Ağ güvenliği için en iyi Azure uygulamaları
Bu makalede, ağ güvenliğinizi geliştirmeye yönelik en iyi Azure yöntemleri koleksiyonu ele alınmaktadır. Bu en iyi yöntemler, Azure ağı deneyimimizden ve sizin gibi müşterilerin deneyimlerinden türetilmiştir.
Bu makalede, en iyi yöntemlerin her birinde şunlar açıklanmaktadır:
- En iyi yöntem nedir?
- Bu en iyi yöntemi neden etkinleştirmek istiyorsunuz?
- En iyi yöntemi etkinleştiremezseniz sonuç ne olabilir?
- En iyi uygulama için olası alternatifler
- En iyi yöntemi etkinleştirmeyi nasıl öğrenebilirsiniz?
Bu en iyi yöntemler, bu makalenin yazıldığı sırada mevcut olan fikir birliğine ve Azure platformu özelliklerine ve özellik kümelerine dayanır. Görüşler ve teknolojiler zaman içinde değişir ve bu makale bu değişiklikleri yansıtacak şekilde düzenli olarak güncelleştirilecektir.
Güçlü ağ denetimleri kullanma
Azure sanal makinelerini (VM) ve gereçleri Azure sanal ağlarına yerleştirerek diğer ağa bağlı cihazlara bağlayabilirsiniz. Diğer bir ifadeyle, ağ özellikli cihazlar arasında TCP/IP tabanlı iletişimlere izin vermek için sanal ağ arabirim kartlarını bir sanal ağa bağlayabilirsiniz. Azure sanal ağına bağlı sanal makineler aynı sanal ağdaki cihazlara, farklı sanal ağlara, İnternet'e veya kendi şirket içi ağlarınıza bağlanabilir.
Ağınızı ve ağınızın güvenliğini planladığınızda şunları merkezileştirmenizi öneririz:
- ExpressRoute, sanal ağ ve alt ağ sağlama ve IP adresleme gibi temel ağ işlevlerinin yönetimi.
- ExpressRoute gibi ağ sanal gereci işlevleri, sanal ağ ve alt ağ sağlama ve IP adresleme gibi ağ güvenlik öğelerinin idaresi.
Ağınızı ve ağınızın güvenliğini izlemek için ortak bir yönetim araçları kümesi kullanırsanız, her ikisinde de net görünürlük elde edersiniz. Basit ve birleşik bir güvenlik stratejisi, insan anlayışını ve otomasyon güvenilirliğini artırdığı için hataları azaltır.
Alt ağları mantıksal olarak segmentlere ayırma
Azure sanal ağları, şirket içi ağınızdaki LAN'lara benzer. Bir Azure sanal ağının ardındaki fikir, tüm Azure sanal makinelerinizi yerleştirebileceğiniz tek bir özel IP adresi alanını temel alan bir ağ oluşturmanızdır. Kullanılabilir özel IP adresi alanları A Sınıfı (10.0.0.0/8), Sınıf B (172.16.0.0/12) ve Sınıf C (192.168.0.0/16) aralıklarında bulunur.
Alt ağları mantıksal olarak segmentlere ayırmaya yönelik en iyi yöntemler şunlardır:
En iyi yöntem: Geniş aralıklara sahip izin verme kuralları atamayın (örneğin, 0.0.0.0 ile 255.255.255.255 arasında izin verin).
Ayrıntı: Sorun giderme yordamlarının bu tür kuralları ayarlamayı engellemediğinden veya yasaklamadığından emin olun. Bu kurallar yanlış bir güvenlik duygusuna yol açar ve kırmızı takımlar tarafından sık sık bulunur ve bu kurallardan yararlanılır.
En iyi yöntem: Büyük adres alanını alt ağlara bölün.
Ayrıntı: Alt ağlarınızı oluşturmak için CIDR tabanlı alt ağ ilkelerini kullanın.
En iyi yöntem: Alt ağlar arasında ağ erişim denetimleri oluşturma. Alt ağlar arasındaki yönlendirme otomatik olarak gerçekleşir ve yönlendirme tablolarını el ile yapılandırmanız gerekmez. Varsayılan olarak, bir Azure sanal ağında oluşturduğunuz alt ağlar arasında ağ erişim denetimleri yoktur.
Ayrıntı: Azure alt ağlarına gelen istenmeyen trafiğe karşı koruma sağlamak için bir ağ güvenlik grubu kullanın. Ağ güvenlik grupları (NSG) basit, durum bilgisi olan paket denetleme cihazlarıdır. NSG'ler, ağ trafiği için izin verme/reddetme kuralları oluşturmak için 5 tanımlama grubu yaklaşımını (kaynak IP, kaynak bağlantı noktası, hedef IP, hedef bağlantı noktası ve protokol) kullanır. Tek bir IP adresine, birden çok IP adresine veya tüm alt ağlardan gelen ve giden trafiğe izin verir veya trafiği reddedersiniz.
Alt ağlar arasındaki ağ erişim denetimi için ağ güvenlik gruplarını kullandığınızda, aynı güvenlik bölgesine veya rolüne ait kaynakları kendi alt ağlarına yerleştirebilirsiniz.
En iyi yöntem: Basitlik ve esneklik sağlamak için küçük sanal ağlardan ve alt ağlardan kaçının. Ayrıntı: Çoğu kuruluş başlangıçta planlanandan daha fazla kaynak ekler ve adresleri yeniden konumlandırma yoğun iş gücü kullanır. Küçük alt ağların kullanılması sınırlı güvenlik değeri ekler ve bir ağ güvenlik grubunu her alt ağa eşlemek ek yük getirir. Büyüme esnekliğine sahip olduğunuzdan emin olmak için alt ağları geniş bir şekilde tanımlayın.
En iyi yöntem: Uygulama Güvenlik Grupları tanımlayarak ağ güvenlik grubu kural yönetimini basitleştirin.
Ayrıntı: Gelecekte değişebileceğini veya birçok ağ güvenlik grubunda kullanılabileceğini düşündüğünüz IP adreslerinin listesi için bir Uygulama Güvenlik Grubu tanımlayın. Başkalarının içeriklerini ve amaçlarını anlayabilmesi için Uygulama Güvenlik Gruplarını net bir şekilde adlandırdığından emin olun.
Sıfır Güven yaklaşımı benimseme
Çevre tabanlı ağlar, bir ağ içindeki tüm sistemlere güvenilebileceği varsayımı üzerine çalışır. Ancak günümüzün çalışanları çeşitli cihazlardan ve uygulamalardan kuruluşlarının kaynaklarına her yerden erişir ve bu da çevre güvenlik denetimlerini ilgisiz hale getirir. Yalnızca kaynağa kimlerin erişebileceğine odaklanan erişim denetimi ilkeleri yeterli değildir. Güvenlik ve üretkenlik arasındaki dengede ustalaşabilmek için, güvenlik yöneticilerinin bir kaynağa nasıl erişildiğini de sınaması gerekir.
Ağlar ihlallere karşı savunmasız olabileceğinden, ağların geleneksel savunmalardan gelişmesi gerekir: Saldırgan, güvenilen sınır içindeki tek bir uç noktanın güvenliğini tehlikeye atabilir ve ardından tüm ağ genelinde bir ayak çubuğunu hızla genişletebilir. Sıfır Güven ağlar, bir çevre içindeki ağ konumuna göre güven kavramını ortadan kaldırır. Bunun yerine Sıfır Güven mimarileri, kuruluş verilerine ve kaynaklarına erişimi geçit olarak kullanmak için cihaz ve kullanıcı güveni taleplerini kullanır. Yeni girişimler için, erişim sırasında güveni doğrulayan Sıfır Güven yaklaşımları benimseyin.
En iyi yöntemler şunlardır:
En iyi yöntem: Cihaza, kimliğe, güvenceye, ağ konumuna ve daha fazlasına göre kaynaklara Koşullu Erişim verme.
Ayrıntı: Microsoft Entra Koşullu Erişim , gerekli koşullara göre otomatik erişim denetimi kararları uygulayarak doğru erişim denetimlerini uygulamanıza olanak tanır. Daha fazla bilgi için bkz . Koşullu Erişim ile Azure yönetimine erişimi yönetme.
En iyi yöntem: Bağlantı noktası erişimini yalnızca iş akışı onayını aldıktan sonra etkinleştirin.
Ayrıntı: Azure VM'lerinize gelen trafiği kilitlemek için Bulut için Microsoft Defender'de tam zamanında VM erişimini kullanabilir ve gerektiğinde VM'lere bağlanmak için kolay erişim sağlarken saldırılara maruz kalma oranını azaltabilirsiniz.
En iyi yöntem: İzinlerin süresi dolduktan sonra kötü amaçlı veya yetkisiz kullanıcıların erişim kazanmasını engelleyen ayrıcalıklı görevleri gerçekleştirmek için geçici izinler verin. Erişim yalnızca kullanıcılar ihtiyaç duyduğunda verilir.
Ayrıntı: Ayrıcalıklı görevleri gerçekleştirme izinleri vermek için Microsoft Entra Privileged Identity Management'ta veya üçüncü taraf bir çözümde tam zamanında erişim kullanın.
Sıfır Güven, ağ güvenliğinin bir sonraki evrimidir. Siber saldırıların durumu, kuruluşları "ihlal varsay" anlayışını benimsemeye iter, ancak bu yaklaşımın sınırlayıcı olmaması gerekir. Sıfır Güven ağları kurumsal verileri ve kaynakları korurken, kuruluşların çalışanların her zaman, her yerde, her şekilde üretken olmalarını sağlayan teknolojileri kullanarak modern bir çalışma alanı oluşturabilmesini sağlar.
Yönlendirme davranışını denetleme
Bir sanal makineyi bir Azure sanal ağına yerleştirdiğinizde, diğer VM'ler farklı alt ağlarda olsa bile VM aynı sanal ağdaki diğer vm'lere bağlanabilir. Varsayılan olarak etkinleştirilen bir sistem yolları koleksiyonu bu iletişim türüne izin verdiğinden bu mümkündür. Bu varsayılan yollar, aynı sanal ağdaki VM'lerin birbirleriyle ve İnternet ile bağlantı başlatmasına olanak tanır (yalnızca İnternet'e giden iletişimler için).
Varsayılan sistem yolları birçok dağıtım senaryosu için yararlı olsa da, dağıtımlarınız için yönlendirme yapılandırmasını özelleştirmek istediğiniz zamanlar olabilir. Belirli hedeflere ulaşmak için sonraki atlama adresini yapılandırabilirsiniz.
Sanal ağ için bir güvenlik gereci dağıtırken kullanıcı tanımlı yolları yapılandırmanızı öneririz. Kritik Azure hizmet kaynaklarınızı yalnızca sanal ağlarınızla güvenli hale getirmek başlıklı sonraki bir bölümde bu öneriden bahsedeceğiz.
Not
Kullanıcı tanımlı yollar gerekli değildir ve varsayılan sistem yolları genellikle çalışır.
Sanal ağ gereçlerini kullanma
Ağ güvenlik grupları ve kullanıcı tanımlı yönlendirme, OSI modelinin ağ ve aktarım katmanlarında belirli bir ağ güvenliği ölçümü sağlayabilir. Ancak bazı durumlarda, yığının yüksek düzeylerinde güvenliği etkinleştirmeniz veya etkinleştirmeniz gerekir. Bu gibi durumlarda, Azure iş ortakları tarafından sağlanan sanal ağ güvenlik gereçlerini dağıtmanızı öneririz.
Azure ağ güvenlik gereçleri, ağ düzeyindeki denetimlerin sağladığından daha iyi güvenlik sağlayabilir. Sanal ağ güvenlik gereçlerinin ağ güvenlik özellikleri şunlardır:
- Güvenlik duvarı oluşturma
- İzinsiz giriş algılama/izinsiz girişi önleme
- Güvenlik açığı yönetimi
- Uygulama denetimi
- Ağ tabanlı anomali algılama
- Web filtreleme
- Virüsten Koruma
- Botnet koruması
Kullanılabilir Azure sanal ağ güvenlik gereçlerini bulmak için Azure Market gidin ve "güvenlik" ve "ağ güvenliği" araması yapın.
Güvenlik bölgeleri için çevre ağları dağıtma
Çevre ağı (DMZ olarak da bilinir), varlıklarınızla İnternet arasında ek bir güvenlik katmanı sağlayan fiziksel veya mantıksal bir ağ kesimidir. Çevre ağının kenarındaki özelleştirilmiş ağ erişim denetimi cihazları, sanal ağınıza yalnızca istenen trafiğe izin verir.
Çevre ağları, ağ erişim denetimi yönetimi, izleme, günlüğe kaydetme ve raporlama işlemlerinizi Azure sanal ağınızın kenarındaki cihazlara odaklayabileceğiniz için yararlıdır. Çevre ağı genellikle dağıtılmış hizmet reddi (DDoS) koruması, yetkisiz erişim algılama/yetkisiz erişim önleme sistemleri (IDS/IPS), güvenlik duvarı kuralları ve ilkeleri, web filtreleme, ağ kötü amaçlı yazılımdan koruma ve daha fazlasını etkinleştirdiğiniz yerdir. Ağ güvenlik cihazları İnternet ile Azure sanal ağınız arasında yer alır ve her iki ağda da bir arabirime sahiptir.
Bu bir çevre ağının temel tasarımı olsa da, arka arkaya, üç aşamalı ve çok girişli gibi birçok farklı tasarım vardır.
Daha önce bahsedilen Sıfır Güven kavramına bağlı olarak, Azure kaynaklarınız için ağ güvenliği ve erişim denetimi düzeyini geliştirmek üzere tüm yüksek güvenlikli dağıtımlar için bir çevre ağı kullanmayı göz önünde bulundurmanızı öneririz. Varlıklarınız ve İnternet arasında ek bir güvenlik katmanı sağlamak için Azure'ı veya üçüncü taraf bir çözümü kullanabilirsiniz:
- Azure yerel denetimleri. Azure Güvenlik Duvarı ve Azure Web Uygulaması Güvenlik Duvarı temel güvenlik avantajları sunar. Avantajlar, hizmet olarak tam durum bilgisi olan bir güvenlik duvarı, yerleşik yüksek kullanılabilirlik, sınırsız bulut ölçeklenebilirliği, FQDN filtrelemesi, OWASP çekirdek kural kümeleri için destek ve basit kurulum ve yapılandırmadır.
- Üçüncü taraf teklifleri. Tanıdık güvenlik araçları ve gelişmiş ağ güvenliği düzeyleri sağlayan yeni nesil güvenlik duvarı (NGFW) ve diğer üçüncü taraf teklifleri için Azure Market arayın. Yapılandırma daha karmaşık olabilir, ancak üçüncü taraf bir teklif mevcut özellikleri ve beceri kümelerini kullanmanıza olanak tanıyabilir.
Ayrılmış WAN bağlantıları ile İnternet'e maruz kalmaktan kaçının
Birçok kuruluş hibrit BT yolunu seçmiş. Hibrit BT ile şirketin bazı bilgi varlıkları Azure'da, bazıları ise şirket içinde kalır. Çoğu durumda, bir hizmetin bazı bileşenleri Azure'da çalışırken diğer bileşenler şirket içinde kalır.
Karma BT senaryosunda genellikle bir tür şirket içi şirket içi bağlantı vardır. Şirket içi ağlar arası bağlantı, şirketin şirket içi ağlarını Azure sanal ağlarına bağlamasını sağlar. İki şirket içi bağlantı çözümü mevcuttur:
- Siteden siteye VPN. Güvenilir, güvenilir ve yerleşik bir teknolojidir, ancak bağlantı İnternet üzerinden gerçekleşir. Bant genişliği yaklaşık 1,25 Gb/sn'ye kadar kısıtlanır. Siteden siteye VPN bazı senaryolarda tercih edilen bir seçenektir.
- Azure ExpressRoute. Şirket içi bağlantınız için ExpressRoute kullanmanızı öneririz. ExpressRoute, bağlantı sağlayıcı tarafından kolaylaştırılan özel bağlantı üzerinden şirket içi ağlarınızı Microsoft bulutuna genişletmenizi sağlar. ExpressRoute ile Azure, Microsoft 365 ve Dynamics 365 gibi Microsoft bulut hizmetlerine bağlantı kurabilirsiniz. ExpressRoute, şirket içi konumunuzla Microsoft Exchange barındırma sağlayıcınız arasında ayrılmış bir WAN bağlantısıdır. Bu bir telco bağlantısı olduğundan verileriniz İnternet üzerinden hareket etmez, bu nedenle İnternet iletişiminin olası risklerine maruz kalmaz.
ExpressRoute bağlantınızın konumu güvenlik duvarı kapasitesini, ölçeklenebilirliği, güvenilirliği ve ağ trafiği görünürlüğünü etkileyebilir. Mevcut (şirket içi) ağlarda ExpressRoute'u nerede sonlandırabileceğinizi belirlemeniz gerekir. Şunları yapabilirsiniz:
- Güvenlik duvarı (çevre ağı paradigması) dışında sonlandırın. Trafikle ilgili görünürlük gerekiyorsa, mevcut veri merkezlerini yalıtma uygulamasına devam etmeniz gerekiyorsa veya yalnızca Azure'a extranet kaynakları ekleniyorsanız bu öneriyi kullanın.
- Güvenlik duvarı içinde sonlandırın (ağ uzantısı paradigması). Bu varsayılan öneridir. Diğer tüm durumlarda Azure'a başka bir veri merkezi olarak davranmanızı öneririz.
Çalışma süresini ve performansı iyileştirme
Bir hizmet devre dışıysa, bilgilere erişilemiyordur. Performans o kadar düşükse ve veriler kullanılamaz durumdaysa, verilere erişilemez olduğunu düşünebilirsiniz. Güvenlik açısından bakıldığında, hizmetlerinizin en iyi çalışma süresine ve performansa sahip olduğundan emin olmak için yapabileceğiniz her şeyi yapmanız gerekir.
Kullanılabilirliği ve performansı geliştirmek için popüler ve etkili bir yöntem yük dengelemedir. Yük dengeleme, ağ trafiğini bir hizmetin parçası olan sunucular arasında dağıtma yöntemidir. Örneğin, hizmetinizin bir parçası olarak ön uç web sunucularınız varsa, trafiği birden çok ön uç web sunucunuza dağıtmak için yük dengelemeyi kullanabilirsiniz.
Web sunucularından biri kullanılamaz duruma gelirse yük dengeleyici trafiği o sunucuya göndermeyi durdurup hala çevrimiçi olan sunuculara yönlendirdiğinden trafiğin bu dağıtımı kullanılabilirliği artırır. İsteklerin sunulmasına yönelik işlemci, ağ ve bellek yükü tüm yük dengeli sunuculara dağıtıldığı için yük dengeleme de performansa yardımcı olur.
Mümkün olduğunda ve hizmetleriniz için uygun olduğunda yük dengeleme kullanmanızı öneririz. Aşağıda hem Azure sanal ağ düzeyinde hem de genel düzeyde senaryoların yanı sıra her birine yönelik yük dengeleme seçenekleri yer alır.
Senaryo: Şu şekilde bir uygulamanız vardır:
- Aynı arka uç sanal makinesine ulaşmak için aynı kullanıcı/istemci oturumundan gelen istekleri gerektirir. Buna örnek olarak alışveriş sepeti uygulamaları ve web posta sunucuları verilebilir.
- Yalnızca güvenli bir bağlantıyı kabul eder, bu nedenle sunucuyla şifrelenmemiş iletişim kabul edilebilir bir seçenek değildir.
- Aynı uzun süre çalışan TCP bağlantısında birden çok HTTP isteğinin farklı arka uç sunucularına yönlendirilmesi veya yük dengelemesi yapılmasını gerektirir.
Yük dengeleme seçeneği: HTTP web trafiği yük dengeleyici olan Azure Uygulaması Lication Gateway'i kullanın. Application Gateway, ağ geçidinde uçtan uca TLS şifrelemesini ve TLS sonlandırmayı destekler. Daha sonra web sunucuları şifreleme ve şifre çözme ek yükünden ve şifrelenmemiş olarak arka uç sunucularına akan trafikten yüklenebilir.
Senaryo: Bir Azure sanal ağında bulunan sunucularınız arasında İnternet'ten gelen bağlantıların yük dengelemesini yapmanız gerekir. Senaryolar şunlardır:
- İnternet'ten gelen istekleri kabul eden durum bilgisi olmayan uygulamalara sahip olun.
- Yapışkan oturumlar veya TLS yük boşaltması gerektirmez. Yapışkan oturumlar, sunucu benzini elde etmek için Uygulama Yük Dengeleme ile kullanılan bir yöntemdir.
Yük dengeleme seçeneği: Daha yüksek bir kullanılabilirlik düzeyi sağlamak üzere gelen istekleri birden çok VM'ye yayan bir dış yük dengeleyici oluşturmak için Azure portalını kullanın.
Senaryo: İnternet'te olmayan VM'lerden gelen bağlantıların yük dengelemesini yapmanız gerekir. Çoğu durumda, yük dengeleme için kabul edilen bağlantılar SQL Server örnekleri veya iç web sunucuları gibi bir Azure sanal ağındaki cihazlar tarafından başlatılır.
Yük dengeleme seçeneği: Daha yüksek bir kullanılabilirlik düzeyi sağlamak üzere gelen istekleri birden çok VM'ye yayan bir iç yük dengeleyici oluşturmak için Azure portalını kullanın.
Senaryo: Genel yük dengelemeye ihtiyacınız vardır çünkü:
- Birden çok bölgeye yaygın olarak dağıtılan ve mümkün olan en yüksek çalışma süresi (kullanılabilirlik) düzeyini gerektiren bir bulut çözümüne sahip olun.
- Bir veri merkezinin tamamı kullanılamaz duruma gelse bile hizmetinizin kullanılabilir durumda olduğundan emin olmak için mümkün olan en yüksek çalışma süresi düzeyine ihtiyacınız vardır.
Yük dengeleme seçeneği: Azure Traffic Manager kullanın. Traffic Manager, hizmetlerinize yönelik bağlantıların yük dengelemesini kullanıcının konumuna göre mümkün kılar.
Örneğin, kullanıcı hizmetinize AB'den bir istekte bulunursa, bağlantı bir AB veri merkezinde bulunan hizmetlerinize yönlendirilir. Traffic Manager genel yük dengelemesinin bu bölümü, en yakın veri merkezine bağlanmak uzak olan veri merkezlerine bağlanmaktan daha hızlı olduğundan performansı geliştirmeye yardımcı olur.
Sanal makinelere RDP/SSH Erişimini devre dışı bırakma
Azure sanal makinelerine Uzak Masaüstü Protokolü (RDP) ve Secure Shell (SSH) protokolü kullanarak erişmek mümkündür. Bu protokoller VM'lerin uzak konumlardan yönetilmesine olanak tanır ve veri merkezi bilgi işleminde standarttır.
Bu protokolleri İnternet üzerinden kullanmayla ilgili olası güvenlik sorunu, saldırganların Azure sanal makinelerine erişim elde etmek için deneme yanılma tekniklerini kullanabilmeleridir. Saldırganlar erişim kazandıktan sonra VM'nizi başlangıç noktası olarak kullanıp sanal ağınızdaki diğer makinelerin gizliliğini bozabilir, hatta Azure dışındaki ağa bağlı cihazlara bile saldırabilir.
Azure sanal makinelerinize İnternet'ten doğrudan RDP ve SSH erişimini devre dışı bırakmanızı öneririz. İnternet'ten doğrudan RDP ve SSH erişimi devre dışı bırakıldıktan sonra, uzaktan yönetim için bu VM'lere erişmek için kullanabileceğiniz başka seçenekleriniz vardır.
Senaryo: Tek bir kullanıcının İnternet üzerinden bir Azure sanal ağına bağlanmasına olanak tanıyın.
Seçenek: Noktadan siteye VPN , uzaktan erişim VPN istemcisi/sunucu bağlantısı için başka bir terimdir. Noktadan siteye bağlantı kurulduktan sonra kullanıcı RDP veya SSH kullanarak kullanıcının noktadan siteye VPN aracılığıyla bağlanabildiği Azure sanal ağında bulunan tüm VM'lere bağlanabilir. Bu, kullanıcının bu VM'lere erişme yetkisine sahip olduğunu varsayar.
Noktadan siteye VPN doğrudan RDP veya SSH bağlantılarından daha güvenlidir çünkü kullanıcının vm'ye bağlanmadan önce iki kez kimlik doğrulamasından geçmesi gerekir. İlk olarak, kullanıcının noktadan siteye VPN bağlantısı kurmak için kimlik doğrulaması yapması (ve yetkilendirilmesi) gerekir. İkinci olarak, kullanıcının RDP veya SSH oturumunu kurmak için kimlik doğrulaması yapması (ve yetkilendirilmiş olması) gerekir.
Senaryo: Şirket içi ağınızdaki kullanıcıların Azure sanal ağınızdaki VM'lere bağlanmasını sağlayın.
Seçenek: Siteden siteye VPN , ağın tamamını İnternet üzerinden başka bir ağa bağlar. Şirket içi ağınızı bir Azure sanal ağına bağlamak için siteden siteye VPN kullanabilirsiniz. Şirket içi ağınızdaki kullanıcılar, siteden siteye VPN bağlantısı üzerinden RDP veya SSH protokollerini kullanarak bağlanır. İnternet üzerinden doğrudan RDP veya SSH erişimine izin vermek zorunda değilsiniz.
Senaryo: Siteden siteye VPN'e benzer işlevler sağlamak için ayrılmış bir WAN bağlantısı kullanın.
Seçenek: ExpressRoute kullanın. Siteden siteye VPN'e benzer işlevler sağlar. Ana farklar şunlardır:
- Ayrılmış WAN bağlantısı İnternet'ten geçiş yapmaz.
- Ayrılmış WAN bağlantıları genellikle daha kararlıdır ve daha iyi performans gösterir.
Kritik Azure hizmet kaynaklarınızın güvenliğini yalnızca sanal ağlarınızla sağlama
Sanal ağınızdaki özel bir uç nokta üzerinden Azure PaaS Hizmetleri'ne (örneğin, Azure Depolama ve SQL Veritabanı) erişmek için Azure Özel Bağlantı kullanın. Özel Uç Noktalar, kritik Azure hizmet kaynaklarınızı yalnızca sanal ağlarınızla korumanıza olanak sağlar. Sanal ağınızdan Azure hizmetine gelen trafik her zaman Microsoft Azure omurga ağında kalır. Azure PaaS Hizmetleri'ni kullanmak için sanal ağınızı genel İnternet'e ifşa etmek artık gerekli değildir.
Azure Özel Bağlantı aşağıdaki avantajları sağlar:
- Azure hizmet kaynaklarınız için geliştirilmiş güvenlik: Azure Özel Bağlantı ile Azure hizmet kaynaklarının güvenliği özel uç nokta kullanılarak sanal ağınıza sağlanabilir. Hizmet kaynaklarının sanal ağdaki özel bir uç noktaya güvenliğini sağlamak, kaynaklara genel İnternet erişimini tamamen kaldırarak ve yalnızca sanal ağınızdaki özel uç noktadan gelen trafiğe izin vererek gelişmiş güvenlik sağlar.
- Azure platformunda Azure hizmet kaynaklarına özel erişim: Özel uç noktaları kullanarak sanal ağınızı Azure'daki hizmetlere bağlayın. Genel IP adresine gerek yoktur. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler.
- Şirket içi ve eşlenmiş ağlardan erişim: Özel uç noktaları kullanarak ExpressRoute özel eşlemesi, VPN tünelleri ve eşlenmiş sanal ağlar üzerinden şirket içinden Azure'da çalışan hizmetlere erişin. Hizmete ulaşmak için ExpressRoute Microsoft eşlemesini yapılandırmaya veya İnternet'ten geçiş yapmaya gerek yoktur. Özel Bağlantı, iş yüklerini Azure'a geçirmek için güvenli bir yol sağlar.
- Veri sızıntısına karşı koruma: Özel uç nokta, hizmetin tamamı yerine PaaS kaynağının bir örneğine eşlenir. Tüketiciler yalnızca belirli bir kaynağa bağlanabilir. Hizmetteki diğer kaynaklara erişim engellenir. Bu mekanizma, veri sızıntısı risklerine karşı koruma sağlar.
- Genel erişim: Diğer bölgelerde çalışan hizmetlere özel olarak bağlanın. Tüketicinin sanal ağı A bölgesinde olabilir ve B bölgesindeki hizmetlere bağlanabilir.
- Kurulumu ve yönetimi basit: Azure kaynaklarının güvenliğini bir IP güvenlik duvarı üzerinden sağlamak için artık sanal ağlarınızda ayrılmış, genel IP adreslerine ihtiyacınız yoktur. Özel uç noktaları ayarlamak için gereken NAT veya ağ geçidi cihazı yoktur. Özel uç noktalar basit bir iş akışı aracılığıyla yapılandırılır. Hizmet tarafında, Azure hizmet kaynağınızdaki bağlantı isteklerini de kolayca yönetebilirsiniz. Azure Özel Bağlantı, farklı Microsoft Entra kiracılarına ait tüketiciler ve hizmetler için de çalışır.
Özel uç noktalar ve özel uç noktaların kullanılabilir olduğu Azure hizmetleri ve bölgeleri hakkında daha fazla bilgi edinmek için bkz. Azure Özel Bağlantı.
Sonraki adımlar
Azure kullanarak bulut çözümlerinizi tasarlarken, dağıtırken ve yönetirken kullanabileceğiniz daha fazla güvenlik en iyi uygulaması için bkz . Azure güvenlik en iyi yöntemleri ve desenleri .