Azure ağ güvenliğine genel bakış

Ağ güvenliği, ağ trafiğine denetimler uygulayarak kaynakları yetkisiz erişimden veya saldırıdan koruma işlemi olarak tanımlanabilir. Amaç, yalnızca meşru trafiğe izin verildiğinden emin olmaktır. Azure, uygulama ve hizmet bağlantı gereksinimlerinizi desteklemek için sağlam bir ağ altyapısı içerir. Azure'da bulunan kaynaklar arasında, şirket içinde ve Azure'da barındırılan kaynaklar arasında ve İnternet ile Azure arasında ağ bağlantısı mümkündür.

Bu makale, Azure'ın ağ güvenliği alanında sunduğu bazı seçenekleri kapsar. Şu konularda bilgi edinebilirsiniz:

• Azure ağı
• Ağ erişim denetimi
• Azure Güvenlik Duvarı
• Uzaktan erişimin ve şirket içi bağlantıların güvenliğini sağlama
• Kullanılabilirlik
• Ad çözümlemesi
• Çevre ağı (DMZ) mimarisi
• Azure DDoS koruması
• Azure Front Door
• Traffic manager
• İzleme ve tehdit algılama

Not

Web iş yükleri için, yeni ortaya çıkan DDoS saldırılarına karşı koruma sağlamak için Azure DDoS koruması ve web uygulaması güvenlik duvarı kullanmanızı kesinlikle öneririz. Bir diğer seçenek de Azure Front Door'un yanı sıra bir web uygulaması güvenlik duvarı dağıtmaktır. Azure Front Door, ağ düzeyinde DDoS saldırılarına karşı platform düzeyinde koruma sunar.

Azure ağı

Azure, sanal makinelerin bir Azure Sanal Ağ bağlı olmasını gerektirir. Sanal ağ, fiziksel Azure ağ dokusunun üzerine kurulmuş bir mantıksal yapıdır. Her sanal ağ diğer tüm sanal ağlardan yalıtılır. Bu, dağıtımlarınızdaki ağ trafiğinin diğer Azure müşterileri tarafından erişilebilir olmamasını sağlamaya yardımcı olur.

Daha fazla bilgi edinin:

• Sanal ağa genel bakış

Ağ erişim denetimi

Ağ erişim denetimi, bir sanal ağ içindeki belirli cihazlara veya alt ağlara veya alt ağlardan gelen bağlantıyı sınırlama işlemidir. Ağ erişim denetiminin amacı, sanal makinelerinize ve hizmetlerinize erişimi onaylı kullanıcılar ve cihazlarla sınırlamaktır. Erişim denetimleri, sanal makinenize veya hizmetinize gelen ve giden bağlantılara izin verme veya reddetme kararlarını temel alır.

Azure desteği çeşitli ağ erişim denetimi türleri vardır, örneğin:

• Ağ katmanı denetimi
• Yol denetimi ve zorlamalı tünel
• Sanal ağ güvenlik gereçleri

Ağ katmanı denetimi

Herhangi bir güvenli dağıtım, ağ erişim denetiminin bir ölçüsünü gerektirir. Ağ erişim denetiminin amacı, sanal makine iletişimini gerekli sistemlerle kısıtlamaktır. Diğer iletişim girişimleri engellenir.

Not

Depolama Güvenlik Duvarları, Azure depolama güvenliğine genel bakış makalesinde ele alınmıştır

Ağ güvenlik kuralları (NSG)

Temel ağ düzeyinde erişim denetimine ihtiyacınız varsa (IP adresi ve TCP veya UDP protokollerine göre), Ağ Güvenlik Grupları'nı (NSG' ler) kullanabilirsiniz. NSG temel, durum bilgisi olan bir paket filtreleme güvenlik duvarıdır ve erişimi 5 tanımlama grubu temelinde denetlemenize olanak tanır. NSG'ler yönetimi basitleştirmeye ve yapılandırma hataları olasılığını azaltmaya yönelik işlevler içerir:

• Artırılmış güvenlik kuralları NSG kural tanımını basitleştirir ve aynı sonucu elde etmek için birden çok basit kural oluşturmak zorunda kalmadan karmaşık kurallar oluşturmanıza olanak sağlar.
• Hizmet etiketleri , Bir IP adresi grubunu temsil eden Microsoft tarafından oluşturulan etiketlerdir. Bunlar, etikete eklemeyi tanımlayan koşulları karşılayan IP aralıklarını içerecek şekilde dinamik olarak güncelleştirilir. Örneğin, doğu bölgesindeki tüm Azure depolama için geçerli olan bir kural oluşturmak istiyorsanız Storage.EastUS kullanabilirsiniz
• Uygulama güvenlik grupları , uygulama gruplarına kaynak dağıtmanıza ve bu uygulama gruplarını kullanan kurallar oluşturarak bu kaynaklara erişimi denetlemenize olanak sağlar. Örneğin, 'Web sunucuları' uygulama grubuna dağıtılan web sunucularınız varsa, İnternet'ten 'Webservers' uygulama grubundaki tüm sistemlere 443 trafiğine izin veren bir NSG uygulayan bir kural oluşturabilirsiniz.

NSG'ler uygulama katmanı denetimi veya kimliği doğrulanmış erişim denetimleri sağlamaz.

Daha fazla bilgi edinin:

• Ağ Güvenlik Grupları

tam zamanında VM erişimi Bulut için Defender

Bulut için Microsoft Defender, uygun Azure rol tabanlı erişim denetimine sahip bir kullanıcı Erişim isteğinde bulunana kadar VM'lerdeki NSG'leri yönetebilir ve VM'ye erişimi kilitleyebilir. Kullanıcı başarıyla yetkilendirildiğinde Bulut için Defender belirtilen süre boyunca seçili bağlantı noktalarına erişime izin vermek için NSG'lerde değişiklikler yapar. Süre dolduğunda NSG'ler önceki güvenli durumlarına geri yüklenir.

Daha fazla bilgi edinin:

• Bulut için Microsoft Defender Tam Zamanında Erişim

Hizmet uç noktaları

Hizmet uç noktaları, trafiğiniz üzerinde denetim uygulamanın başka bir yoludur. Desteklenen hizmetlerle iletişimi doğrudan bağlantı üzerinden yalnızca sanal ağlarınızla sınırlayabilirsiniz. Sanal ağınızdan belirtilen Azure hizmetine gelen trafik Microsoft Azure omurga ağında kalır.

Daha fazla bilgi edinin:

• Hizmet uç noktaları

Yol denetimi ve zorlamalı tünel

Sanal ağlarınızda yönlendirme davranışını denetleme özelliği kritik önem taşır. Yönlendirme yanlış yapılandırılmışsa, sanal makinenizde barındırılan uygulamalar ve hizmetler, olası saldırganların sahip olduğu ve çalıştırdığı sistemler de dahil olmak üzere yetkisiz cihazlara bağlanabilir.

Azure ağı, sanal ağlarınızda ağ trafiği için yönlendirme davranışını özelleştirme özelliğini destekler. Bu, sanal ağınızdaki varsayılan yönlendirme tablosu girişlerini değiştirmenize olanak tanır. Yönlendirme davranışının denetimi, belirli bir cihaz veya cihaz grubundan gelen tüm trafiğin belirli bir konum üzerinden sanal ağınıza girdiğinden veya sanal ağınızdan ayrıldığından emin olmanıza yardımcı olur.

Örneğin, sanal ağınızda bir sanal ağ güvenlik gereci olabilir. Sanal ağınıza gelen ve giden tüm trafiğin bu sanal güvenlik gerecinden geçtiğinden emin olmak istiyorsunuz. Azure'da Kullanıcı Tanımlı Yolları (UDF) yapılandırarak bunu yapabilirsiniz.

Zorlamalı tünel, hizmetlerinizin İnternet'te cihazlara bağlantı başlatmasına izin verilmediğinden emin olmak için kullanabileceğiniz bir mekanizmadır. Bunun gelen bağlantıları kabul etme ve sonra bunlara yanıt verme işlemlerinden farklı olduğunu unutmayın. Ön uç web sunucularının İnternet ana bilgisayarlarından gelen isteklere yanıt vermesi gerekir ve bu nedenle bu web sunucularına gelen İnternet kaynaklı trafiğe izin verilir ve web sunucularının yanıt vermesine izin verilir.

İzin vermek istemediğiniz şey, giden isteği başlatmak için bir ön uç web sunucusudur. Bu bağlantılar kötü amaçlı yazılım indirmek için kullanılabildiğinden bu tür istekler bir güvenlik riskini temsil edebilir. Bu ön uç sunucularının İnternet'e giden istekler başlatmasını istemeseniz bile, bunları şirket içi web proxy'lerinize gitmeye zorlamak isteyebilirsiniz. Bu, URL filtreleme ve günlüğe kaydetme özelliğinden yararlanmanızı sağlar.

Bunun yerine, bunu önlemek için zorlamalı tünel kullanmak istersiniz. Zorlamalı tüneli etkinleştirdiğinizde, İnternet'e yönelik tüm bağlantılar şirket içi ağ geçidiniz üzerinden zorlanır. UDR'lerden yararlanarak zorlamalı tünel yapılandırabilirsiniz.

Daha fazla bilgi edinin:

• Kullanıcı Tanımlı Yollar ve IP İletme nedir?

Sanal ağ güvenlik gereçleri

NSG'ler, UDF'ler ve zorlamalı tüneller size OSI modelinin ağ ve aktarım katmanlarında bir güvenlik düzeyi sağlarken, ağın üst düzeylerinde de güvenliği etkinleştirmek isteyebilirsiniz.

Örneğin, güvenlik gereksinimleriniz şunları içerebilir:

• Uygulamanıza erişime izin vermeden önce kimlik doğrulaması ve yetkilendirme
• İzinsiz giriş algılama ve yetkisiz erişim yanıtı
• Üst düzey protokoller için uygulama katmanı denetimi
• URL filtreleme
• Ağ düzeyinde virüsten koruma ve Kötü amaçlı yazılımdan koruma
• Bot koruması
• Uygulama erişim denetimi
• Ek DDoS koruması (Azure dokusu tarafından sağlanan DDoS korumasının üzerinde)

Bu gelişmiş ağ güvenliği özelliklerine bir Azure iş ortağı çözümü kullanarak erişebilirsiniz. Azure Market ziyaret edip "güvenlik" ve "ağ güvenliği" araması yaparak en güncel Azure iş ortağı ağ güvenlik çözümlerini bulabilirsiniz.

Azure Güvenlik Duvarı

Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için tehdit koruması sağlayan bulutta yerel ve akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik oranına ve kısıtlamasız bulut ölçeklenebilirliğine sahip, tam durum bilgisi olan bir hizmet olarak güvenlik duvarıdır. Hem doğu-batı hem de kuzey-güney trafik denetimi sağlar.

Azure Güvenlik Duvarı üç SKU'da sunulur: Standart, Premium ve Temel. Azure Güvenlik Duvarı Standard, doğrudan Microsoft Siber Güvenlik'ten L3-L7 filtreleme ve tehdit bilgileri akışları sağlar. Azure Güvenlik Duvarı Premium, belirli desenleri arayarak saldırıların hızlı algılanması için imza tabanlı IDPS'yi içeren gelişmiş özellikler sağlar. Azure Güvenlik Duvarı Basic, Standart SKU ile aynı düzeyde güvenlik sağlayan ancak gelişmiş özelliklere sahip olmayan basitleştirilmiş bir SKU'dur.

Daha fazla bilgi edinin:

• Azure Güvenlik Duvarı nedir?

Uzaktan erişimin ve şirket içi bağlantıların güvenliğini sağlama

Azure kaynaklarınızın kurulumu, yapılandırması ve yönetiminin uzaktan yapılması gerekir. Ayrıca, şirket içinde ve Azure genel bulutunda bileşenleri olan karma BT çözümleri dağıtmak isteyebilirsiniz. Bu senaryolar güvenli uzaktan erişim gerektirir.

Azure ağı aşağıdaki güvenli uzaktan erişim senaryolarını destekler:

• Tek tek iş istasyonlarını bir sanal ağa bağlama
• Şirket içi ağınızı VPN ile bir sanal ağa bağlama
• Şirket içi ağınızı ayrılmış WAN bağlantısıyla bir sanal ağa bağlama
• Sanal ağları birbirine bağlama

Tek tek iş istasyonlarını bir sanal ağa bağlama

Tek tek geliştiricilerin veya operasyon personelinin Azure'daki sanal makineleri ve hizmetleri yönetmesini sağlamak isteyebilirsiniz. Örneğin, sanal ağdaki bir sanal makineye erişmeniz gerektiğini varsayalım. Ancak güvenlik ilkeniz tek tek sanal makinelere RDP veya SSH uzaktan erişimine izin vermez. Bu durumda noktadan siteye VPN bağlantısı kullanabilirsiniz.

Noktadan siteye VPN bağlantısı, kullanıcı ile sanal ağ arasında özel ve güvenli bir bağlantı kurmanızı sağlar. VPN bağlantısı kurulduğunda, kullanıcı VPN bağlantısı üzerinden sanal ağdaki herhangi bir sanal makineye RDP veya SSH yapabilir. (Bu, kullanıcının kimlik doğrulaması yapabileceğinizi ve yetkilendirildiğini varsayar.) Noktadan siteye VPN şu desteği destekler:

• Özel bir SSL tabanlı VPN protokolü olan Güvenli Yuva Tünel Protokolü (SSTP). Çoğu güvenlik duvarı TLS/SSL'nin kullandığı TCP bağlantı noktası 443'i açtığından, SSL VPN çözümü güvenlik duvarlarına nüfuz edebilir. SSTP yalnızca Windows cihazlarında desteklenir. SSTP (Windows 7 ve üzeri) içeren tüm Windows sürümlerini Azure desteği.

• IKEv2 VPN, standart tabanlı bir IPsec VPN çözümüdür. IKEv2 VPN, Mac cihazlardan (OSX sürüm 10.11 ve üzeri) bağlantı kurmak için kullanılabilir.

• OpenVPN

Daha fazla bilgi edinin:

• PowerShell kullanarak sanal ağa noktadan siteye bağlantı yapılandırma

Şirket içi ağınızı VPN ile bir sanal ağa bağlama

Şirket ağınızın tamamını veya bir kısmını bir sanal ağa bağlamak isteyebilirsiniz. Bu, kuruluşların şirket içi veri merkezini Azure'a genişlettiği karma BT senaryolarında yaygındır. Çoğu durumda kuruluşlar Azure'da bir hizmetin bölümlerini ve şirket içindeki bölümleri barındırmaktadır. Örneğin, bir çözüm Azure'da ön uç web sunucuları ve şirket içi arka uç veritabanları içerdiğinde bunu yapabilir. Bu tür "şirket içi" bağlantılar ayrıca Azure'da bulunan kaynakların yönetimini daha güvenli hale getirir ve Active Directory etki alanı denetleyicilerini Azure'a genişletme gibi senaryoları etkinleştirir.

Bunu gerçekleştirmenin bir yolu siteden siteye VPN kullanmaktır. Siteden siteye VPN ile noktadan siteye VPN arasındaki fark, ikincinin tek bir cihazı sanal ağa bağlamasıdır. Siteden siteye VPN, ağın tamamını (şirket içi ağınız gibi) bir sanal ağa bağlar. Sanal ağa yönelik siteden siteye VPN'ler, yüksek oranda güvenli IPsec tünel modu VPN protokollerini kullanır.

Daha fazla bilgi edinin:

• Azure portalını kullanarak siteden siteye VPN bağlantısıyla Resource Manager sanal ağı oluşturma
• VPN Gateway hakkında

Şirket içi ağınızı ayrılmış WAN bağlantısıyla bir sanal ağa bağlama

Noktadan siteye ve siteden siteye VPN bağlantıları, şirket içi bağlantıları etkinleştirmek için etkilidir. Ancak, bazı kuruluşlar bunları aşağıdaki dezavantajlara sahip olarak değerlendirir:

• VPN bağlantıları verileri İnternet üzerinden taşır. Bu, bu bağlantıları, verileri genel ağ üzerinden taşımayla ilgili olası güvenlik sorunlarıyla karşı karşıya bırakır. Ayrıca, İnternet bağlantıları için güvenilirlik ve kullanılabilirlik garanti edilemez.
• Sanal ağlara yönelik VPN bağlantıları, yaklaşık 200 Mb/sn'lik bir maksimum değere ulaştıklarından bazı uygulamalar ve amaçlar için bant genişliğine sahip olmayabilir.

Şirket içi bağlantıları için en yüksek güvenlik ve kullanılabilirlik düzeyine ihtiyaç duyan kuruluşlar genellikle uzak sitelere bağlanmak için ayrılmış WAN bağlantılarını kullanır. Azure, şirket içi ağınızı bir sanal ağa bağlamak için kullanabileceğiniz ayrılmış bir WAN bağlantısı kullanma olanağı sağlar. Azure ExpressRoute, Express route direct ve Express route global reach bunu sağlar.

Daha fazla bilgi edinin:

• ExpressRoute teknik genel bakış
• ExpressRoute doğrudan
• Express route global reach

Sanal ağları birbirine bağlama

Dağıtımlarınız için birçok sanal ağ kullanabilirsiniz. Bunu yapmanızın çeşitli nedenleri vardır. Yönetimi basitleştirmek veya güvenliği artırmak isteyebilirsiniz. Kaynakları farklı sanal ağlara yerleştirme motivasyonu ne olursa olsun, ağların her birinde bulunan kaynakların birbiriyle bağlantı kurmasını istediğiniz zamanlar olabilir.

Bir seçenek, bir sanal ağdaki hizmetlerin İnternet üzerinden "geri döngü" yaparak başka bir sanal ağdaki hizmetlere bağlanmasıdır. Bağlantı tek bir sanal ağda başlar, İnternet üzerinden geçer ve ardından hedef sanal ağa geri döner. Bu seçenek, İnternet tabanlı iletişimin doğasında yer alan güvenlik sorunlarıyla bağlantıyı kullanıma sunar.

İki sanal ağ arasında bağlanan bir siteden siteye VPN oluşturmak daha iyi bir seçenek olabilir. Bu yöntem, yukarıda bahsedilen şirket içi siteler arası VPN bağlantısıyla aynı IPSec tünel modu protokollerini kullanır.

Bu yaklaşımın avantajı, VPN bağlantısının İnternet üzerinden bağlanmak yerine Azure ağ dokusu üzerinden kurulmasıdır. Bu, İnternet üzerinden bağlanan siteden siteye VPN'lere kıyasla ek bir güvenlik katmanı sağlar.

Daha fazla bilgi edinin:

• Azure Resource Manager ve PowerShell kullanarak sanal ağdan sanal ağa bağlantı yapılandırma

Sanal ağlarınızı bağlamanın bir diğer yolu da sanal ağ eşlemedir. Bu özellik, iki Azure ağını birbirine bağlayarak aralarındaki iletişimin İnternet üzerinden gitmeden Microsoft omurga altyapısı üzerinden gerçekleşmesini sağlar. Sanal ağ eşlemesi, aynı bölgedeki iki VNE'yi veya Azure bölgeleri arasında iki sanal ağı bağlayabilir. NSG'ler farklı alt ağlar veya sistemler arasındaki bağlantıyı sınırlamak için kullanılabilir.

Kullanılabilirlik

Kullanılabilirlik, herhangi bir güvenlik programının önemli bir bileşenidir. Kullanıcılarınız ve sistemleriniz ağ üzerinden erişmeleri gerekenlere erişemiyorsa hizmetin gizliliğinin ihlal edildiği düşünülebilir. Azure,aşağıdaki yüksek kullanılabilirlik mekanizmalarını destekleyen ağ teknolojilerine sahiptir:

• HTTP tabanlı yük dengeleme
• Ağ düzeyinde yük dengeleme
• Genel yük dengeleme

Yük dengeleme, bağlantıları birden çok cihaz arasında eşit olarak dağıtmak için tasarlanmış bir mekanizmadır. Yük dengelemenin hedefleri şunlardır:

• Kullanılabilirliği artırmak için. Birden çok cihaz arasında bağlantıların yükünü dengelediğinizde, hizmetten ödün vermeden bir veya daha fazla cihaz kullanılamaz duruma gelebilir. Kalan çevrimiçi cihazlarda çalışan hizmetler, hizmetten gelen içeriği sunmaya devam edebilir.
• Performansı artırmak için. Birden çok cihazda bağlantıların yükünü dengelediğinizde, tek bir cihazın tüm işlemleri işlemesi gerekmez. Bunun yerine, içeriğe hizmet etmek için işleme ve bellek talepleri birden çok cihaza yayılır.

HTTP tabanlı yük dengeleme

Web tabanlı hizmetler çalıştıran kuruluşlar genellikle bu web hizmetlerinin önünde HTTP tabanlı yük dengeleyiciye sahip olmak ister. Bu, yeterli düzeyde performans ve yüksek kullanılabilirlik sağlamaya yardımcı olur. Geleneksel, ağ tabanlı yük dengeleyiciler ağ ve aktarım katmanı protokollerini kullanır. Öte yandan HTTP tabanlı yük dengeleyiciler, HTTP protokolünün özelliklerine göre kararlar alır.

Azure Uygulaması lication Gateway, web tabanlı hizmetleriniz için HTTP tabanlı yük dengeleme sağlar. Application Gateway aşağıdakileri destekler:

• Tanımlama bilgisi tabanlı oturum benzinim. Bu özellik, bu yük dengeleyicinin arkasındaki sunuculardan birine kurulan bağlantıların istemci ile sunucu arasında bozulmadan kalmasını sağlar. Bu işlem kararlılığını sağlar.
• TLS boşaltma. bir istemci yük dengeleyiciye bağlandığında, bu oturum HTTPS (TLS) protokolü kullanılarak şifrelenir. Ancak, performansı artırmak için yük dengeleyici ile yük dengeleyicinin arkasındaki web sunucusu arasında bağlantı kurmak için HTTP (şifrelenmemiş) protokolunu kullanabilirsiniz. Yük dengeleyicinin arkasındaki web sunucuları şifrelemeyle ilgili işlemci ek yüküyle karşılaşmadığından bu durum "TLS boşaltma" olarak adlandırılır. Bu nedenle web sunucuları istekleri daha hızlı bir şekilde hizmet verebilir.
• URL tabanlı içerik yönlendirme. Bu özellik yük dengeleyicinin hedef URL'ye göre bağlantıların nereye iletileceği konusunda karar vermesine olanak tanır. Bu, IP adreslerine göre yük dengeleme kararları alan çözümlerden çok daha fazla esneklik sağlar.

Daha fazla bilgi edinin:

• Application Gateway'e genel bakış

Ağ düzeyinde yük dengeleme

HTTP tabanlı yük dengelemenin aksine, ağ düzeyinde yük dengeleme IP adresi ve bağlantı noktası (TCP veya UDP) numaraları temelinde kararlar alır. Azure Load Balancer'ı kullanarak Azure'da ağ düzeyinde yük dengelemenin avantajlarından yararlanabilirsiniz. Load Balancer'ın bazı temel özellikleri şunlardır:

• IP adresine ve bağlantı noktası numaralarına göre ağ düzeyinde yük dengeleme.
• Tüm uygulama katmanı protokolleri için destek.
• Azure sanal makinelerine ve bulut hizmetleri rol örneklerine yük dengeleri.
• Hem İnternet'e yönelik (dış yük dengeleme) hem de İnternet'e yönelik olmayan (iç yük dengeleme) uygulamalar ve sanal makineler için kullanılabilir.
• Yük dengeleyicinin arkasındaki hizmetlerden herhangi birinin kullanılamaz olup olmadığını belirlemek için kullanılan uç nokta izleme.

Daha fazla bilgi edinin:

• İç yük dengeleyiciye genel bakış

Genel yük dengeleme

Bazı kuruluşlar mümkün olan en yüksek kullanılabilirlik düzeyini ister. Bu hedefe ulaşmanın bir yolu, uygulamaları küresel olarak dağıtılmış veri merkezlerinde barındırmaktır. Bir uygulama dünyanın her yerinde bulunan veri merkezlerinde barındırıldığında, jeopolitik bölgenin tamamının kullanılamaz duruma gelmesi ve uygulamanın çalışır durumda olması mümkündür.

Bu yük dengeleme stratejisi performans avantajları da sağlayabilir. Hizmet isteklerini, isteği yapan cihaza en yakın veri merkezine yönlendirebilirsiniz.

Azure'da, Azure Traffic Manager'ı kullanarak küresel yük dengelemenin avantajlarından yararlanabilirsiniz.

Daha fazla bilgi edinin:

• Traffic Manager nedir?

Ad çözümlemesi

Ad çözümleme, Azure'da barındırdığınız tüm hizmetler için kritik bir işlevdir. Güvenlik açısından bakıldığında, ad çözümleme işlevinin gizliliğinin aşılması, bir saldırganın sitelerinizdeki istekleri bir saldırganın sitesine yönlendirmesine neden olabilir. Güvenli ad çözümlemesi, bulutta barındırılan tüm hizmetleriniz için bir gereksinimdir.

Ele almanız gereken iki tür ad çözümlemesi vardır:

• İç ad çözümlemesi. Bu, sanal ağlarınızda, şirket içi ağlarınızda veya her ikisinde bulunan hizmetler tarafından kullanılır. İç ad çözümlemesi için kullanılan adlara İnternet üzerinden erişilemez. En iyi güvenlik için, iç ad çözümleme şemanızın dış kullanıcılar tarafından erişilebilir olmaması önemlidir.
• Dış ad çözümlemesi. Bu, şirket içi ağlarınızın ve sanal ağlarınızın dışındaki kişiler ve cihazlar tarafından kullanılır. Bunlar, İnternet'e görünür olan ve bulut tabanlı hizmetlerinize bağlantıyı yönlendirmek için kullanılan adlardır.

İç ad çözümlemesi için iki seçeneğiniz vardır:

• Bir sanal ağ DNS sunucusu. Yeni bir sanal ağ oluşturduğunuzda, sizin için bir DNS sunucusu oluşturulur. Bu DNS sunucusu, bu sanal ağda bulunan makinelerin adlarını çözümleyebilir. Bu DNS sunucusu yapılandırılamaz, Azure doku yöneticisi tarafından yönetilir ve bu nedenle ad çözümleme çözümünüzün güvenliğini sağlamanıza yardımcı olabilir.
• Kendi DNS sunucunuzu getirin. Sanal ağınızda kendi seçtiğiniz bir DNS sunucusu yerleştirme seçeneğiniz vardır. Bu DNS sunucusu bir Active Directory tümleşik DNS sunucusu veya azure iş ortağı tarafından sağlanan ve Azure Market edinebileceğiniz ayrılmış bir DNS sunucusu çözümü olabilir.

Daha fazla bilgi edinin:

• Sanal ağa genel bakış
• Sanal ağ tarafından kullanılan DNS Sunucularını yönetme

Dış ad çözümlemesi için iki seçeneğiniz vardır:

• Kendi dış DNS sunucunuzu şirket içinde barındırabilirsiniz.
• Kendi dış DNS sunucunuzu bir hizmet sağlayıcısıyla barındırabilirsiniz.

Birçok büyük kuruluş kendi DNS sunucularını şirket içinde barındırmaktadır. Ağ uzmanlığına ve küresel varlığa sahip oldukları için bunu yapabilir.

Çoğu durumda, DNS ad çözümleme hizmetlerinizi bir hizmet sağlayıcısıyla barındırmak daha iyidir. Bu hizmet sağlayıcıları, ad çözümleme hizmetleriniz için çok yüksek kullanılabilirlik sağlamak için ağ uzmanlığına ve küresel varlığa sahiptir. Ad çözümleme hizmetleriniz başarısız olursa kimse İnternet'e yönelik hizmetlerinize erişemeyeceği için kullanılabilirlik DNS hizmetleri için gereklidir.

Azure, Azure DNS biçiminde yüksek oranda kullanılabilir ve yüksek performanslı bir dış DNS çözümü sağlar. Bu dış ad çözümleme çözümü, dünya çapındaki Azure DNS altyapısından yararlanır. Diğer Azure hizmetlerinizle aynı kimlik bilgilerini, API'leri, araçları ve faturalamayı kullanarak etki alanınızı Azure'da barındırmanıza olanak tanır. Azure'ın bir parçası olarak, platformda yerleşik olarak bulunan güçlü güvenlik denetimlerini de devralır.

Daha fazla bilgi edinin:

• Azure DNS'ye genel bakış
• Azure DNS özel bölgeleri , özel DNS çözümü eklemenize gerek kalmadan otomatik olarak atanan adlar yerine Azure kaynakları için özel DNS adları yapılandırmanıza olanak tanır.

Çevre ağı mimarisi

Birçok büyük kuruluş, ağlarını segmentlere ayırmak ve internet ile hizmetleri arasında bir arabellek bölgesi oluşturmak için çevre ağlarını kullanır. Ağın çevre bölümü düşük güvenlikli bir bölge olarak kabul edilir ve bu ağ kesimine yüksek değerli varlık yerleştirilmemiştir. Genellikle çevre ağı kesiminde ağ arabirimi olan ağ güvenlik cihazlarını görürsünüz. Başka bir ağ arabirimi, İnternet'ten gelen bağlantıları kabul eden sanal makineler ve hizmetler içeren bir ağa bağlanır.

Çevre ağlarını çeşitli yollarla tasarlayabilirsiniz. Bir çevre ağı dağıtma kararı ve ardından bir çevre ağı kullanmaya karar verirseniz kullanılacak çevre ağı türü, ağ güvenlik gereksinimlerinize bağlıdır.

Daha fazla bilgi edinin:

• Güvenlik bölgeleri için çevre ağları

Azure DDoS koruması

Dağıtılmış hizmet engelleme (DDoS) saldırıları, uygulamalarını buluta taşıyan müşterilerin karşılaştığı en büyük kullanılabilirlik ve güvenlik sorunlarından biridir. DDoS saldırısı, uygulamanın kaynaklarını tüketmeye çalışır ve bu da uygulamanın geçerli kullanıcılar tarafından kullanılamaz duruma gelmesini sağlar. DDoS saldırıları internet üzerinden genel olarak erişilebilen herhangi bir uç noktasını hedefleyebilir.

DDoS Koruması özellikleri şunlardır:

• Yerel platform tümleştirmesi: Azure ile yerel olarak tümleştirilmiştir. Azure portalı üzerinden yapılandırmayı içerir. DDos Koruması, kaynaklarınızı ve kaynak yapılandırmanızı algılar.
• Anahtar teslimi koruma: Basitleştirilmiş yapılandırma, DDoS Koruması etkinleştirildiği anda sanal ağdaki tüm kaynakları hemen korur. Müdahale veya kullanıcı tanımı gerekmez. DDoS Koruması, algılandıktan sonra saldırıyı anında ve otomatik olarak azaltır.
• Her zaman açık trafik izleme: Uygulama trafiği desenleriniz günde 24 saat, haftada 7 gün izlenerek DDoS saldırılarının göstergeleri aranıyor. Koruma ilkeleri aşıldığında azaltma gerçekleştirilir.
• Saldırı Azaltma Raporları Saldırı Azaltma Raporları, kaynaklarınıza yönelik saldırılar hakkında ayrıntılı bilgi sağlamak için toplu ağ akışı verilerini kullanır.
• Saldırı Azaltma Akış Günlükleri Saldırı Azaltma Akış Günlükleri, etkin bir DDoS saldırısı sırasında bırakılan trafiği, iletilen trafiği ve diğer saldırı verilerini neredeyse gerçek zamanlı olarak gözden geçirmenizi sağlar.
• Uyarlamalı ayarlama: Akıllı trafik profili oluşturma, uygulamanızın zaman içindeki trafiğini öğrenir ve hizmetiniz için en uygun profili seçip güncelleştirir. Zaman içinde trafik değiştikçe profil ayarlanır. 3. katmandan katman 7'ye koruma: Bir web uygulaması güvenlik duvarıyla kullanıldığında tam yığın DDoS koruması sağlar.
• Kapsamlı azaltma ölçeği: Bilinen en büyük DDoS saldırılarına karşı koruma sağlamak için küresel kapasiteyle 60'ın üzerinde farklı saldırı türü azaltılabilir.
• Saldırı ölçümleri: Her saldırıdan özetlenen ölçümlere Azure İzleyici aracılığıyla erişilebilir.
• Saldırı uyarısı: Uyarılar, yerleşik saldırı ölçümleri kullanılarak bir saldırının başlangıcında ve durdurulmasında ve saldırı süresi boyunca yapılandırılabilir. Uyarılar Microsoft Azure İzleyici günlükleri, Splunk, Azure Depolama, E-posta ve Azure portalı gibi işletimsel yazılımınızla tümleştirilir.
• Maliyet garantisi: Belgelenen DDoS saldırıları için veri aktarımı ve uygulama ölçeği genişletme hizmeti kredileri.
• DDoS Hızlı yanıt veren DDoS Koruması müşterileri artık etkin bir saldırı sırasında Hızlı Yanıt ekibine erişebilir. DRR, saldırı araştırması, saldırı sırasında özel risk azaltmalar ve saldırı sonrası analiz konusunda yardımcı olabilir.

Daha fazla bilgi edinin:

• DDOS korumasına genel bakış

Azure Front Door

Azure Front Door Service, web trafiğinizin genel yönlendirmesini tanımlamanıza, yönetmenize ve izlemenize olanak tanır. En iyi performans ve yüksek kullanılabilirlik için trafiğinizin yönlendirmesini iyileştirir. Azure Front Door, HTTP/HTTPS iş yükünüzü istemci IP adreslerine, ülke koduna ve http parametrelerine dayalı istismardan korumaya yönelik erişim denetimi için özel web uygulaması güvenlik duvarı (WAF) kuralları yazmanıza olanak tanır. Buna ek olarak, Front Door kötü amaçlı bot trafiğiyle mücadele etmek için hız sınırlama kuralları oluşturmanıza da olanak tanır; TLS boşaltma ve HTTP/HTTPS başına istek, uygulama katmanı işleme içerir.

Front Door platform, Azure altyapı düzeyinde DDoS koruması ile korunur. Daha fazla koruma için VNET'lerinizde Azure DDoS Ağ Koruması etkinleştirilebilir ve kaynakları otomatik ayarlama ve azaltma yoluyla ağ katmanı (TCP/UDP) saldırılarına karşı koruyabilirsiniz. Front Door bir katman 7 ters proxy'dir, yalnızca web trafiğinin arka uç sunuculara geçmesine ve varsayılan olarak diğer trafik türlerini engellemesine izin verir.

Not

Web iş yükleri için, yeni ortaya çıkan DDoS saldırılarına karşı koruma sağlamak için Azure DDoS koruması ve web uygulaması güvenlik duvarı kullanmanızı kesinlikle öneririz. Bir diğer seçenek de Azure Front Door'un yanı sıra bir web uygulaması güvenlik duvarı dağıtmaktır. Azure Front Door, ağ düzeyinde DDoS saldırılarına karşı platform düzeyinde koruma sunar.

Daha fazla bilgi edinin:

• Tüm Azure Front door özellikleri hakkında daha fazla bilgi için Azure Front Door'a genel bakış konusunu gözden geçirebilirsiniz

Azure Traffic manager

Azure Traffic Manager, trafiği farklı Azure bölgelerindeki hizmetlere en uygun şekilde dağıtırken yüksek kullanılabilirlik ve yanıtlama hızı sağlayan DNS tabanlı bir trafik yük dengeleyicidir. Traffic Manager, trafik yönlendirme yöntemine ve uç noktaların sistem durumuna bağlı olarak istemci isteklerini en uygun hizmet uç noktasına yönlendirmek için DNS hizmetini kullanır. Uç nokta, Azure içinde veya dışında barındırılan İnternet'e yönelik bir hizmettir. Traffic Manager uç noktaları izler ve trafiği kullanılamayan uç noktalara yönlendirmez.

Daha fazla bilgi edinin:

• Azure Traffic manager'a genel bakış

İzleme ve tehdit algılama

Azure, bu önemli alanda ağ trafiğini erken algılama, izleme ve toplama ve gözden geçirme konusunda size yardımcı olacak özellikler sağlar.

Azure Ağ İzleyicisi

Azure Ağ İzleyicisi sorun gidermenize yardımcı olabilir ve güvenlik sorunlarının tanımlanmasına yardımcı olacak yepyeni bir araç kümesi sağlar.

Güvenlik Grubu Görünümü, Sanal Makineler denetimine ve güvenlik uyumluluğuna yardımcı olur. Kuruluşunuz tarafından tanımlanan temel ilkeleri vm'lerinizin her biri için geçerli kurallarla karşılaştırarak programlı denetimler gerçekleştirmek için bu özelliği kullanın. Bu, yapılandırma kaymalarını belirlemenize yardımcı olabilir.

Paket yakalama , sanal makineye gelen ve sanal makineden gelen ağ trafiğini yakalamanızı sağlar. Ağ istatistikleri toplayabilir ve uygulama sorunlarını giderebilirsiniz. Bu, ağ yetkisiz erişimlerinin araştırılmasında çok değerli olabilir. Belirli Azure uyarılarına yanıt olarak ağ yakalamalarını başlatmak için bu özelliği Azure İşlevleri ile birlikte de kullanabilirsiniz.

Ağ İzleyicisi ve laboratuvarlarınızdaki bazı işlevleri test etmeye başlama hakkında daha fazla bilgi için bkz. Azure ağ izleyicisi izlemeye genel bakış.

Not

Bu hizmetin kullanılabilirliği ve durumuyla ilgili en güncel bildirimler için Azure güncelleştirmeleri sayfasına bakın.

Bulut için Microsoft Defender

Bulut için Microsoft Defender tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur ve Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim sağlar. Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar, aksi takdirde gözlerden çıkabilecek tehditleri algılamaya yardımcı olur ve çok çeşitli güvenlik çözümleriyle çalışır.

Bulut için Defender, ağ güvenliğini iyileştirmenize ve izlemenize yardımcı olur:

• Ağ güvenliği önerileri sağlama.
• Ağ güvenlik yapılandırmanızın durumunu izleme.
• Hem uç nokta hem de ağ düzeylerinde ağ tabanlı tehditler konusunda sizi uyarır.

Daha fazla bilgi edinin:

• Bulut için Microsoft Defender giriş

Sanal Ağ TAP

Azure sanal ağ TAP (Terminal Erişim Noktası), sanal makine ağ trafiğinizi bir ağ paket toplayıcısına veya analiz aracına sürekli olarak akışla aktarmanıza olanak tanır. Toplayıcı veya analiz aracı bir ağ sanal gereci iş ortağı tarafından sağlanır. Aynı veya farklı aboneliklerdeki birden çok ağ arabiriminden gelen trafiği toplamak için aynı sanal ağ TAP kaynağını kullanabilirsiniz.

Daha fazla bilgi edinin:

• Sanal ağ TAP

Günlük Kaydı

Ağ düzeyinde günlüğe kaydetme, herhangi bir ağ güvenlik senaryosu için önemli bir işlevdir. Azure'da ağ düzeyinde günlüğe kaydetme bilgilerini almak için NSG'ler için alınan bilgileri günlüğe kaydedebilirsiniz. NSG günlüğü ile aşağıdakilerden bilgi alırsınız:

• Etkinlik günlükleri. Azure aboneliklerinize gönderilen tüm işlemleri görüntülemek için bu günlükleri kullanın. Bu günlükler varsayılan olarak etkindir ve Azure portalında kullanılabilir. Bunlar daha önce denetim veya işlem günlükleri olarak biliniyordu.
• Olay günlükleri. Bu günlükler hangi NSG kurallarının uygulandığı hakkında bilgi sağlar.
• Sayaç günlükleri. Bu günlükler, trafiği reddetmek veya trafiğe izin vermek için her NSG kuralının kaç kez uygulandığını size bildirir.

Bu günlükleri görüntülemek ve analiz etmek için güçlü bir veri görselleştirme aracı olan Microsoft Power BI'ı da kullanabilirsiniz. Daha fazla bilgi edinin:

• Ağ Güvenlik Grupları (NSG) için Azure İzleyici günlükleri