Share via

Azure Sanal Ağ Manager'da Güvenlik Yönetici Kuralları ile yüksek riskli ağ bağlantı noktalarını koruma

  • Makale

Bu makalede, Azure Sanal Ağ Manager ve Güvenlik Yönetici Kurallarını kullanarak yüksek riskli ağ bağlantı noktalarını engellemeyi öğreneceksiniz. Azure Sanal Ağ Manager örneği oluşturma, sanal ağlarınızı (VNet) ağ gruplarıyla gruplandırma ve kuruluşunuz için güvenlik yöneticisi yapılandırmaları oluşturma ve dağıtma adımlarını adım adım gösterirsiniz. Yüksek riskli bağlantı noktaları için genel bir blok kuralı dağıtırsınız. Ardından, ağ güvenlik gruplarını kullanarak belirli bir uygulamanın sanal ağını yönetmek için bir özel durum kuralı oluşturursunuz.

Bu makale tek bir bağlantı noktası olan SSH'ye odaklansa da ortamınızdaki yüksek riskli bağlantı noktalarını aynı adımlarla koruyabilirsiniz. Daha fazla bilgi edinmek için bu yüksek riskli bağlantı noktaları listesini gözden geçirin

Önemli

Azure Sanal Ağ Yöneticisi genel olarak merkez-uç bağlantı yapılandırmaları ve güvenlik yönetici kurallarıyla güvenlik yapılandırmaları için kullanılabilir. Mesh bağlantı yapılandırmaları genel önizlemede kalır.

Önizleme sürümü bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yüklerinde kullanılması önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

Önkoşullar

  • Azure Sanal Ağ Yöneticisi'nin nasıl oluşturulacağını anlarsınız
  • Güvenlik yöneticisi kuralındaki her öğeyi anlarsınız.
  • Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
  • Ayrıntılı güvenlik yöneticisi kuralları uygulamak için ağ gruplarına bölünebilen bir sanal ağ grubu.
  • Dinamik ağ gruplarını değiştirmek için size yalnızca Azure RBAC rol ataması aracılığıyla erişim verilmelidir. Klasik Yönetici/eski yetkilendirme desteklenmiyor

Sanal ağ ortamı dağıtma

Belirli ağ trafiğine izin vermek ve trafiği engellemek için ayrılmış sanal ağlar içeren bir sanal ağ ortamına ihtiyacınız vardır. Aşağıdaki tabloyu veya kendi sanal ağ yapılandırmanızı kullanabilirsiniz:

Veri Akışı Adı IPv4 adres alanı alt ağ
vnetA-gen 10.0.0.0/16 varsayılan - 10.0.0.0/24
vnetB-gen 10.1.0.0/16 varsayılan - 10.1.0.0/24
vnetC-gen 10.2.0.0/16 varsayılan - 10.2.0.0/24
vnetD-app 10.3.0.0/16 varsayılan - 10.3.0.0/24
vnetE-app 10.4.0.0/16 varsayılan - 10.4.0.0/24
  • Tüm sanal ağları aynı abonelik, bölge ve kaynak grubuna yerleştirme

Sanal ağ oluşturma konusunda emin değil misiniz? Hızlı Başlangıç: Azure portalını kullanarak sanal ağ oluşturma bölümünden daha fazla bilgi edinin.

Sanal ağ yöneticisi örneği oluşturma

Bu bölümde, kuruluşunuzdaki Güvenlik yöneticisi özelliğiyle bir Sanal Ağ Yöneticisi örneği dağıtacaksınız.

  1. + Kaynak oluştur'u seçin ve Ağ Yöneticisi'ne bakın. Ardından Oluştur'u seçerek Azure Sanal Ağ Yöneticisi'nin kurulumunu başlatın.

  2. Temel Bilgiler sekmesinde, kuruluşunuzun bilgilerini girin veya seçin:

    Ağ yöneticisi oluşturma Temel Bilgiler sayfasının ekran görüntüsü.

    Ayar Value
    Abonelik Azure Sanal Ağ Yöneticisi'ni dağıtmak istediğiniz aboneliği seçin.
    Kaynak grubu Azure Sanal Ağ Manager'ı depolamak için bir kaynak grubu seçin veya oluşturun. Bu örnekte daha önce oluşturulan myAVNMResourceGroup kullanılır.
    Veri Akışı Adı Bu Azure Sanal Ağ Manager örneği için bir ad girin. Bu örnekte myAVNM adı kullanılır.
    Bölge Bu dağıtım için bölgeyi seçin. Azure Sanal Ağ Yöneticisi herhangi bir bölgedeki sanal ağları yönetebilir. Seçilen bölge, Sanal Ağ Yöneticisi örneğinin dağıtılacağı yerdir.
    Açıklama (İsteğe bağlı) Bu Sanal Ağ Yöneticisi örneği ve yönettiği görev hakkında bir açıklama sağlayın.
    Scope Azure Sanal Ağ Yöneticisi'nin yönetebileceği kapsamı tanımlayın. Bu örnekte abonelik düzeyi kapsamı kullanılmaktadır.
    Özellikler Azure Sanal Ağ Yöneticisi için etkinleştirmek istediğiniz özellikleri seçin. Kullanılabilir özellikler Bağlan ivity, Security Yönetici veya Select All özellikleridir.
    Bağlan ivity - Kapsam dahilindeki sanal ağlar arasında tam ağ veya merkez-uç ağ topolojisi oluşturma olanağı sağlar.
    Güvenlik Yönetici - Genel ağ güvenlik kuralları oluşturma olanağı sağlar.

  3. Gözden geçir + oluştur'u ve ardından doğrulama geçtikten sonra Oluştur'u seçin.

  4. Dağıtım tamamlandığında Kaynağa git'i seçin ve sanal ağ yöneticisi yapılandırmasını gözden geçirin

Tüm sanal ağlar için ağ grubu oluşturma

Sanal ağ yöneticiniz oluşturulduktan sonra, kuruluştaki tüm sanal ağları içeren bir ağ grubu oluşturur ve tüm sanal ağları el ile eklersiniz.

  1. Ayarlar altında Ağ Grupları'yı seçin.
  2. + Oluştur'u seçin, ağ grubu için bir ad girin ve Ekle'yi seçin.
  3. Ağ grupları sayfasında, oluşturduğunuz ağ grubunu seçin.
  4. Tüm sanal ağları el ile eklemek için Statik Üyelik'in altındaki Ekle'yi seçin.
  5. Statik üye ekle sayfasında, eklemek istediğiniz tüm sanal ağları seçin ve Ekle'yi seçin. Sanal ağların el ile seçilmesini gösteren Statik Üye Ekle sayfasının ekran görüntüsü.

Tüm sanal ağlar için güvenlik yöneticisi yapılandırması oluşturma

Bu kuralları ağ grubunuzdaki tüm sanal ağlara aynı anda uygulamak için bir yapılandırma içinde güvenlik yöneticisi kurallarımızı oluşturmanın zamanı geldi. Bu bölümde bir güvenlik yöneticisi yapılandırması oluşturacaksınız. Ardından bir kural koleksiyonu oluşturur ve SSH veya RDP gibi yüksek riskli bağlantı noktaları için kurallar eklersiniz. Bu yapılandırma, ağ grubundaki tüm sanal ağlara ağ trafiğini reddeder.

  1. Sanal ağ yöneticisi kaynağınıza dönün.

  2. Ayarlar altında Yapılandırmalar'ı ve ardından + Oluştur'u seçin.

    Güvenlik yöneticisi yapılandırması ekleme ekran görüntüsü.

  3. Açılan menüden Güvenlik yapılandırması'nı seçin.

    Yapılandırma ekleme açılan listesinin ekran görüntüsü.

  4. Temel Bilgiler sekmesinde, bu güvenlik yapılandırmasını tanımlamak için bir Ad girin ve İleri: Kural koleksiyonları'nı seçin.

    Güvenlik yapılandırma adı alanının ekran görüntüsü.

  5. Güvenlik yapılandırması ekle sayfasında + Ekle'yi seçin.

  6. Bu kural koleksiyonunu tanımlamak için bir Ad girin ve ardından kural kümesini uygulamak istediğiniz Hedef ağ gruplarını seçin. Hedef grup, tüm sanal ağlarınızı içeren ağ grubudur.

    Kural koleksiyonu adı ve hedef ağ gruplarının ekran görüntüsü.

Yüksek riskli ağ trafiğini reddetmek için güvenlik kuralı ekleme

Bu bölümde, tüm sanal ağlara yüksek riskli ağ trafiğini engellemek için güvenlik kuralını tanımlarsınız. Öncelik atarken, gelecekteki özel durum kurallarını göz önünde bulundurun. Bu kurala özel durum kurallarının uygulanması için önceliği ayarlayın.

  1. Güvenlik yöneticisi kuralları altında + Ekle'yi seçin.

    Kural ekle düğmesinin ekran görüntüsü.

  2. Güvenlik kuralınızı tanımlamak için gereken bilgileri girin ve kuralı kural koleksiyonuna eklemek için Ekle'yi seçin.

    Kural ekleme sayfasının ekran görüntüsü.

    Ayar Değer
    Veri Akışı Adı Bir kural adı girin.
    Açıklama Kural hakkında bir açıklama girin.
    Öncelik* Kuralın önceliğini belirlemek için 1 ile 4096 arasında bir değer girin. Değer ne kadar düşük ise öncelik o kadar yüksektir.
    Eylem* Trafiği engellemek için Reddet'i seçin. Daha fazla bilgi için bkz. Eylem
    Yön* Bu kuralla gelen trafiği reddetmek için Gelen'i seçin.
    Protokolü* Bağlantı noktası için ağ protokolunu seçin.
    Kaynak
    Source type IP adresinin veya Hizmet etiketlerinin kaynak türünü seçin.
    Kaynak IP adresleri Bu alan, IP adresinin kaynak türünü seçtiğinizde görüntülenir. CIDR gösterimini kullanarak bir IPv4 veya IPv6 adresi veya aralığı girin. Virgül kullanarak birden fazla adres veya adres bloğu tanımlarken ayrı. Bu örnek için boş bırakın.
    Kaynak hizmeti etiketi Bu alan, Hizmet etiketinin kaynak türünü seçtiğinizde görüntülenir. Kaynak olarak belirtmek istediğiniz hizmetler için hizmet etiketlerini seçin. Desteklenen etiketlerin listesi için bkz. Kullanılabilir hizmet etiketleri.
    Kaynak bağlantı noktası Tek bir bağlantı noktası numarası veya (1024-65535) gibi bir bağlantı noktası aralığı girin. Birden fazla bağlantı noktası veya bağlantı noktası aralığı tanımlarken bunları virgülle ayırın. Herhangi bir bağlantı noktasını belirtmek için * girin. Bu örnek için boş bırakın.
    Hedef
    Hedef türü IP adresinin veya Hizmet etiketlerinin hedef türünü seçin.
    Hedef IP adresleri Hedef IP adresi türünü seçtiğinizde bu alan görüntülenir. CIDR gösterimini kullanarak bir IPv4 veya IPv6 adresi veya aralığı girin. Virgül kullanarak birden fazla adres veya adres bloğu tanımlarken ayrı.
    Hedef hizmet etiketi Bu alan, Hizmet etiketinin hedef türünü seçtiğinizde görüntülenir. Hedef olarak belirtmek istediğiniz hizmetler için hizmet etiketlerini seçin. Desteklenen etiketlerin listesi için bkz. Kullanılabilir hizmet etiketleri.
    Hedef bağlantı noktası Tek bir bağlantı noktası numarası veya (1024-65535) gibi bir bağlantı noktası aralığı girin. Birden fazla bağlantı noktası veya bağlantı noktası aralığı tanımlarken bunları virgülle ayırın. Herhangi bir bağlantı noktasını belirtmek için * girin. Bu örnek için 3389 girin.

  3. Kural koleksiyonuna daha fazla kural eklemek istiyorsanız 1-3 arası adımları tekrarlayın.

  4. Oluşturmak istediğiniz tüm kurallardan memnun olduğunuzda, kural koleksiyonunu güvenlik yöneticisi yapılandırmasına eklemek için Ekle'yi seçin.

    Kural koleksiyonunun ekran görüntüsü.

  5. Ardından güvenlik yapılandırmasını tamamlamak için Gözden Geçir + Oluştur ve Oluştur'u seçin.

Ağ trafiğini engellemek için güvenlik yöneticisi yapılandırması dağıtma

Bu bölümde, güvenlik yöneticisi yapılandırmasını dağıttığınızda oluşturulan kurallar geçerlilik kazanır.

  1. Ayarlar altında Dağıtımlar'ı ve ardından Yapılandırmayı dağıt'ı seçin.

    Yapılandırma dağıtma düğmesinin ekran görüntüsü.

  2. Hedef durumunuzdaki güvenlik yöneticisini dahil et onay kutusunu seçin ve açılan menüden son bölümde oluşturduğunuz güvenlik yapılandırmasını seçin. Ardından bu yapılandırmayı dağıtmak istediğiniz bölgeyi seçin.

    Güvenlik yapılandırması dağıtma sayfasının ekran görüntüsü.

  3. Güvenlik yöneticisi yapılandırmasını dağıtmak için İleri ve Dağıt'ı seçin.

Trafik özel durum kuralı için ağ grubu oluşturma

Tüm sanal ağlarınızda trafiğin engellenmesiyle, belirli sanal ağlara giden trafiğe izin vermek için bir özel durum gerekir. Özellikle diğer güvenlik yöneticisi kuralından dışlanması gereken sanal ağlar için bir ağ grubu oluşturursunuz.

  1. Sanal ağ yöneticinizden, Ayarlar altında Ağ Grupları'yı seçin.
  2. + Oluştur'u seçin, uygulama ağ grubu için bir ad girin ve Ekle'yi seçin.
  3. Dinamik Üyelik Tanımla'nın altında Tanımla'yı seçin.
  4. Uygulama sanal ağınıza gelen trafiğe izin vermek için değerleri girin veya seçin. Grup üyeliği için sanal ağları seçme koşuluyla Ağ Grubunu Tanımla sayfasının ekran görüntüsü.
  5. Dahil edilen Geçerli Sanal Ağ gözden geçirmek için Kaynakları Önizle'yi ve ardından Kapat'ı seçin. Ağ grubuna dinamik olarak dahil edilen sanal ağları gösteren Etkin Sanal Ağ sayfasının ekran görüntüsü.
  6. Kaydet'i seçin.

Trafik özel durumu güvenlik yöneticisi kuralı ve koleksiyonu oluşturma

Bu bölümde, özel durum olarak tanımladığınız sanal ağların alt kümesine yüksek riskli trafiğe izin veren yeni bir kural koleksiyonu ve güvenlik yöneticisi kuralı oluşturacaksınız. Ardından, bunu mevcut güvenlik yöneticisi yapılandırmanıza eklersiniz.

Önemli

Güvenlik yöneticisi kuralınızın uygulama sanal ağlarınıza gelen trafiğe izin verebilmesi için, önceliğin trafiği engelleyen mevcut kurallardan daha düşük bir sayıya ayarlanması gerekir.

Örneğin, SSH'yi engelleyen tüm ağ kuralının önceliği 10 olduğundan izin verme kuralınızın önceliği 1 ile 9 arasında olmalıdır.

  1. Sanal ağ yöneticinizden Yapılandırmalar'ı ve güvenlik yapılandırmanızı seçin.
  2. Ayarlar altında Kural koleksiyonları'na tıklayın ve ardından + Oluştur'u seçerek yeni bir kural koleksiyonu oluşturun.
  3. Kural koleksiyonu ekle sayfasında, uygulama kuralı koleksiyonunuz için bir ad girin ve oluşturduğunuz uygulama ağ grubunu seçin.
  4. Güvenlik yöneticisi kuralları altında + Ekle'yi seçin.
  5. Uygulama ağ grubunuza belirli ağ trafiğine izin vermek için değerleri girin veya seçin ve tamamlandığında ekle'yi seçin.
  6. Özel duruma ihtiyaç duyan tüm trafik için kural ekleme işlemini yineleyin.
  7. Bitirdiğinizde Kaydet'i seçin.

Güvenlik yöneticisi yapılandırmasını özel durum kuralıyla yeniden dağıtma

Yeni kural koleksiyonunu uygulamak için, bir kural koleksiyonu ekleyerek değiştirildiğinden beri güvenlik yöneticisi yapılandırmanızı yeniden dağıtabilirsiniz.

  1. Sanal ağ yöneticinizden Yapılandırmalar'ı seçin.
  2. Güvenlik yöneticisi yapılandırmanızı seçin ve Dağıt'ı seçin
  3. Yapılandırmayı Dağıt sayfasında, dağıtımı alan tüm hedef bölgeleri seçin ve
  4. İleri'yi ve Dağıt'ı seçin.

Sonraki adımlar