Azure Well-Architected Framework incelemesi - Azure Güvenlik Duvarı
Bu makalede Azure Güvenlik Duvarı için mimari öneriler sağlanmaktadır. Kılavuz, mimari mükemmeliyetinin beş yapı taşını temel alır:
- Güvenilirlik
- Güvenlik
- Maliyet iyileştirmesi
- Operasyonel Mükemmellik
- Performans verimliliği
Azure Güvenlik Duvarı hakkında bilgi sahibi olduğunuzu ve özellikleri konusunda bilgi sahibi olduğunuzu varsayıyoruz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Genel Bakış.
Önkoşullar
- Azure Well-Architected Framework yapı taşlarını anlamak, yüksek kaliteli, kararlı ve verimli bir bulut mimarisi oluşturmaya yardımcı olabilir. İyi Tasarlanmış Çerçeve gözden geçirme değerlendirmesini kullanarak iş yükünüzü gözden geçirin.
- Bu makalede sağlanan kılavuza göre dikkat edilmesi gereken noktaları gözden geçirmek için bir başvuru mimarisi kullanın. PaaS veri depolarına özel bağlantısı olan ağ sağlamlaştırılmış web uygulamasıyla başlayın ve güvenli bir karma ağ uygulayın.
Güvenilirlik
Azure Güvenlik Duvarı iş yüklerini güvenilir bir şekilde nasıl desteklediğini öğrenmek için aşağıdaki makalelere bakın:
- Azure Güvenlik Duvarı giriş
- Hızlı Başlangıç: Kullanılabilirlik alanlarıyla Azure Güvenlik Duvarı dağıtma
- Sanal WAN merkezinde Azure Güvenlik Duvarı’nı yapılandırma
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken güvenilirlik için tasarım ilkelerini gözden geçirin.
- hub sanal ağlarında veya Azure Sanal WAN hub'larının bir parçası olarak Azure Güvenlik Duvarı dağıtın.
- Dayanıklılık Kullanılabilirlik Alanları yararlanın.
- Azure Güvenlik Duvarı İlkesi yapısı oluşturma.
- Bilinen Sorun listesini gözden geçirin.
- Azure Güvenlik Duvarı sistem durumunu izleyin.
Not
Geleneksel Hub & Spoke modeli ile yönetilen güvenli merkezler Sanal WAN arasında ağ hizmetlerinin kullanılabilirliği konusunda farklılıklar vardır. Örneğin, bir Sanal WAN Hub'ında Azure Güvenlik Duvarı Genel IP bir Genel IP Ön Ekinden alınamaz ve DDoS Koruması etkinleştirilemez. Bir veya diğer modelin seçilmesi, Well-Architected Framework'ün beş yapı taşındaki gereksinimleri dikkate almalıdır.
Öneriler
güvenilirlik için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu keşfedin.
| Öneri | Avantaj |
|---|---|
| Azure Güvenlik Duvarı örneklerini dağıtmak ve yönetmek için geleneksel Hub & Uçlarıyla veya Azure Sanal WAN ağ topolojileriyle Azure Güvenlik Duvarı Yöneticisi'ni kullanın. | Trafik idaresi ve koruması için yerel güvenlik hizmetleriyle kolayca merkez-uç ve geçişli mimariler oluşturun. Ağ topolojileri hakkında daha fazla bilgi için Bkz. Azure Bulut Benimseme Çerçevesi belgeleri. |
| Genel ağ ortamlarında güvenlik duruşunu yönetmek için Azure Güvenlik Duvarı İlkeleri oluşturun. tüm Azure Güvenlik Duvarı örneklerine ilkeler atayın. | Azure Güvenlik Duvarı İlkeleri, merkezi bir temel ilkeyi yer paylaşımlı hale getirmek için hiyerarşik bir yapıda düzenlenebilir. Belirli bölgelerin gereksinimlerini karşılamak için ayrıntılı ilkelere izin verin. Rol tabanlı erişim denetimi (RBAC) aracılığıyla artımlı güvenlik duvarı ilkelerini yerel güvenlik ekiplerine devretme. DnaT Kuralları ve DNS yapılandırması gibi bazı ayarlar örneğe göre belirlidir ve birden çok özel ilke gerekebilir. |
| Azure Güvenlik Duvarı Klasik Kuralları mevcut dağıtımlar için Azure Güvenlik Duvarı Yöneticisi İlkelerine geçirin. | Mevcut dağıtımlar için Azure Güvenlik Duvarı kurallarını Azure Güvenlik Duvarı Yöneticisi ilkelerine geçirin. Güvenlik duvarlarınızı ve ilkelerinizi merkezi olarak yönetmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Premium'a geçiş. |
| Bilinen Azure Güvenlik Duvarı Sorunlar listesini gözden geçirin. | Azure Güvenlik Duvarı Ürün Grubu, bu konumda bilinen sorunların güncelleştirilmiş bir listesini tutar. Bu liste tasarıma göre davranış, yapım aşamasındaki düzeltmeler, platform sınırlamaları ve olası geçici çözümler veya risk azaltma ile ilgili önemli bilgiler içerir. |
| Azure Güvenlik Duvarı İlkenizin Azure Güvenlik Duvarı sınırlarına ve önerilerine uydığından emin olun. | Kural ve Kural Koleksiyonu Gruplarının sayısı, toplam ilke boyutu, kaynak/hedef hedefler dahil olmak üzere ilke yapısında sınırlar vardır. İlkenizi oluşturmayı ve belgelenmiş eşiklerin arkasında kalmayı unutmayın. |
| Daha yüksek hizmet düzeyi sözleşmesi (SLA) için birden çok kullanılabilirlik alanında Azure Güvenlik Duvarı dağıtın. | Azure Güvenlik Duvarı, tek bir kullanılabilirlik alanına dağıtıldığında ve birden çok bölgeye dağıtıldığında farklı SLA'lar sağlar. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı için SLA. Tüm Azure SLA'ları hakkında bilgi için bkz. Azure hizmetleri için SLA özeti. |
| Çok bölgeli ortamlarda, bölge başına bir Azure Güvenlik Duvarı örneği dağıtın. | Geleneksel Merkez & Uç mimarileri için çok bölgeli ayrıntılar bu makalede açıklanmıştır. Güvenli sanal hub'lar (Azure Sanal WAN) için Yönlendirme Amacı ve İlkeleri, merkezler arası ve dallar arası iletişimlerin güvenliğini sağlamak üzere yapılandırılmalıdır. Hatalara ve hataya dayanıklı olacak şekilde tasarlanmış iş yükleri için Azure Güvenlik Duvarı ve Azure örneklerinin bölgesel kaynaklar olarak Sanal Ağ göz önünde bulundurun. |
| Azure Güvenlik Duvarı Ölçümlerini ve Kaynak Durumu durumunu izleyin. | Aktarım Hızı, Güvenlik Duvarı sistem durumu, SNAT bağlantı noktası kullanımı ve AZFW Gecikme Yoklaması ölçümleri gibi Azure Güvenlik Duvarı sistem durumununönemli ölçüm göstergesini yakından izleyin. Ayrıca Azure Güvenlik Duvarı artık Azure Kaynak Durumu ile tümleştirildi. Azure Güvenlik Duvarı Kaynak Durumu denetimiyle artık Azure Güvenlik Duvarı sistem durumunu görüntüleyebilir ve Azure Güvenlik Duvarı kaynağınızı etkileyebilecek hizmet sorunlarını giderebilirsiniz. |
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
Güvenlik
Güvenlik, her mimarinin en önemli yönlerinden biridir. Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için tehdit koruması sağlayan akıllı bir güvenlik duvarı güvenlik hizmetidir.
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken güvenlik için tasarım ilkelerini gözden geçirin.
- Zorlamalı Tünele ihtiyacınız olup olmadığını belirleyin.
- İlkeler için en az ayrıcalık erişim ölçütlerine göre kurallar oluşturun.
- Tehdit Analizinden yararlanın.
- Azure Güvenlik Duvarı DNS ara sunucusunu etkinleştirin.
- ağ trafiğini Azure Güvenlik Duvarı üzerinden yönlendirin.
- Üçüncü taraf hizmet olarak güvenlik (SECaaS) sağlayıcılarını kullanmak isteyip istemediğinizi belirleyin.
- DDoS ile Azure Güvenlik Duvarı genel IP adreslerinizi koruyun.
Öneriler
Güvenlik için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu keşfedin.
| Öneri | Avantaj |
|---|---|
| İnternet'e bağlı tüm trafiği doğrudan İnternet'e gitmek yerine belirlenen bir sonraki atlamaya yönlendirmek için gerekirse, Azure Güvenlik Duvarı zorlamalı tünel modunda yapılandırın (Azure Sanal WAN için geçerli değildir). | Azure Güvenlik Duvarı internete bağlı olmalıdır. AzureFirewallSubnet'iniz Sınır Ağ Geçidi Protokolü aracılığıyla şirket içi ağınıza giden varsayılan yolu öğrenirse, Azure Güvenlik Duvarı zorlamalı tünel modunda yapılandırmanız gerekir. Zorlamalı tünel özelliğini kullanarak, Azure Güvenlik Duvarı Yönetimi alt ağı için başka bir /26 adres alanına ihtiyacınız olacaktır. Bunu AzureFirewallManagementSubnet olarak adlandırmanız gerekir. Bu zorlamalı tünel modunda yeniden yapılandırılabilen mevcut bir Azure Güvenlik Duvarı örneğiyse, 0.0.0.0/0 yolu ile bir UDR oluşturun. NextHopType değerini Internet olarak ayarlayın. İnternet bağlantısını sürdürmek için AzureFirewallSubnet ile ilişkilendirin. |
| Zorlamalı tünel modunda Azure Güvenlik Duvarı yapılandırırken (Azure Sanal WAN için geçerli değildir) tam özel bir veri düzlemi dağıtmak için genel IP adresini Yok olarak ayarlayın. | Yeni bir Azure Güvenlik Duvarı örneği dağıttığınızda zorlamalı tünel modunu etkinleştirirseniz, tamamen özel bir veri düzlemi dağıtmak için genel IP adresini Yok olarak ayarlayabilirsiniz. Ancak, yönetim düzlemi hala yalnızca yönetim amacıyla genel IP gerektirir. Sanal ve şirket içi ağlardan gelen iç trafik bu genel IP'yi kullanmaz. Zorlamalı tünel oluşturma hakkında daha fazla bilgi için bkz. zorlamalı tünel Azure Güvenlik Duvarı. |
| Güvenlik Duvarı İlkeleri için en az ayrıcalık erişim ölçütlerine göre kurallar oluşturun. | Azure Güvenlik Duvarı İlkeleri, merkezi bir temel ilkeyi yer paylaşımlı hale getirmek için hiyerarşik bir yapıda düzenlenebilir. Belirli bölgelerin gereksinimlerini karşılamak için ayrıntılı ilkelere izin verin. Her ilke, belirli bir öncelik, eylem ve işleme sırasına sahip farklı DNAT, Ağ ve Uygulama kuralları kümeleri içerebilir. Kurallarınızı en az ayrıcalık erişimi Sıfır Güven ilkesine göre oluşturun. Kuralların nasıl işlendiği bu makalede açıklanmıştır. |
| Uyarı ve reddetme modunda Azure Güvenlik Duvarı tehdit bilgilerini etkinleştirin. | Bilinmeyen IP adreslerinden ve etki alanlarından gelen veya giden trafiği uyarmak ve reddetmek için güvenlik duvarınız için tehdit bilgileri tabanlı filtrelemeyi etkinleştirebilirsiniz. IP adresleri ve etki alanları Microsoft Threat Intelligence Akışı'ndan alınır. Akıllı Güvenlik Grafı, Microsoft tehdit bilgilerini destekler ve Bulut için Microsoft Defender dahil olmak üzere birden çok hizmet tarafından kullanılır. |
| Uyarı veya Uyarı ve reddetme modunda IDPS'yi etkinleştirin. | IDPS, en güçlü Azure Güvenlik Duvarı (Premium) güvenlik özelliklerinden biridir ve etkinleştirilmesi gerekir. Güvenlik ve uygulama gereksinimlerine bağlı olarak ve performans etkisini göz önünde bulundurarak (aşağıdaki Maliyet bölümüne bakın), Uyarı veya Uyarı ve reddetme modları seçilebilir. |
| Azure Güvenlik Duvarı (DNS) proxy yapılandırmasını etkinleştirin. | Bu özelliğin etkinleştirilmesi, sanal ağlardaki istemcileri dns sunucusu olarak Azure Güvenlik Duvarı gösterir. Doğrudan erişilmeyecek ve kullanıma sunulmayacak iç DNS altyapısını korur. Azure Güvenlik Duvarı, DNS sorgularını iletmek için kullanılacak özel DNS kullanacak şekilde de yapılandırılmalıdır. |
| Azure Güvenlik Duvarı üzerinden trafiği zorlamak için kullanıcı tanımlı yolları (UDR) yapılandırın. | Geleneksel Hub & Uçları mimarisinde, , SpoketoInternetve SpoketoHybrid bağlantısı için Azure Güvenlik Duvarı üzerinden trafiği zorlamak için SpoketoSpokeUDR'leri yapılandırın. Bunun yerine Azure Sanal WAN'da, özel ve/veya İnternet trafiğini hub'a tümleştirilmiş Azure Güvenlik Duvarı örneği aracılığıyla yeniden yönlendirmek için Yönlendirme Amacı ve İlkeleri'ni yapılandırın. |
| Doğrudan Sanal Makineler bağlı Genel IP adreslerinin kullanımını kısıtlama | Trafiğin güvenlik duvarını atlamasını önlemek için Genel IP adreslerinin VM ağ arabirimleriyle ilişkisi kısıtlanmalıdır. Azure Bulut Benimseme Çerçevesi (CAF) modelinde, CORP Yönetim Grubuna belirli bir Azure İlkesi atanır. |
| UDR uygulamak mümkün değilse ve yalnızca web trafiği yeniden yönlendirmesi gerekiyorsa, Azure Güvenlik Duvarı Açık Ara Sunucu olarak kullanmayı göz önünde bulundurun | Giden yolda açık ara sunucu özelliği etkinleştirildiğinde, gönderen web uygulamasında (web tarayıcısı gibi) ara sunucu olarak yapılandırılmış Azure Güvenlik Duvarı bir ara sunucu ayarı yapılandırabilirsiniz. Sonuç olarak, web trafiği güvenlik duvarının özel IP adresine ulaşır ve bu nedenle UDR kullanmadan doğrudan güvenlik duvarından çıkar. Bu özellik, mevcut ağ yollarını değiştirmeden birden çok güvenlik duvarı kullanımını da kolaylaştırır. |
| Giden bağlantıları korumak için bu çözümleri kullanmak istiyorsanız Güvenlik Duvarı Yöneticisi içinde desteklenen üçüncü taraf yazılım hizmet olarak yazılım (SaaS) güvenlik sağlayıcılarını yapılandırın. | Kullanıcılarınızın internet erişimini korumak için tanıdık, türünün en iyisi, üçüncü taraf SECaaS tekliflerinizi kullanabilirsiniz. Bu senaryo, sağlayıcının altyapısına bağlanmak için ipsec tüneli kullandığından, Hub'da bir S2S VPN Gateway ile Azure Sanal WAN gerektirir. SECaaS sağlayıcıları, IPSec bağlantılarında ek lisans ücretleri alabilir ve aktarım hızını sınırlayabilir. ZScaler Bulut Bağlayıcısı gibi alternatif çözümler mevcuttur ve daha uygun olabilir. |
| Ağ kurallarında Tam Etki Alanı Adı (FQDN) filtrelemesini kullanın. | Azure Güvenlik Duvarı ve güvenlik duvarı ilkelerinde DNS çözümlemesi temelinde FQDN kullanabilirsiniz. Bu özellik, giden trafiği herhangi bir TCP/UDP protokolüyle (NTP, SSH, RDP ve daha fazlası dahil) filtrelemenize olanak tanır. Ağ kurallarınızda FQDN'leri kullanmak için Azure Güvenlik Duvarı DNS Proxy yapılandırmasını etkinleştirmeniz gerekir. Nasıl çalıştığını öğrenmek için bkz. Ağ kurallarında FQDN filtrelemesini Azure Güvenlik Duvarı. |
| Belirli Microsoft hizmetlerine seçmeli erişimi etkinleştirmek için Ağ Kuralları'ndaki Hizmet Etiketlerini kullanın. | Hizmet etiketi, güvenlik kuralı oluşturma sırasındaki karmaşıklığı en aza indirmeye yardımcı olmak için bir IP adresi ön eki grubunu temsil eder. Ağ Kuralları'nda Hizmet Etiketleri'ni kullanarak, çok çeşitli IP adresleri açmadan Azure, Dynamics ve Office 365'daki belirli hizmetlere giden erişimi etkinleştirmek mümkündür. Azure, bu etiketler ve her hizmet tarafından kullanılan temel IP adresleri arasındaki eşlemeyi otomatik olarak korur. Azure Güvenlik Duvarı tarafından kullanılabilen Hizmet Etiketlerinin listesi burada listelenmiştir: Az Firewall Service Tags. |
| Belirli Microsoft hizmetlerine seçmeli erişimi etkinleştirmek için Uygulama Kuralları'nda FQDN Etiketlerini kullanın. | FQDN etiketi, iyi bilinen Microsoft hizmetleriyle ilişkilendirilmiş bir grup tam etki alanı adını (FQDN) temsil eder. Bazı Belirli Azure hizmetleri, Office 365, Windows 365 ve Intune için güvenlik duvarınız üzerinden gerekli giden ağ trafiğine izin vermek için uygulama kurallarında bir FQDN etiketi kullanabilirsiniz. |
| DDoS koruma planı oluşturmak ve merkez sanal ağınızla ilişkilendirmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanın (Azure Sanal WAN için geçerli değildir). | DDoS koruma planı, güvenlik duvarınızı DDoS saldırılarına karşı korumak için gelişmiş risk azaltma özellikleri sağlar. Azure Güvenlik Duvarı Manager, güvenlik duvarı altyapınızı ve DDoS koruma planlarınızı oluşturmaya yönelik tümleşik bir araçtır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Manager kullanarak Azure DDoS Koruma Planı yapılandırma. |
| TLS İncelemesi için sertifika oluşturmak üzere Kurumsal PKI kullanın. | Azure Güvenlik Duvarı Premium ile TLS Denetleme özelliği kullanılıyorsa, üretim ortamı için bir iç Kuruluş Sertifika Yetkilisi'ni (CA) kullanmanız önerilir. Otomatik olarak imzalanan sertifikalar yalnızca test/PoC amacıyla kullanılmalıdır. |
| Azure Güvenlik Duvarı ve Application Gateway için Zero-Trust yapılandırma kılavuzunu gözden geçirin | Güvenlik gereksinimleriniz web uygulamaları için Zero-Trust bir yaklaşım (inceleme ve şifreleme) uygulamayı gerekli kılıyorsa, bu kılavuzu izlemeniz önerilir. Bu belgede hem geleneksel Merkez & Uç hem de Sanal WAN senaryolarında Azure Güvenlik Duvarı ve Application Gateway birlikte tümleştirme açıklanacaktır. |
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
İlke tanımları
Ağ arabirimlerinin genel IP'leri olmamalıdır. Bu ilke, herhangi bir genel IP ile yapılandırılan ağ arabirimlerini reddeder. Genel IP adresleri İnternet kaynaklarından Azure kaynaklarına gelen iletişime ve Azure kaynaklarından İnternet'e giden iletişime olanak sağlar.
Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı üzerinden yönlendirilmelidir. Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarı ile alt ağlarınıza erişimi kısıtlayarak olası tehditlere karşı koruyun.
Azure güvenlik duvarı ilkesi, uygulama kuralları içinde TLS incelemesini etkinleştirmelidir. HTTPS'deki kötü amaçlı etkinlikleri algılamak, uyarmak ve azaltmak için tüm uygulama kuralları için TLS denetiminin etkinleştirilmesi önerilir. Azure Güvenlik Duvarı ile TLS denetimi hakkında daha fazla bilgi edinmek için adresini ziyaret edinhttps://aka.ms/fw-tlsinspect.
Azure Güvenlik Duvarı Premium, TLS incelemesini etkinleştirmek için geçerli bir ara sertifika yapılandırmalıdır. HTTPS'de kötü amaçlı etkinlikleri algılamak, uyarmak ve azaltmak için geçerli bir ara sertifika yapılandırın ve Premium TLS'yi Azure Güvenlik Duvarı denetlemeyi etkinleştirin. Azure Güvenlik Duvarı ile TLS denetimi hakkında daha fazla bilgi edinmek için adresini ziyaret edinhttps://aka.ms/fw-tlsinspect.
Güvenlik Duvarı İlkesi Premium'da Yetkisiz Erişim Algılama ve Önleme Sistemi'nin (IDPS) atlama listesi boş olmalıdır. Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) Atlama Listesi, atlama listesinde belirtilen IP adreslerine, aralıklara ve alt ağlara giden trafiği filtrelememenizi sağlar. Ancak, bilinen tehditleri daha iyi tanımlamak için tüm trafik akışları için IDPS'nin etkinleştirilmesi önerilir. Azure Güvenlik Duvarı Premium ile Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) imzaları hakkında daha fazla bilgi edinmek için adresini ziyaret edinhttps://aka.ms/fw-idps-signature.
Güvenlik Duvarı İlkesi Premium, tüm gelen ve giden trafik akışlarını izlemek için tüm IDPS imza kurallarını etkinleştirmelidir. Trafik akışlarındaki bilinen tehditleri daha iyi tanımlamak için tüm İzinsiz Giriş Algılama ve Önleme Sistemi (IDPS) imza kurallarının etkinleştirilmesi önerilir. Azure Güvenlik Duvarı Premium ile Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) imzaları hakkında daha fazla bilgi edinmek için adresini ziyaret edinhttps://aka.ms/fw-idps.
Güvenlik Duvarı İlkesi Premium, Yetkisiz Erişim Algılama ve Önleme Sistemi'ni (IDPS) etkinleştirmelidir. Yetkisiz Erişim Algılama ve Önleme Sistemi'nin (IDPS) etkinleştirilmesi ağınızı kötü amaçlı etkinlikler için izlemenize, bu etkinlikle ilgili bilgileri günlüğe kaydetmenize, raporlamanıza ve isteğe bağlı olarak engellemeye çalışmanıza olanak tanır. Azure Güvenlik Duvarı Premium ile Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) hakkında daha fazla bilgi edinmek için adresini ziyaret edinhttps://aka.ms/fw-idps.
Abonelik, ek koruma katmanı sağlamak için Azure Güvenlik Duvarı Premium'ı yapılandırmalıdır. Azure Güvenlik Duvarı Premium, son derece hassas ve düzenlenmiş ortamların gereksinimlerini karşılayan gelişmiş tehdit koruması sağlar. aboneliğinize Azure Güvenlik Duvarı Premium dağıtın ve tüm hizmet trafiğinin Azure Güvenlik Duvarı Premium tarafından korunduğundan emin olun. Azure Güvenlik Duvarı Premium hakkında daha fazla bilgi edinmek için adresini ziyaret edinhttps://aka.ms/fw-premium.
Azure ağıyla ilgili tüm yerleşik ilke tanımları Yerleşik ilkeler - Ağ bölümünde listelenmiştir.
Maliyet iyileştirmesi
Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri artırmanın yollarını gözden geçmektir.
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken, maliyet iyileştirme için tasarım ilkelerini gözden geçirin.
- Dağıtılacak Azure Güvenlik Duvarı SKU'yu seçin.
- Bazı örneklerin kalıcı 7/24 ayırma gerekip gerekmediğini belirleyin.
- İş yükleri arasında güvenlik duvarı kullanımını nerede iyileştirebileceğinizi belirleyin.
- Maliyet verimliliğini belirlemek için güvenlik duvarı örneklerinin kullanımını izleyin ve iyileştirin.
- Gerekli genel IP adreslerinin sayısını ve kullanılan İlkeleri gözden geçirin ve iyileştirin.
- Günlüğe kaydetme gereksinimlerini gözden geçirin, zaman içindeki maliyeti ve denetimi tahmin edin.
Öneriler
Maliyet iyileştirme için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Uygun Azure Güvenlik Duvarı SKU'yu dağıtın. | Azure Güvenlik Duvarı üç farklı SKU'da dağıtılabilir: Temel, Standart ve Premium. Azure Güvenlik Duvarı Premium,son derece hassas uygulamaların (ödeme işleme gibi) güvenliğini sağlamak için önerilir. Azure Güvenlik Duvarı Standart, Katman 3-Katman 7 güvenlik duvarını arayan müşteriler için önerilir ve 30 Gb/sn'ye kadar en yüksek trafik sürelerini işlemek için otomatik ölçeklendirmeye ihtiyaç duyar. Azure Güvenlik Duvarı Basic, aktarım hızı 250 Mb/sn olan SMB müşterileri için önerilir. Gerekirse, burada belgelendiği gibi Standart ve Premium arasında eski sürüme düşürme veya yükseltme yapılabilir. Daha fazla bilgi için bkz. gereksinimlerinizi karşılamak için doğru Azure Güvenlik Duvarı SKU'yu seçme. |
| 7/24 çalışması gerekmeyen Azure Güvenlik Duvarı dağıtımları durdurun. | Yalnızca iş saatlerinde kullanılan geliştirme veya test ortamlarınız olabilir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı serbest bırakma ve ayırma. |
| Birden çok iş yükünde ve Azure Sanal Ağlarında aynı Azure Güvenlik Duvarı örneğini paylaşın. | Merkez sanal ağında Azure Güvenlik Duvarı merkezi bir örneğini kullanabilir veya güvenli hub Sanal WAN ve aynı güvenlik duvarını aynı bölgeden aynı hub'a bağlı birçok uç sanal ağı arasında paylaşabilirsiniz. Merkez-uç topolojisinin bir parçası olarak beklenmeyen bölgeler arası trafik olmadığından emin olun. |
| Azure Güvenlik Duvarı tarafından işlenen trafiği düzenli olarak gözden geçirin ve kaynak iş yükü iyileştirmelerini arayın | Üst Akışlar günlüğü (sektörde Yağ Akışları olarak bilinir), güvenlik duvarı üzerinden en yüksek aktarım hızına katkıda bulunan en yüksek bağlantıları gösterir. Azure Güvenlik Duvarı tarafından işlenen trafiği düzenli olarak gözden geçirmenizi ve güvenlik duvarından geçen trafik miktarını azaltmak için olası iyileştirmeleri aramanızı öneririz. |
| Yetersiz kullanılan Azure Güvenlik Duvarı örneklerini gözden geçirin. Kullanılmayan Azure Güvenlik Duvarı dağıtımlarını tanımlama ve silme. | Kullanılmayan Azure Güvenlik Duvarı dağıtımlarını belirlemek için güvenlik duvarının özel IP'sine işaret eden alt ağlarla ilişkili izleme ölçümlerini ve UDR'leri analiz ederek başlayın. Azure Güvenlik Duvarı örneğinizin NAT, Ağ ve Uygulama için herhangi bir kuralı (klasik) olması veya DNS Ara Sunucusu ayarının Devre Dışı olarak yapılandırılması ve ortamınız ve dağıtımlarınız hakkındaki iç belgelerle birlikte bu bilgileri diğer doğrulamalarla birleştirin. Zaman içinde uygun maliyetli dağıtımları algılayabilirsiniz. Günlükleri ve ölçümleri izleme hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme ve SNAT bağlantı noktası kullanımı. |
| operasyonel maliyetleri azaltmak, verimliliği artırmak ve yönetim yükünü azaltmak için Azure Güvenlik Duvarı Yöneticisi'ni ve İlkelerini kullanın. | Güvenlik Duvarı Yöneticisi ilkelerinizi, ilişkilendirmelerinizi ve devralmayı dikkatle gözden geçirin. İlkeler güvenlik duvarı ilişkilendirmelerine göre faturalandırılır. Sıfır veya bir güvenlik duvarı ilişkilendirmesi olan bir ilke ücretsizdir. Birden çok güvenlik duvarı ilişkilendirmesi olan bir ilke sabit bir oranda faturalandırılır. Daha fazla bilgi için bkz. Fiyatlandırma - Azure Güvenlik Duvarı Yöneticisi. |
| Kullanılmayan genel IP adreslerini silin. | İlişkili tüm genel IP adreslerinin kullanımda olup olmadığını doğrulayın. Kullanımda değilse, ilişkilendirmelerini kaldırın ve silin. IP adreslerini kaldırmadan önce SNAT bağlantı noktası kullanımını değerlendirin. Yalnızca güvenlik duvarınızın ihtiyaç duyduğu genel IP sayısını kullanırsınız. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme veSNAT bağlantı noktası kullanımı. |
| Günlük gereksinimlerini gözden geçirin. | Azure Güvenlik Duvarı, gördüğü tüm trafiğin meta verilerini Event Hubs aracılığıyla Log Analytics Çalışma Alanları, Depolama veya üçüncü taraf çözümlerine kapsamlı bir şekilde günlüğe kaydetme özelliğine sahiptir. Ancak tüm günlüğe kaydetme çözümleri veri işleme ve depolama maliyetlerine neden olur. Çok büyük hacimlerde bu maliyetler önemli olabilir, Log Analytics'e uygun maliyetli bir yaklaşım ve alternatif olarak dikkate alınmalı ve maliyet tahmini yapılmalıdır. Tüm günlük kategorileri için trafik meta verilerini günlüğe kaydetmenin gerekip gerekmediğini düşünün ve gerekirse Tanılama Ayarları'nda değiştirin. |
Daha fazla öneri için bkz . Maliyet İyileştirme için tasarım gözden geçirmesi denetim listesi.
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
Operasyonel Mükemmellik
İzleme ve tanılama çok önemlidir. Sorunları hızla gidermek ve düzeltmek için performans istatistiklerini ve ölçümlerini ölçebilirsiniz.
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken operasyonel mükemmellik için tasarım ilkelerini gözden geçirin.
- Azure Güvenlik Duvarı yapılandırmasının ve İlkelerinin envanterini ve yedeklemesini koruyun.
- Güvenlik duvarı izleme ve sorun giderme için tanılama günlüklerini kullanın.
- Azure Güvenlik Duvarı İzleme çalışma kitabından yararlanın.
- İlke içgörülerinizi ve analizlerinizi düzenli olarak gözden geçirin.
- Azure Güvenlik Duvarı Bulut ve Microsoft Sentinel için Microsoft Defender ile tümleştirin.
Öneriler
operasyonel mükemmellik için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu keşfedin.
| Öneri | Avantaj |
|---|---|
| VNet içi trafik denetimi için Azure Güvenlik Duvarı kullanmayın. | Azure Güvenlik Duvarı sanal ağlar arasında, sanal ağlar ve şirket içi ağlar arasındaki trafiği, İnternet'e giden trafiği ve gelen HTTP/sn olmayan trafiği denetlemek için kullanılmalıdır. Sanal ağ içi trafik denetimi için Ağ Güvenlik Gruplarının kullanılması önerilir. |
| Azure İlkesi yapıtlarının düzenli yedeklemelerini koruyun. | Azure Güvenlik Duvarı ve tüm bağımlılıkları korumak için Kod Olarak Altyapı (IaC) yaklaşımı kullanılıyorsa, Azure Güvenlik Duvarı İlkelerinin yedeklenmesi ve sürümü zaten mevcut olmalıdır. Aksi takdirde, otomatikleştirmek ve etkili bir çözüm sağlamak için dış Mantıksal Uygulamayı temel alan yardımcı bir mekanizma dağıtılabilir. |
| Azure Güvenlik Duvarı için Tanılama Günlüklerini etkinleştirin. | Tanılama Günlükleri, Azure Güvenlik Duvarı için birçok izleme aracı ve stratejisi için önemli bir bileşendir ve etkinleştirilmesi gerekir. Güvenlik duvarı günlüklerini veya çalışma kitaplarını kullanarak Azure Güvenlik Duvarı izleyebilirsiniz. Etkinlik günlüklerini Azure Güvenlik Duvarı kaynaklarda denetim işlemleri için de kullanabilirsiniz. |
| Yapılandırılmış Güvenlik Duvarı Günlükleri biçimini kullanın. | Yapılandırılmış Güvenlik Duvarı Günlükleri , belirli bir yeni biçimde düzenlenmiş günlük verileri türüdür. Günlük verilerini aramayı, filtrelemeyi ve çözümlemeyi kolaylaştıracak şekilde yapılandırmak için önceden tanımlanmış bir şema kullanır. En son izleme araçları bu tür günlükleri temel alır, bu nedenle genellikle bir ön koşuldur. Önceki Tanılama Günlükleri biçimini yalnızca ön koşula sahip mevcut bir araç varsa kullanın. Her iki günlüğe kaydetme biçimlerini aynı anda etkinleştirmeyin. |
| Yerleşik Azure Güvenlik Duvarı İzleme Çalışma Kitabı'nı kullanın. | Azure Güvenlik Duvarı portal deneyimi artık İzleme bölümü kullanıcı arabirimi altında yeni bir çalışma kitabı içerir; ayrı bir yükleme artık gerekli değildir. Azure Güvenlik Duvarı Çalışma Kitabı ile Azure Güvenlik Duvarı olaylardan değerli içgörüler ayıklayabilir, uygulama ve ağ kurallarınızı inceleyebilir ve URL'ler, bağlantı noktaları ve adresler arasındaki güvenlik duvarı etkinlikleriyle ilgili istatistikleri inceleyebilirsiniz. |
| Ana ölçümleri izleyin ve Azure Güvenlik Duvarı kapasite kullanımı göstergeleri için uyarılar oluşturun. | En az Aktarım Hızı, Güvenlik Duvarı sistem durumu, SNAT bağlantı noktası kullanımı ve AZFW Gecikme Yoklaması ölçümlerini izlemek için uyarılar oluşturulmalıdır. Günlükleri ve ölçümleri izleme hakkında bilgi için bkz. Azure Güvenlik Duvarı günlükleri ve ölçümleri izleme. |
| Bulut ve Microsoft Sentineliçin Microsoft Defender ile Azure Güvenlik Duvarı tümleştirmeyi yapılandırın. | Bu araçlar ortamda kullanılabiliyorsa Bulut ve Microsoft Sentinel çözümleri için Microsoft Defender ile tümleştirmeden yararlanmanızı öneririz. Bulut tümleştirmesi için Microsoft Defender ile ağ altyapısının ve ağ güvenliğinin tüm durumunu, Azure'daki farklı bölgelere yayılmış tüm sanal ağlarda ve Sanal Hub'larda Azure Ağ Güvenliği de dahil olmak üzere tek bir yerde görselleştirebilirsiniz. Microsoft Sentinel ile tümleştirme, tehdit algılama ve önleme özellikleri sağlar. |
| Olası sorunları belirlemek için düzenli olarak İlke Analizi panosunu gözden geçirin. | İlke Analizi, Azure Güvenlik Duvarı ilkelerinizin etkisine ilişkin içgörüler sağlayan yeni bir özelliktir. İlkelerinizdeki olası sorunları (ilke sınırlarına ulaşma, düşük kullanım kuralları, yedekli kurallar, çok genel kurallar, IP Grupları kullanım önerisi) belirlemenize yardımcı olur ve güvenlik duruşunuzu ve kural işleme performansınızı geliştirmeye yönelik öneriler sağlar. |
| Azure Güvenlik Duvarı günlüklerini kullanarak hızlı analiz ve sorun gidermeye olanak tanımak için KQL (Kusto Sorgu Dili) sorgularını tanıyabilirsiniz. | Azure Güvenlik Duvarı için örnek sorgular sağlanır. Bunlar, güvenlik duvarınızın içinde neler olduğunu hızla belirlemenize ve hangi kuralın tetiklendiğine veya hangi kuralın isteğe izin vermesine/engellediğine bakmanıza olanak tanır. |
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
Performans verimliliği
Performans verimliliği, iş yükünüzün kullanıcılar tarafından talep edilen talepleri verimli bir şekilde karşılayacak şekilde ölçeklendirilebilmesidir.
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken performans verimliliği için tasarım ilkelerini gözden geçirin.
- Güvenlik duvarı kurallarını düzenli olarak gözden geçirin ve iyileştirin.
- IP aralıklarını ve URL listesini özetlemek için ilke gereksinimlerini ve fırsatlarını gözden geçirin.
- SNAT bağlantı noktası gereksinimlerinizi değerlendirin.
- Ortamınızda otomatik ölçeklendirme performansını test etmek için yük testleri planlayın.
- Gerekli değilse tanılama araçlarını ve günlüğe kaydetmeyi etkinleştirmeyin.
Öneriler
Performans verimliliği için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu keşfedin.
| Öneri | Avantaj |
|---|---|
| Güvenlik Duvarı İlkeleri için olası iyileştirmeleri belirlemek için İlke Analizi panosunu kullanın. | İlke Analizi, Azure Güvenlik Duvarı ilkelerinizin etkisine ilişkin içgörüler sağlayan yeni bir özelliktir. İlkelerinizdeki olası sorunları (ilke sınırlarına ulaşma, düşük kullanım kuralları, yedekli kurallar, çok genel kurallar, IP Grupları kullanım önerisi) belirlemenize yardımcı olur ve güvenlik duruşunuzu ve kural işleme performansınızı iyileştirmeye yönelik öneriler sağlar. |
| Büyük kural kümelerine sahip Güvenlik Duvarı İlkeleri için, gecikme süresini iyileştirmek için en sık kullanılan kuralları grubun erken aşamalarına yerleştirin. | Kurallar kural türü, devralma, Kural Koleksiyonu Grubu önceliği ve Kural Koleksiyonu önceliğine göre işlenir. En yüksek öncelikli Kural Toplama Grupları önce işlenir. Bir kural koleksiyonu grubu içinde, önce en yüksek önceliğe sahip Kural Koleksiyonları işlenir. En çok kullanılan kuralların kural kümesine daha yükseğe yerleştirilmesi işlem gecikme süresini iyileştirir. Kuralların nasıl işlendiği ve değerlendirıldığı bu makalede açıklanmıştır. |
| IP adresi aralıklarını özetlemek için IP Gruplarını kullanın. | IP aralıklarını özetlemek için IP Gruplarını kullanabilirsiniz, böylece benzersiz kaynak/hedef ağ kuralları sınırını aşmazsınız. Her kural için Azure, bağlantı noktalarını IP adresleriyle çarpar. Bu nedenle, dört IP adresi aralığı ve beş bağlantı noktası içeren bir kuralınız varsa 20 ağ kuralı kullanmanız gerekir. IP Grubu, ağ kuralları oluşturmak amacıyla tek bir adres olarak değerlendirilir. |
| Toplu olarak giden erişime izin vermek veya erişimi reddetmek için Web Kategorilerini göz önünde bulundurun. | Genel İnternet sitelerinin uzun bir listesini açıkça oluşturmak ve korumak yerine, Azure Güvenlik Duvarı Web Kategorilerinin kullanımını göz önünde bulundurun. Bu özellik web içeriğini dinamik olarak kategorilere ayırır ve sıkıştırılmış Uygulama Kuralları oluşturulmasına izin verir. |
| Uyarı ve reddetme modunda IDPS'nin performans etkisini değerlendirin. | IDPS modunda çalışmak için Azure Güvenlik Duvarı Uyarı ve reddetme gerekiyorsa, bu sayfada belirtildiği gibi performans etkisini dikkatle göz önünde bulundurun. |
| Olası SNAT bağlantı noktası tükenme sorununu değerlendirin. | Azure Güvenlik Duvarı şu anda arka uç Sanal Makine Ölçek Kümesi örneği başına Genel IP adresi başına 2496 bağlantı noktasını desteklemektedir. Varsayılan olarak iki Sanal Makine Ölçek Kümesi örneği vardır. Bu nedenle, akış hedef IP'si, hedef bağlantı noktası ve protokol (TCP veya UDP) başına 4992 bağlantı noktası vardır. Güvenlik duvarının ölçeği en fazla 20 örneğe kadar artırılır. SNAT tükenmesine duyarlı dağıtımlar için en az beş genel IP adresiyle Azure Güvenlik Duvarı dağıtımları yapılandırarak sınırları aşabilirsiniz. |
| Herhangi bir performans test Azure Güvenlik Duvarı önce düzgün bir şekilde ısın. | Yük testlerinizin parçası olmayan ilk trafiği testden 20 dakika önce oluşturun. Ölçeği artırma ve azaltma olaylarını yakalamak için tanılama ayarlarını kullanın. İlk trafiği oluşturmak için Azure Load Testing hizmetini kullanabilirsiniz. Azure Güvenlik Duvarı örneğinin örneklerinin ölçeğini en yüksek düzeye kadar artırmasına izin verir. |
| /26 adres alanına sahip bir Azure Güvenlik Duvarı alt ağı (AzureFirewallSubnet) yapılandırın. | Azure Güvenlik Duvarı, sanal ağınızdaki ayrılmış bir dağıtımdır. Sanal ağınızda, Azure Güvenlik Duvarı örneği için ayrılmış bir alt ağ gerekir. Azure Güvenlik Duvarı ölçeklendirildikçe daha fazla kapasite sağlar. Alt ağları için bir /26 adres alanı, güvenlik duvarının ölçeklendirmeye uyum sağlamak için yeterli IP adresine sahip olmasını sağlar. Azure Güvenlik Duvarı /26'dan büyük bir alt ağa gerek yoktur. Azure Güvenlik Duvarı alt ağ adı AzureFirewallSubnet olmalıdır. |
| Gerekli değilse gelişmiş günlüğü etkinleştirme | Azure Güvenlik Duvarı, her zaman etkin tutulması pahalı olabilecek bazı gelişmiş günlük özellikleri sağlar. Bunun yerine, yalnızca sorun giderme amacıyla kullanılmalı ve süresi sınırlı olmalı, daha fazla gerekmediğinde devre dışı bırakılmalıdır. Örneğin, Üst akışlar ve Akış izleme günlükleri pahalıdır, Azure Güvenlik Duvarı altyapısında aşırı CPU ve depolama kullanımına neden olabilir. |
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
Azure Danışmanı önerileri
Azure Danışmanı, Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri izlemenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır. Henüz Azure Güvenlik Duvarı danışman önerisi yok. Güvenilirlik, güvenlik, uygun maliyetlilik, performans ve operasyonel mükemmelliğin geliştirilmesine yardımcı olmak için bazı genel öneriler uygulanabilir.
- Azure sorunları sizi etkilediğinde bildirim almak için Azure Hizmet Durumu uyarıları oluşturma
- İhtiyacınız olduğunda Azure bulut uzmanlarına erişiminiz olduğundan emin olun
- Azure kaynakları arasındaki trafik düzenleriyle ilgili içgörüleri görüntülemek için Trafik Analizi'ni etkinleştirme
- Yeterli yönetim (en az ayrıcalık ilkesi) izleyin
- Bulut için Microsoft Defender ile ağ kaynaklarınızı koruma
Ek kaynaklar
- Azure Güvenlik Duvarı belgeleri
- Azure Güvenlik Duvarı Yöneticisi nedir?
- Hizmet sınırlarını, kotaları ve kısıtlamaları Azure Güvenlik Duvarı
- Azure Güvenlik Duvarı için Azure güvenlik temeli
Azure Mimari Merkezi kılavuzu
- Azure Güvenlik Duvarı mimarisine genel bakış
- Azure Kubernetes Service (AKS) kümesini korumaya yardımcı olmak için Azure Güvenlik Duvarı kullanma
- Azure Sanal Masaüstü (AVD) dağıtımlarını korumak için Azure Güvenlik Duvarı kullanma
- Office 365 korumak için Azure Güvenlik Duvarı kullanma
- Azure'da merkez-uç ağ topolojisi
- Azure Güvenlik Duvarı ve Application Gateway ile web uygulamaları için sıfır güven ağı
- Güvenli hibrit ağ uygulama
- PaaS veri depolarına özel bağlantısı olan ağ ile sağlamlaştırılmış web uygulaması
Sonraki adım
Nasıl çalıştığını görmek için bir Azure Güvenlik Duvarı örneği dağıtın:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin