Azure ağ güvenliğine genel bakış

Ağ güvenliği, ağ trafiğini denetleyerek kaynakları yetkisiz erişime veya saldırılara karşı korur. Azure, her katmanda güvenlik denetimleriyle uygulama ve hizmet bağlantı gereksinimlerinizi desteklemek için güçlü bir ağ altyapısı sağlar.

Bu makale, Azure'daki temel ağ güvenlik özelliklerini kapsar:

• Ağ erişim denetimi
• Azure Güvenlik Duvarı
• Uzaktan erişimin ve şirket içi bağlantıların güvenliğini sağlama
• Kullanılabilirlik ve yük dengeleme
• Ad çözümleme
• DDoS protection
• Azure Ön Kapı
• İzleme ve tehdit algılama

Uyarı

Web iş yükleri için, DDoS saldırılarına karşı koruma sağlamak için Azure DDoS Koruması ve bir web uygulaması güvenlik duvarı kullanmanızı öneririz. Web uygulaması güvenlik duvarına sahip Azure Front Door, ağ düzeyinde DDoS saldırılarına karşı platform düzeyinde koruma sağlar.

Azure Sanal Ağ

Azure Sanal Ağ, Azure'daki özel ağınız için temel yapı taşıdır. Her sanal ağ diğer sanal ağlardan yalıtılır ve dağıtımlarınızdaki ağ trafiğinin diğer Azure müşterileri tarafından erişilebilir olmamasını sağlar. Sanal ağlar, Azure kaynaklarının birbirleriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar.

Daha fazla bilgi edinin:

• Azure Sanal Ağ'a genel bakış
• Sanal ağları planlama

Ağ erişim denetimi

Ağ erişim denetimi, bir sanal ağ içindeki belirli cihazlara veya alt ağlara bağlantıyı sınırlar. Amaç, sanal makinelerinize ve hizmetlerinize erişimi onaylı kullanıcılar ve cihazlarla kısıtlamaktır.

Ağ Güvenlik Grupları

Ağ Güvenlik Grupları (NSG), IP adresi ve TCP/UDP protokollerine göre temel, durum bilgisi olan paket filtrelemesi sağlar. NSG'ler erişimi 5 tanımlama grubu (kaynak IP, kaynak bağlantı noktası, hedef IP, hedef bağlantı noktası, protokol) kullanarak denetler.

NSG'ler yönetimi basitleştirmeye yönelik özellikler içerir:

• Artırılmış güvenlik kuralları: Aynı sonucu elde etmek için birden çok basit kural yerine karmaşık kurallar oluşturma
• Hizmet etiketleri: Dinamik olarak güncelleştirilen IP adresi gruplarını temsil eden Microsoft tarafından yönetilen etiketler
• Uygulama güvenlik grupları: Kaynakları uygulama grupları halinde düzenleme ve bu gruplara göre erişimi denetleme

Daha fazla bilgi edinin:

• Ağ Güvenlik Grupları
• Ağ güvenliği için en iyi uygulamalar

Hizmet uç noktaları

Sanal Ağ hizmet uç noktaları, sanal ağ özel adres alanınızı doğrudan bağlantı üzerinden Azure hizmetlerine genişletir. Hizmet uç noktaları Trafiği Azure omurga ağında tutar ve yalnızca sanal ağlarınızla desteklenen hizmetlerle iletişimi kısıtlar.

Daha fazla bilgi edinin:

• Sanal Ağ hizmet uç noktaları

Azure Özel Bağlantı

Azure Özel Bağlantı bir sanal ağdan Azure PaaS hizmetlerine, müşteriye ait hizmetlere veya Microsoft iş ortağı hizmetlerine özel bağlantı sağlar. Özel Bağlantı trafiği Microsoft Azure omurga ağında kalır ve genel İnternet'e maruz kalma durumunu ortadan kaldırır.

Daha fazla bilgi edinin:

• Azure Özel Bağlantı nedir?
• Özel uç noktalar

Azure Güvenlik Duvarı

Azure Güvenlik Duvarı, bulut iş yükleri için tehdit koruması sağlayan bulutta yerel, akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Tam durum bilgili bir hizmet olarak güvenlik duvarı, yerleşik yüksek erişilebilirlik ve sınırsız bulut ölçeklenebilirliği ile sunulmaktadır.

Azure Güvenlik Duvarı üç SKU'da kullanılabilir:

• Azure Güvenlik Duvarı Temel: Küçük ve orta ölçekli işletmeler için basitleştirilmiş güvenlik
• Azure Güvenlik Duvarı Standart: Microsoft Siber Güvenlik'ten L3-L7 filtreleme ve tehdit bilgileri
• Azure Güvenlik Duvarı Premium: Hızlı saldırı algılama için imza tabanlı IDPS dahil gelişmiş özellikler

Daha fazla bilgi edinin:

• Azure Güvenlik Duvarı nedir?
• Doğru Azure Güvenlik Duvarı SKU'sunu seçin
• Tehdit algılama ve korumaya genel bakış

Uzaktan erişimin ve şirket içi bağlantıların güvenliğini sağlama

Azure, Azure kaynaklarını yönetmek ve karma BT çözümleri dağıtmak için çeşitli güvenli uzaktan erişim senaryolarını destekler.

Noktadan siteye VPN

Noktadan siteye VPN bağlantıları, tek tek kullanıcıların bir sanal ağa özel, güvenli bağlantılar kurmasını sağlar. Kullanıcılar kimlik doğrulaması yaptıktan sonra Azure'daki sanal makinelere ve hizmetlere erişebilir. Noktadan siteye VPN şu desteği destekler:

• Güvenli Yuva Tünel Protokolü (SSTP): Özel SSL tabanlı VPN protokolü (Windows cihazları)
• IKEv2 VPN: Standartlara dayalı IPsec VPN çözümü (Mac cihazlar)
• OpenVPN Protokolü: SSL/TLS tabanlı VPN protokolü (Android, iOS, Windows, Linux ve Mac cihazları)

Daha fazla bilgi edinin:

• Noktadan siteye VPN hakkında
• Noktadan siteye VPN bağlantısı yapılandırma

Siteler arası VPN

Siteden siteye VPN Gateway bağlantıları, şirket içi ağınızla Azure sanal ağları arasında güvenli şirket içi ağlar arası bağlantı kurar. Siteden siteye VPN'ler yüksek oranda güvenli IPsec tünel modu VPN protokollerini kullanır.

VPN Gateway, bir hizmetin bölümlerinin hem Azure'da hem de şirket içinde barındırıldığı karma BT senaryoları için gereklidir.

Daha fazla bilgi edinin:

• VPN Gateway hakkında
• Siteden siteye bağlantı oluşturma

ExpressRoute

ExpressRoute, şirket içi ağınızla Microsoft bulut hizmetleri arasında ayrılmış WAN bağlantıları sağlar. ExpressRoute bağlantıları genel İnternet'ten geçmez ve İnternet bağlantılarına kıyasla gelişmiş güvenlik, güvenilirlik, hız ve daha düşük gecikme süresi sunar.

ExpressRoute şu desteği destekler:

• ExpressRoute Direct: Microsoft genel ağına doğrudan bağlantı
• ExpressRoute Global Reach: ExpressRoute bağlantı hatları aracılığıyla şirket içi siteleriniz arasındaki bağlantı

Daha fazla bilgi edinin:

• ExpressRoute'a genel bakış
• ExpressRoute bağlantı modelleri

VNet eşlemesi

Sanal Ağ eşlemesi iki Azure sanal ağını birbirine bağlayarak iki ağdaki kaynakların birbiriyle iletişim kurmasını sağlar. VNet eşlemesi, genel interneti atlayarak Microsoft omurga altyapısını kullanır. Eşleme, aynı Azure bölgesinde veya farklı bölgelerdeki bağlantıları destekler (genel sanal ağ eşlemesi).

Daha fazla bilgi edinin:

• Sanal ağ eşleme
• VNet eşlemesi oluştur

Kullanılabilirlik ve yük dengeleme

Yük dengeleme, kullanılabilirliği ve performansı artırmak için bağlantıları birden çok cihaza dağıtır. Azure çeşitli yük dengeleme seçenekleri sunar.

Azure Yük Dengeleyici

Azure Load Balancer, tüm UDP ve TCP protokolleri için yüksek performanslı, düşük gecikme süreli Katman 4 yük dengelemesi sağlar. Load Balancer, gelen trafiği yapılandırılan kurallara ve sistem durumu yoklamalarına göre arka uç örneklerine dağıtır.

Load Balancer özellikleri şunlardır:

• İç ve dış yük dengeleme senaryoları için destek
• Alanlar arası yedeklilik ve bölgesel dağıtımlar
• TCP ve UDP uygulama desteği
• Arka uç örneği kullanılabilirliğini belirlemek için sistem durumu yoklamaları

Daha fazla bilgi edinin:

• Azure Load Balancer nedir?
• Standart Load Balancer ve kullanılabilirlik alanları

Azure Application Gateway

Azure Application Gateway, web uygulamalarınıza yönelik trafiği yöneten bir web trafiği yük dengeleyicidir (Katman 7). Application Gateway, URI yolu veya konak üst bilgileri gibi HTTP isteği özniteliklerine göre yönlendirme kararları alır.

Application Gateway özellikleri şunlardır:

• Merkezi koruma için Web Uygulaması Güvenlik Duvarı (WAF)
• Web sunucularında şifreleme ek yükünü azaltmak için TLS sonlandırma
• Tanımlama bilgisi tabanlı oturum benzimliği
• URL tabanlı içerik yönlendirme
• Otomatik ölçeklendirme ve alanlar arası yedeklilik

Daha fazla bilgi edinin:

• Azure Application Gateway nedir?
• Application Gateway bileşenleri

Azure Traffic Manager

Azure Traffic Manager, trafiği genel Azure bölgelerindeki hizmetlere en iyi şekilde dağıtan DNS tabanlı bir trafik yük dengeleyicidir. Traffic Manager, istemci isteklerini trafik yönlendirme yöntemine ve uç nokta durumuna göre en uygun hizmet uç noktasına yönlendirerek yüksek kullanılabilirlik ve yanıt süresi sağlar.

Traffic Manager, öncelik, ağırlıklı, performans, coğrafi, çok değerli ve alt ağ yönlendirme dahil olmak üzere birden çok yönlendirme yöntemini destekler.

Daha fazla bilgi edinin:

• Traffic Manager nedir?
• Traffic Manager yönlendirme yöntemleri

Ad çözümleme

Güvenli ad çözümlemesi, bulutta barındırılan tüm hizmetler için çok önemlidir. Güvenliği aşılmış ad çözümleme işlevleri istekleri kötü amaçlı sitelere yönlendirebilir.

Azure DNS

Azure DNS, Microsoft Azure altyapısını kullanarak yüksek oranda kullanılabilir ve performanslı ad çözümlemesi sağlar. Azure DNS tarafından desteklenenler:

• Azure genel altyapısında barındırılan genel DNS etki alanları
• Sanal ağlar içinde ve sanal ağlar arasında ad çözümlemesi için özel DNS bölgeleri
• Özel ve genel sorgular için aynı etki alanı adının farklı çözümlendiği bölünmüş ufuk DNS senaryoları

Daha fazla bilgi edinin:

• Azure DNS'ye genel bakış
• Azure Özel DNS bölgeleri

DDoS protection

Dağıtılmış hizmet reddi (DDoS) saldırıları, uygulamaları buluta taşınan müşterilerin en büyük kullanılabilirlik ve güvenlik endişeleri arasındadır. Azure DDoS Koruması, Azure kaynaklarını DDoS saldırılarına karşı korur.

Azure DDoS Koruması SKU'ları:

• DDoS Altyapı Koruması: Tüm Azure özelliklerinde varsayılan olarak ek ücret ödemeden etkinleştirilen temel koruma
• DDoS Ağ Koruması: Uyarlamalı ayarlama, azaltma ilkeleri ve izleme ile sanal ağlardaki kaynaklar için gelişmiş koruma

DDoS Ağ Koruması özellikleri şunlardır:

• Azure portalı üzerinden yapılandırmayla yerel platform entegrasyonu
• Her zaman açık trafik izleme ve gerçek zamanlı risk azaltma
• Risk azaltma raporları ve akış günlükleri de dahil olmak üzere saldırı analizi
• Uygulama trafiği desenlerine göre uyarlamalı ayarlama
• Veri aktarımı ve uygulama ölçeği genişletme hizmeti kredileri dahil maliyet garantisi

Daha fazla bilgi edinin:

• Azure DDoS Koruması'ne genel bakış
• DDoS Korumasını Yönetme

Azure Ön Kapı

Azure Front Door, hızlı, güvenli ve geniş ölçekte ölçeklenebilir web uygulamaları oluşturmak için Microsoft genel uç ağını kullanan küresel, ölçeklenebilir bir giriş noktasıdır. Front Door Katman 7 yük dengeleme, TLS sonlandırma, URL tabanlı yönlendirme ve tümleşik güvenlik sağlar.

Front Door özellikleri şunlardır:

• Anlık yük devretme ile genel HTTP yük dengelemesi
• Uçta TLS sonlandırma
• URL yol tabanlı yönlendirme
• Tanımlama bilgisi tabanlı oturum benzimliği
• Web Uygulaması Güvenlik Duvarı koruması
• Platform düzeyinde DDoS koruması
• Arka uç kaynaklarını korumak için Özel Bağlantı entegrasyonu

Daha fazla bilgi edinin:

• Azure Front Door nedir?
• Front Door yönlendirme mimarisi

İzleme ve tehdit algılama

Azure, ağ güvenliğini izlemek ve tehditleri algılamak için araçlar sağlar.

Azure Ağ İzleyicisi

Azure Ağ İzleyicisi, Azure'da ağınızı izlemek, tanılamak ve içgörüler elde etmek için araçlar sağlar.

Ağ İzleyicisi özellikleri şunlardır:

• Bağlantı İzleyicisi: Azure kaynakları ve uç noktaları arasındaki bağlantıyı izler
• NSG akış günlükleri: Ağ Güvenlik Grupları aracılığıyla akan IP trafiği hakkındaki bilgileri günlüğe kaydeder
• Paket yakalama: Sanal makinelere gelen ve sanal makinelerden gelen ağ trafiğini yakalar
• VPN sorunlarını giderme: VPN Ağ Geçitleri ve bağlantılarla ilgili sorunları tanılar
• Ağ tanılama: Ağ yapılandırmasını doğrular ve güvenlik sorunlarını tanımlar

Daha fazla bilgi edinin:

• Azure Ağ İzleyicisi nedir?
• Ağ İzleyicisi izlemeye genel bakış

Bulut için Microsoft Defender

Bulut için Microsoft Defender, Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim ile tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Bulut için Defender ağ güvenlik önerileri sağlar, ağ güvenlik yapılandırmasını izler ve ağ tabanlı tehditler konusunda sizi uyarır.

Daha fazla bilgi edinin:

• Microsoft Defender for Cloud'a Giriş
• Ağ kaynaklarınızı koruma
• Tehdit algılamaya genel bakış

Sonraki Adımlar

• Azure güvenliğinin en iyi uygulamaları ve örüntüleri
• Ağ güvenliği için en iyi uygulamalar
• Kimlik yönetimi güvenliğine genel bakış
• Tehdit algılama ve koruma