılandırılmamış olmasıdır.
Kategori özel durumları
Web kategorisi kurallarınızda özel durumlar oluşturabilirsiniz. Kural koleksiyonu grubunda daha yüksek önceliğe sahip ayrı izin verme veya reddetme kuralı koleksiyonu oluşturun. Örneğin, öncelik 100'e izin veren www.linkedin.com
bir kural koleksiyonunu, 200 önceliğine sahip Sosyal ağı reddeden bir kural koleksiyonuyla yapılandırabilirsiniz. Bu, önceden tanımlanmış Sosyal ağ web kategorisi için özel durum oluşturur.
Web kategorisi araması
Web Kategorisi Denetimi özelliğini kullanarak belirli bir FQDN veya URL'nin hangi kategori olduğunu belirleyebilirsiniz. Bunu kullanmak için Güvenlik Duvarı İlkesi Ayarlar altındaki Web Kategorileri sekmesini seçin. Bu, hedef trafik için uygulama kurallarınızı tanımlarken kullanışlıdır.
Önemli
Web Kategorisi Denetimi özelliğini kullanmak için kullanıcının kaynak grubu düzeyinde değil abonelik düzeyinde Microsoft.Network/azureWebCategories/* erişimi olmalıdır.
Kategori değişikliği
Güvenlik Duvarı İlkesi Ayarlar Web Kategorileri sekmesinin altında, aşağıdaki durumlarda bir kategori değişikliği isteyebilirsiniz:
FQDN veya URL'nin farklı bir kategori altında olması gerektiğini düşünün
veya
kategorilere ayrılmamış bir FQDN veya URL için önerilen kategoriye sahip olmak
Bir kategori değişikliği raporu gönderdikten sonra, bildirimlerde işleme isteğini aldığımızı belirten bir belirteç verilir. Arama çubuğuna belirteci girerek isteğin devam edip etmediğini, reddedilip reddedilip onaylanmadığını de kontrol edebilirsiniz. Bunu yapmak için belirteç kimliğinizi kaydettiğinizden emin olun.
TLS sonlandırmayı desteklemeyen web kategorileri
Gizlilik ve uyumluluk nedeniyle, şifrelenmiş olan belirli web trafiğinin şifresi TLS sonlandırma kullanılarak çözülemez. Örneğin, kurumsal ağ üzerinden web trafiği aracılığıyla iletilen çalışan durumu verilerinin gizlilik nedeniyle TLS sonlandırılmaması gerekir.
Sonuç olarak, aşağıdaki Web Kategorileri TLS sonlandırmasını desteklemez:
- Eğitim
- Finance
- Kamu
- Sağlık ve tıp
Geçici bir çözüm olarak, belirli bir URL'nin TLS sonlandırmasını desteklemesini istiyorsanız, uygulama kurallarında TLS sonlandırması olan bir veya daha fazla URL'yi el ile ekleyebilirsiniz. Örneğin, bu web sitesine izin vermek için uygulama kurallarına ekleyebilirsiniz www.princeton.edu
.
Desteklenen bölgeler
Azure Güvenlik Duvarı için desteklenen bölgeler için bkz. Bölgeye göre kullanılabilir Azure ürünleri.