Web uygulamaları için sıfır güven ağı dağıtma

Giriş

Azure Mimari Merkezi'nden Web Uygulamaları için Sıfır Güven Ağı referans mimarisini izleyen bu kılavuz. Başvuru mimarisinin amacı, bir Web Uygulaması Güvenlik Duvarı (WAF) ve geleneksel durum bilgisi olan bir güvenlik duvarı aracılığıyla güvenli erişime sahip bir web uygulaması yayımlamanız için size yol göstermektir. Bu senaryoda, WAF, SQL ekleme, siteler arası betik ve Open Web Application Security Project (OWASP) kapsamındaki diğer yaygın kural kümeleri için trafiği incelemek üzere uygulama ağ geçidi tarafından sağlanır. Azure Güvenlik Duvarı tarafından gerçekleştirilen durum bilgisi olan paket incelemesi, kötü amaçlı paketlerden ek koruma sağlar. Hizmetler arasındaki tüm iletişimin güvenliği, güvenilen sertifikalar kullanılarak uçtan uca TLS ile sağlanır.

Bir web uygulaması için güvenli sanal ağ mimarisi diyagramı.

Önkoşullar

Sıfır Güven dağıtımını tamamlamak için şunları yapmanız gerekir:

  • Özel etki alanı adı
  • Özel etki alanınız için Güvenilir joker karakter sertifikası
  • Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
  • Visual Studio Code (otomatik dağıtıma yardımcı olmak için isteğe bağlı)

Not

Özel bir etki alanı adınız yoksa, Azure App Service aracılığıyla bir etki alanı adı satın almayı göz önünde bulundurun.

Kaynakları dağıtma

Kılavuzda kolaylık olması için tüm kaynaklar tek bir kaynak grubuna dağıtılır. Aboneliğinizde uygun bir dağıtım modeli için yönetim ve idare stratejinizi gözden geçirin. Başvuru mimarisi aşağıdaki kaynakları içerir:

Not

Başvuru mimarisindeki web uygulaması bir Sanal Makine ile görselleştirilir. Bu bir App Service, Kubernetes kümesi veya başka bir kapsayıcı ortamı ya da Sanal Makine ölçek kümesi de olabilir. Bu kılavuzda sanal makineyi app service ile değiştireceğiz.

Dağıtılacak ve yapılandırılacak ve başvuru mimarisinde açıkça listelenmeyen diğer Azure hizmetleri şunlardır:

Kaynak grubunu dağıtma

İlk olarak, oluşturulan tüm kaynakları depolamak için bir kaynak grubu oluşturursunuz.

Önemli

Kendi kaynak grubu adınızı ve istediğiniz bölgeyi kullanabilirsiniz. Bu nasıl yapılır için tüm kaynakları aynı kaynak grubu olan myResourceGroup'a dağıtacak ve tüm kaynakları Doğu ABD Azure bölgesine dağıtacağız. Makale boyunca varsayılan ayarlar olarak bunları ve Azure aboneliğinizi kullanın.

Tüm kaynaklarınızı aynı kaynak grubunda oluşturmak, kullanılan kaynakları izlemek için iyi bir uygulamadır ve tanıtım ortamını veya üretim dışı ortamı temizlemeyi kolaylaştırır.

  1. Azure portalında Kaynak grupları'nı arayın ve seçin.

  2. Kaynak grupları sayfasında Oluştur'u seçin.

  3. Kaynak grubu oluşturmak için aşağıdaki ayarları veya kendi ayarlarınızı kullanın:

    Ayarlar Değer
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup girin
    Bölge Doğu ABD’yi seçin.

  4. Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

Azure Key Vault'un dağıtılması

Bu adımda gizli dizileri, anahtarları ve sertifikaları depolamak için Azure Key Vault'ı dağıtacaksınız. Uygulama ağ geçidi tarafından TLS bağlantıları için kullanılan genel güvenilen sertifikayı depolamak ve bu nasıl yapılır bölümünde Azure Güvenlik Duvarı için bir Key Vault kullanacağız.

Not

Varsayılan olarak, Azure Key Vault'ta geçici silme etkinleştirilir. Bu, depolanan kimlik bilgilerinin yanlışlıkla silinmesini gösterir. Bu rehberi tamamladıktan sonra anahtar kasayı zamanında kaldırabilmeniz için, Silinen kasaların saklanacağı gün sayısını 7 olarak ayarlamanız önerilir.

  1. Azure portalı menüsünden veya Giriş sayfasında Kaynak oluştur'u seçin.

  2. Arama kutusuna Key Vault yazın ve sonuçlardan Key Vault'ı seçin.

  3. Key Vault oluşturma sayfasında Oluştur'u seçin.

  4. Anahtar kasası oluştur sayfasında, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    İsim Anahtar kasanız için benzersiz bir ad girin. Bu örnekte myKeyVaultZT kullanılır.
    Fiyatlandırma katmanı Standart'ı seçin.
    Silinen kasaların saklanma süresi 7 girin.
    Silme Koruması Temizleme korumasını devre dışı bırak (saklama süresi boyunca anahtar kasasının ve nesnelerin temizlenmesine izin ver) seçeneğini belirleyin.

  5. Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

Key Vault'a sertifika yükleme

Bu görevde, genel etki alanınız için güvenilir joker sertifikanızı yüklemeniz gerekiyor.

Not

Bu görev, sahip olduğunuz bir ortak etki alanı için güvenilir bir dijital sertifika gerektirir. Sertifika olmadan, bu mimari örneğini tamamen dağıtamazsınız. Azure Key Vault'ta PFX ve PEM biçimindeki sertifikalar desteklenir.

  • .pem dosya biçimi bir veya daha fazla X509 sertifika dosyası içerir.
  • .pfx dosya biçimi, birkaç şifreleme nesnesini tek bir dosyada (etki alanınız için verilen) sunucu sertifikasında ( etki alanınız için verilen), eşleşen bir özel anahtarda depolamak için kullanılan bir arşiv dosyası biçimidir ve isteğe bağlı olarak ara CA içerebilir.

  1. Daha önce oluşturulan myKeyVaultZT anahtar kasasına gidin.

  2. Key Vault sayfasında, Nesneler'in altında Sertifikalar'ıseçin.

  3. Sertifikalar sayfasında + Oluştur/İçeri Aktar'ı seçin

  4. Sertifika oluştur sayfasında, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    Sertifika Oluşturma Yöntemi İçeri aktar'ı seçin.
    Sertifika Adı myTrustedWildCard girin.
    Sertifika Dosyasını Karşıya Yükle Klasör simgesini seçin ve sertifika dosyanızın konumuna göz atın.
    Dosyayı seçin ve sertifikayı karşıya yüklemek için Aç'ı seçin.
    Parola Sertifika parolasını girin.

  5. Oluştur'u belirleyin.

Kullanıcı tarafından atanan yönetilen kimliği dağıtma

Yönetilen bir kimlik oluşturacaksınız ve o kimliğe Azure Key Vault'a erişim vereceksiniz. Daha sonra uygulama ağ geçidi ve Azure Güvenlik Duvarı sertifikayı kasadan almak için bu kimliği kullanır.

  1. Arama kutusuna Girin ve Yönetilen kimlikler'i seçin.
  2. +Oluştur'u seçin.
  3. Temel Bilgiler sekmesinde Ad için myManagedIDappGW seçin.
  4. Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

Yönetilen kimlik için Key Vault'a erişim atama

  1. Daha önce oluşturulan myKeyVaultZT anahtar kasasına gidin.
  2. Key Vault sayfasında, Ayarlar'ın altındaki sol taraftaki menüden Erişim yapılandırması'nı seçin.
  3. Erişim yapılandırması sayfasında, Kasa erişim ilkesinin varsayılanını bırakın ve **Erişime git'i seçin
  4. Erişim ilkeleri sayfasında + Oluştur'u seçin.
  5. Erişim ilkesi oluştur sayfasında, Gizli İzinler ve Sertifika izinleri altında Al'ı seçin. İleri'yi seçin.
  6. Sorumlular sekmesinde myManagedIDappGW kimliğini arayın ve seçin.
  7. İleri>İleri>Oluştur'u seçin.

Sanal ağları dağıtma

Web uygulamanız için bir "hub and spoke" mimarisi dağıtacaksınız. Merkez ağı, uygulamanın trafiğini incelemek için kullanılan merkezi bir Azure Güvenlik Duvarı içerir. Spoke ağı, biri uygulama ağ geçidi ve diğeri App Service için olan iki alt ağ içerir.

  1. Portalın sol üst köşesinde + Kaynak oluştur'u seçin.

  2. Arama kutusuna Sanal Ağ girin. Arama sonuçlarında Sanal Ağ seçin.

  3. Sanal Ağ sayfasında Oluştur'u seçin.

  4. Sanal ağ oluştur bölümünde Temel Bilgiler sekmesinde hub-vnet'in adı yazın.

  5. IP Adresleri sekmesini seçin veya sayfanın en altındaki İleri: IP Adresleri düğmesini seçin ve varsayılan değerlerle birlikte şu ayarları girin:

    Ayarlar Değer
    IPv4 adres alanı 192.168.0.0/16 girin.
    "+ Alt ağ ekle"yi seçin
    Alt ağ adı AzureFirewallSubnet girin.
    Alt ağ adres aralığı 192.168.100.0/24 girin.
    Ekle'yi seçin.

  6. Gözden Geçir ve Oluştur'u> seçin.

  7. Aşağıdaki ayarları kullanarak ikinci bir sanal ağ oluşturmak için bu işlemi yineleyin:

    Ayarlar Değer
    Örnek ayrıntıları
    İsim uç sanal ağı
    IPv4 adres alanı 172.16.0.0/16
    "+ Alt ağ ekle"yi seçin
    Alt ağ adı AppGwSubnet girin.
    Alt ağ adres aralığı 172.16.0.0/24 girin.
    Alt ağ adı Uygulama1
    Alt ağ adres aralığı 172.16.1.0/24
    Ekle'yi seçin.

  8. Gözden Geçir ve Oluştur'u> seçin.

  9. Daha önce oluşturduğunuz hub-vnet'e gidin.

  10. Hub sanal ağ sayfasından Ayarlar'ın altından Eşlemeler'i seçin.

  11. Eşlemeler sayfasında + Ekle'yi seçin.

  12. Eşleme ekle sayfasında, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    Bu sanal ağ
    Eşleme bağlantısı adı Merkez-uç girin.
    Uzak sanal ağa trafik İzin Ver olarak ayarlayın.
    Uzak sanal ağdan iletilen trafik İzin Ver olarak ayarla
    Sanal ağ geçidi veya Yönlendirme Sunucusu Yok olarak ayarlayın
    Uzak sanal ağ
    Eşleme bağlantısı adı Uç merkez'e girme
    Sanal ağ dağıtım modeli Resource Manager
    Kaynak kimliğimi biliyorum Varsayılan Olarak Seçili Değil olarak tut
    Abonelik Aboneliğinizi seçin
    Sanal ağ uç sanal ağı
    Uzak sanal ağa trafik İzin ver
    Uzak sanal ağdan iletilen trafik İzin ver
    Sanal ağ geçidi veya Yönlendirme Sunucusu Hiçbiri

  13. Ekle'yi seçin.

Azure DNS bölgesini dağıtma

Web uygulamasına güvenli bir şekilde erişmek için, DNS'de uygulama ağ geçidindeki dinleyiciyle ve Key Vault'a yüklenen sertifikayla eşleşen bir tam DNS adı yapılandırılmalıdır. Bunu başarmak için, etki alanınız için daha sonra web uygulamanızın DNS kaydını oluşturmak için kullanılacak bir Azure DNS bölgesi oluşturacaksınız.

  1. Portalın sol üst köşesinde + Kaynak oluştur'u seçin.
  2. Arama kutusuna DNS Bölgesi yazın.
  3. Sonuçlar listesinden DNS Bölgesi
  4. Temel Bilgiler sekmesinde etki alanı adınızı girin.
  5. Gözden geçir ve oluştur>Oluştur'u seçin.

Not

Bu DNS bölgesini kullanmak için etki alanı adı sunucularınızı Azure DNS tarafından sağlanan ad sunucularına güncelleştirmeniz gerekir. Ad sunucuları Azure kiracıları arasında farklılık gösterdiğinden, Azure DNS tarafından size atanan ad sunucularını kullanın. Azure DNS ad sunucuları, oluşturulan DNS bölgesinin Genel Bakış sayfasında bulunur.

Azure Uygulaması Hizmetini Dağıtma

Güvenli web uygulamasını barındırmak için Azure Uygulaması Service'i dağıtacaksınız.

  1. Arama çubuğuna App Services yazın. Hizmetler'in altında Uygulama Hizmetleri'ne tıklayın.

  2. Uygulama Hizmetleri sayfasında + Oluştur'u seçin.

  3. Web Uygulaması Oluştur sayfasında, Temel Bilgiler sekmesinde bu ayarları ve varsayılan değerleri girin veya seçin:

    Ayarlar Değer
    Örnek Ayrıntıları
    İsim Web uygulamanız için genel olarak benzersiz bir ad girin. Örneğin, myWebAppZT1.
    Yayımlama Kod’u seçin
    Çalışma zamanı yığını .NET 6 (LTS) öğesini seçin.
    İşletim Sistemi Windows’u seçin
    Fiyatlandırma Planları
    Windows Planı (Doğu ABD) Yeni oluştur'u seçin ve ad olarak zt-asp girin.
    Fiyatlandırma planı Varsayılan olarak Standart S1'i bırakın veya menüden başka bir plan seçin.

  4. Gözden geçir ve oluştur>Oluştur'u seçin.

  5. Dağıtım tamamlandıktan sonra App Service'e gidin.

  6. App Service sayfasında, Ayarlar altında bulunan 'ı seçin.

  7. Gelen Trafik bölümünde Özel uç noktalar'ı seçin.

  8. Özel uç nokta bağlantısı sayfasında + Ekle>Express'i seçin.

  9. Özel Uç Nokta Ekle bölmesinde, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    İsim pe-appservice
    Sanal ağ uç sanal ağı
    Alt ağ Uygulama1

  10. Tamam'ı seçin.

Uygulama ağ geçidinin kurulumu

TLS sonlandırma ve WAF hizmetleri gerçekleştiren uygulama için bir uygulama ağ geçidi ve uç giriş çözümü dağıtacaksınız.

  1. Arama çubuğuna uygulama ağ geçitleri yazın. Hizmetler'in altında Uygulama ağ geçitleri'ni seçin.

  2. Yük dengeleme | Uygulama ağ geçidi sayfasında + Oluştur'u seçin.

  3. Temel Bilgiler sekmesinde, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    Örnek ayrıntıları
    Uygulama ağ geçidi adı myAppGateway yazın.
    Katman WAF v2'yi seçin.
    Otomatik ölçeklendirmeyi etkinleştirme Hayır'ı seçin.
    Örnek sayısı 1 girin.
    Erişilebilirlik bölgesi Hiçbiri seçeneğini belirtin.
    HTTP2 Devre dışı öğesini seçin.
    WAF İlkesi Yeni oluştur’u seçin.
    WAF ilke adı için myWAFpolicy girin ve Tamam'ı seçin.
    Sanal ağı yapılandırma
    Sanal ağ spoke-vnet'i seçin.
    Alt ağ AppGwSubnet (172.16.0.0/24) öğesini seçin.

  4. İleri: Ön Uçlar'ı > seçin ve Ön Uçları aşağıdaki ayarlarla yapılandırın:

    Ayarlar Değer
    Ön uç IP adresi türü Genel’i seçin.
    Genel IP adresi Yeni ekle'yi seçin.
    Genel IP adı için myAppGWpip girin ve Tamam'ı seçin.

  5. İleri: Arka Uçlar'ı seçin >

  6. Arka uçlar sekmesinde Arka uç havuzu ekle'yi seçin.

  7. Arka uç havuzu ekle bölmesinde aşağıdaki ayarları girin veya seçin:

    Ayarlar Değer
    İsim myBackendPool girin.
    Hedef türü Uygulama Hizmetleri’ni seçin.
    Hedef myWebAppZT1 öğesini seçin.

  8. Ekle'yi ve ardından İleri: Yapılandırma'yı> seçin.

  9. Yapılandırma sekmesinde Yönlendirme kuralı ekle'yi seçin.

  10. Yönlendirme kuralı ekle bölmesinde aşağıdaki ayarları girin:

    Ayarlar Değer
    Kural adı: myRouteRule1 girin
    Öncelik: 100 şunu girin

  11. Dinleyici sekmesinde, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    Dinleyici adı myListener girin.
    Ön uç IP adresi Genel’i seçin.
    Protokol HTTPS'yi seçin.
    Liman Varsayılan değeri 443 olarak bırakın.
    HTTPS Ayarları
    Sertifika seçin Key Vault'tan sertifika seçin'i seçin
    Sertifika adı myTrustedWildCard girin.
    Yönetilen kimlik myManagedIDappGW öğesini seçin.
    Key Vault myKeyVaultZT öğesini seçin.
    Sertifika myTrustedWildCard öğesini seçin.
    Ek ayarlar
    Dinleyici türü Çoklu site'yi seçin.
    Ana bilgisayar türü Se: Tek
    Konak adı Web uygulaması için dış DNS adını girin.
    Hata sayfası URL'si Hayır'ı seçin.

    Not

    Ana bilgisayar adı için kullanılan FQDN, sonraki bir adımda oluşturacağınız DNS kaydıyla eşleşmelidir. Gerekirse Dinleyici yapılandırmasına geri dönebilir ve bunu oluşturduğunuz DNS kaydıyla değiştirebilirsiniz.

  12. Arka uç hedefleri sekmesini seçin.

  13. Arka uç hedefleri sekmesinde, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    Hedef türü Arka uç havuzunu seçin.
    Arka plan hedefi myBackendPool girin.
    Arka plan ayarları Yeni ekle'yi seçin.
    Arka uç ayarı ekle
    Arka plan ayarları adı myBackendSetting girin.
    Arka uç protokolü HTTPS'yi seçin.
    Arka uç bağlantı noktası Varsayılan değeri 443 olarak bırakın.
    Güvenilen kök sertifika
    İyi bilinen CA sertifikası kullanma Evet'i seçin.
    Ana Bilgisayar Adı
    Yeni ana bilgisayar adıyla geçersiz kıl Evet'i seçin.
    Ana bilgisayar adı geçersiz kılma Arka uç hedefinden konak adını seç seçeneğini işaretleyin.

  14. Ekle'yi iki kez seçin ve ardından >İleri: Etiketler'i seçin.

  15. İleri: Gözden geçir + oluştur > seçeneğini ve ardından Oluştur'u seçin. Dağıtımın tamamlanması 30 dakika kadar sürebilir.

Özel durum araştırması oluşturma

Şimdi arka uç havuzunuz için özel bir sistem durumu yoklaması ekleyeceksiniz.

  1. Daha önce oluşturulan uygulama ağ geçidine gidin.

  2. Ağ geçidinden Ayarlar'ın altında Sistem durumu yoklamaları'nı seçin.

  3. Sistem durumu yoklaması'nda + Ekle'yi seçin.

  4. Sistem durumu yoklaması ekle sayfasında, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    İsim myHealthProbe'u girin.
    Protokol HTTPS'yi seçin.
    Sunucu App Service'inizin URL'sini girin. Örneğin, myWebAppZT1.azurewebsites.net.
    Arka plan ayarlarından ana bilgisayar adını seçin Hayır'ı seçin.
    Arka uç ayarlarından bağlantı noktası seçin Evet'i seçin.
    Yol / girin.
    Aralık 30 girin.
    Zaman aşımı 30 girin.
    Sağlıksız durum eşiği 3 girin.
    Yoklama eşleştirme koşulunu kullan Hayır'ı seçin.
    Arka plan ayarları myBackendPool öğesini seçin.

  5. Test'i seçin, ve ardından Ekle'yi seçin.

Uygulama ağ geçidi için DNS kaydını ekleme

  1. Uygulama ağ geçidinizin Genel IP adresini almak için, uygulama ağ geçidinin Genel Bakış sayfasına gidin ve listelenen Ön Uç Genel IP Adresini kopyalayın.

  2. Daha önce oluşturduğunuz DNS bölgesine gidin.

  3. DNS bölgesinde + Kayıt kümesi'ni seçin.

  4. Kayıt kümesi ekle bölmesinde, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    İsim mywebapp girin.
    Tür A - Diğer ad kaydı IPv4 adresi'ni seçin.
    Diğer ad kayıt kümesi Hayır'ı seçin.
    TTL Varsayılan değeri 1 Saat olarak bırakın.
    IP Adresi Uygulama ağ geçidinizin genel IP adresini girin.

İlk dağıtımı test edin

Bu noktada uygulama ağ geçidi üzerinden App Service'e bağlanabilmeniz gerekir. Oluşturduğunuz DNS kaydının URL'sine gidip uygulamanın ağ geçidine çözümlendiğini ve varsayılan App Service sayfasının görüntülendiğini doğrulayın. Uygulama ağ geçidi sayfası bir ağ geçidi hatasıyla yüklenmişse, arka uç havuzuyla ilgili hatalar için ağ geçidinin Arka Uç Sağlığı sayfasını kontrol edin ve arka uç ayarlarınızı denetleyin.

Azure Güvenlik Duvarı'nın kurulumu

Uygulama ağ geçidi ile App Service arasında paket denetimi gerçekleştirmek için Azure Güvenlik Duvarı dağıtacaksınız. Key Vault'ta depolanan dijital sertifikanız trafiğin güvenliğini sağlamak için kullanılır.

Not

Temel ve Standart katman güvenlik duvarları SSL sonlandırmayı desteklemez.

  1. Azure portalında Güvenlik Duvarları'nı arayın ve seçin.

  2. Güvenlik duvarları sayfasında + Oluştur'u seçin.

  3. Güvenlik duvarı oluştur sayfasında, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    İsim MyFirewall'a girin.
    Erişilebilirlik bölgesi Hiçbiri seçeneğini belirtin.
    Güvenlik duvarı katmanı Premium'ı seçin.
    Güvenlik duvarı ilkesi Yeni ekle'yi seçin.
    Yeni güvenlik duvarı ilkesi oluşturma
    İlke adı myFirewallPolicy'yi girin.
    Politika seviyesi Premium'i seçin ve Tamam'ı seçin.
    Bir sanal ağ seçin Var olanı kullan'ı seçin.
    Sanal ağ hub-vnet'i seçin.
    Genel IP adresi Yeni ekle'yi seçin.
    myFirewallpip yazın ve Tamam'ı seçin.

  4. Gözden Geçir + oluştur’u ve sonra da Oluştur’u seçin. Bu dağıtımın tamamlanması 30 dakika kadar sürebilir.

Güvenlik duvarı ilkesini yapılandırma

Bu görevde, paket denetimi için kullanılan güvenlik duvarı ilkesini yapılandıracaksınız.

  1. Daha önce oluşturduğunuz Azure Güvenlik Duvarı gidin.

  2. Genel Bakış sayfasında myFirewallPolicy güvenlik duvarı ilkesinin bağlantısını bulun ve seçin.

  3. Güvenlik Duvarı İlkesi sayfasında Ayarlar'ın altında IDPS'yi seçin.

  4. IDPS sayfasında Uyarı ve reddet'i ve ardından Uygula'yı seçin. Sonraki adıma geçmeden önce güvenlik duvarı ilkesinin güncelleştirilmesini bekleyin.

  5. Ayarlar'ın altında TLS inceleme'yiseçin

  6. TLS inceleme sayfasında Etkin'i seçin. Ardından şu ayarları ve varsayılan değerleri girin veya seçin:

    Ayarlar Değer
    Yönetilen kimlik myManagedIDappGW girin.
    Key Vault myKeyVaultZT öğesini seçin.
    Sertifika myTrustedWildCard öğesini seçin.

Not

Bu örnekte, wildcard sertifikayı ve aynı Yönetilen Kimlik'i yeniden kullanıyoruz. Üretim ortamında farklı sertifikalar kullanabilir ve bu nedenle Key Vault'a erişebilen farklı bir Yönetilen Kimliğe sahip olabilirsiniz.

  1. Kaydet'i seçin.

  2. Ayarlar'ın altındaki DNS sayfasını seçin.

  3. DNS sayfasında Etkin'i seçin.

  4. DNS Ara Sunucusu bölümünde Etkin'i seçin.

  5. Uygula’yı seçin.

  6. Güvenlik duvarı ilkesinden Ağ kuralları'nı seçin.

  7. Ağ kuralları sayfasında Kural koleksiyonu ekle'yi seçin.

  8. Kural koleksiyonu ekle sayfasında, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    İsim myRuleCollection girin.
    Kural koleksiyonu türü Ağ'ı seçin.
    Öncelik 500 girin.
    Kural koleksiyonu eylemi İzin ver'i seçin.
    Kural koleksiyonu grubu DefaultNetworkRuleCollectionGroup'ı seçin.
    Kurallar İki kural oluşturma
    İsim appgw-to-as girin
    Kaynak türü IP adresi'ne tıklayın.
    Kaynak 172.16.0.0/24 girin.
    Protokol TCP’yi seçin.
    Hedef bağlantı noktaları 443 girin.
    Hedef türü IP adresleri'ne tıklayın.
    Varış yeri 172.16.1.0/24 girin.
    İsim As-to-appgw girin.
    Kaynak türü IP adresi'ne tıklayın.
    Kaynak 172.16.1.0/24.
    Protokol TCP’yi seçin.
    Hedef bağlantı noktası 443 girin.
    Hedef türü IP adresi'ne tıklayın.
    Varış yeri 172.16.0.0/24 girin.

  9. Ekle'yi seçin.

Yol tablolarını dağıtma

Kullanıcı tanımlı rotalarla, tüm App Service trafiğini bir Azure Güvenlik Duvarı'ndan geçirmek için bir rota tablosu oluşturacaksınız.

  1. Aramaya uygulama hizmetleri yazın. Hizmetler'in altında Rota tabloları'yı seçin.

  2. Rota tabloları sayfasında + Oluştur'u seçin.

  3. Rota Tablosu Oluştur sayfasında, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    İsim myRTspoke2hub yazın.
    Ağ geçidi yollarını yay Evet'i seçin

  4. Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

  5. Rota Tabloları sayfasına dönün ve + Oluştur'u seçin.

  6. Rota Tablosu Oluştur sayfasında, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    İsim myRTapp2web girin.
    Ağ geçidi yollarını yay Evet'i seçin

  7. Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

Yol tablolarını yapılandırma

  1. myRTspoke2hub yol tablosuna gidin.

  2. Rota Tablosu'ndan Ayarlar'ın altındaki Yollar sayfasını seçin ve + Ekle'yi seçin.

  3. Yol Ekle bölmesinde, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    Yönlendirme adı ToAppService'e girin.
    Adres ön eki hedefi IP adresleri'ne tıklayın.
    Hedef IP adresleri/CIDR aralıkları 172.16.1.0/24 girin.
    Sonraki atlama türü Sanal gereç’i seçin.
    Bir sonraki atlama adresi Azure Güvenlik Duvarı özel IP adresi. Örneğin, 192.168.100.4.

  4. Ekle'yi seçin.

  5. Yol tablosundan Ayarlar'ın altında Alt Ağlar'ı seçin ve + İlişkilendir'i seçin.

  6. Alt Ağı İlişkilendirme bölmesinde spoke-vnet sanal ağını seçin ve ardından AppGwSubnet alt ağını seçin.

  7. Tamam'ı seçin.

  8. İlişkilendirme göründükten sonra AppGwSubnet ilişkilendirmesinin bağlantısını seçin.

  9. Özel uç noktalar için ağ ilkesi bölümünde Yönlendirme Tabloları'nı ve ardından Kaydet'i seçin.

  10. myRTapp2web yol tablosuna gidin.

  11. Yönlendirme Tablosu sayfasında Ayarlar'ın altında Yollar'ı seçin.

  12. Yol Ekle bölmesinde, varsayılan değerlerin yanı sıra şu ayarları girin veya seçin:

    Ayarlar Değer
    Yönlendirme adı ToAppGW'yi girin.
    Adres ön eki hedefi IP adresleri'ne tıklayın.
    Hedef IP adresleri/CIDR aralıkları 172.16.0.0/24 girin.
    Sonraki atlama türü Sanal gereç’i seçin.
    Bir sonraki atlama adresi Azure Güvenlik Duvarı özel IP adresini girin. Örneğin, 192.168.100.4.

  13. Ekle'yi seçin.

  14. Ayarlar'ın altındaki Alt Ağlar sayfasını seçin ve + İlişkili'yi seçin.

  15. İlişkilendir alt ağı bölmesinde spoke-vnet sanal ağını ve ardından App1 alt ağını seçin.

  16. Tamam'ı seçin.

  17. + İlişkilendirme'yi seçerek bu işlemi başka bir alt ağ için yineleyin.

  18. Seçin spoke-vnet sanal ağını, ardından AppGwSubnet alt ağını seçin. Tamam'ı seçin.

  19. İlişki göründükten sonra App1 ilişkisine ait bağlantıyı seçin.

  20. Özel uç noktalar için ağ ilkesi bölümünde Ağ güvenlik grupları ve Yönlendirme Tabloları'nı ve ardından Kaydet'i seçin.

Tekrar test eder

Bu noktada uygulama ağ geçidi üzerinden App Service'e bağlanabilmeniz gerekir. Oluşturduğunuz DNS kaydının URL'sine gidip uygulamanın ağ geçidine çözümlendiğini ve varsayılan App Service sayfasının görüntülendiğini doğrulayın. Sayfa bir hatayla yüklenirse arka uç havuzuyla ilgili hatalar için ağ geçidinin Arka Uç Sistem Durumu sayfasını denetleyin ve ardından arka uç ayarlarınızı denetleyin. Ayrıca yolların doğru yapılandırıldığını doğrulayın.

Uygulama ağ geçidi, güvenlik duvarının özel IP adresine trafik gönderiyor olmalıdır. Güvenlik duvarı, sanal ağ eşleme bağlantısı aracılığıyla özel uç noktayla iletişim kurabilir. Alt ağ üzerindeki özel uç noktanın bağlı olduğu yol tablosu, uygulama ağ geçidine geri dönebilmek için güvenlik duvarına yönlendirilir.

Güvenlik Duvarı'nın trafiği gerçekten incelediğini veya filtrelediğini test etmek istiyorsanız, Güvenlik Duvarı İlkesi'nde oluşturduğunuz ağ kuralını TCP'den ICMP'ye değiştirin. Bu, uygulama ağ geçidinden gelen TCP trafiğini örtük olarak engeller ve web sitesi erişimi reddedilir.

Ağ güvenlik gruplarını dağıtma - isteğe bağlı

Diğer alt ağların uygulama hizmeti tarafından kullanılan özel uç noktaya erişmesini önlemek için ağ güvenlik grupları dağıtacaksınız.

Not

Bu dağıtımda, ağ güvenlik grupları açıkça gerekli değildir. Bir Azure Güvenlik Duvarı aracılığıyla tanımlanan alt ağlardan gelen trafik akışını zorlamak için Yönlendirme Tablolarını yapılandırdık. Ancak, üretim ortamında çoğu kuruluşun aynı sanal ağda yer alan veya kullanıcı tanımlı yolları tanımlanmamış ağ ile eşlenmiş başka alt ağları vardır. Ağ güvenlik grupları, diğer alt ağların App Service'in Özel Uç Noktasına erişemediğinden emin olmak için yararlı olabilir. Ağ güvenlik grupları hakkında daha fazla bilgi edinin.

  1. Azure portalında Ağ güvenlik grupları'nı arayın ve seçin.

  2. Ağ güvenlik grupları sayfasında Oluştur'u seçin.

  3. Temel Bilgiler sekmesinde, Ad alanına nsg-app1 girin.

  4. Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

  5. Yeni dağıtılan ağ güvenlik grubuna gidin.

  6. Ağ güvenlik grubu sayfasında Ayarlar'ın altında Gelen güvenlik kuralları'nı seçin.

  7. Gelen güvenlik kuralları sayfasında Ekle'yi seçin.

  8. Gelen güvenlik kuralı ekle bölmesinde, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    Kaynak IP adresleri'ne tıklayın.
    Kaynak IP adresleri/CIDR aralıkları 192.168.100.0/24 girin.
    Kaynak Bağlantı Noktası aralıkları * girin.
    Varış yeri Herhangi birini seçin.
    Hizmet HTTPS'yi seçin.
    Eylem İzin ver'i seçin.
    Öncelik 300 girin.
    İsim Allow_HTTPS_From_Firewall girin.

  9. Ekle'yi seçin.

  10. Gelen güvenlik kuralları sayfasında Ekle'yi seçin.

  11. Gelen güvenlik kuralı ekle bölmesinde, varsayılan değerlerle birlikte şu ayarları girin veya seçin:

    Ayarlar Değer
    Kaynak Herhangi birini seçin.
    Kaynak Bağlantı Noktası aralıkları * girin.
    Varış yeri Herhangi birini seçin.
    Hizmet Özel'i seçin.
    Hedef bağlantı noktası aralıkları * girin.
    Protokol Herhangi birini seçin.
    Eylem Reddet'i seçin.
    Öncelik 310 girin.
    İsim Deny_All_Traffic girin.

  12. Ekle'yi seçin.

  13. Ağ güvenlik grubu sayfasında Ayarlar'ın altında Alt ağlar'ıseçin.

  14. Alt ağlar sayfasında İlişkilendir'i seçin.

  15. Alt ağı ilişkilendir bölmesinde uç-vnet sanal ağını seçin.

  16. Alt Ağ menüsünde App1 alt ağını seçin.

  17. Tamam'ı seçin.

Temizleme

MyResourceGroup gibi tüm kaynakları içeren kaynak grubunu silerek ortamınızı temizleyeceksiniz.

Sonraki adımlar

Web uygulamaları için bir Sıfır Güven ağı oluşturduktan sonra, Sıfır Güven güvenliği hakkında daha fazla bilgi edinmek için şu ek öğrenme fırsatlarına göz atın:

  • Last updated on