Aracılığıyla paylaş


Azure Load Balancer için Azure güvenlik temeli

Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure Load Balancer için yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure Load Balancer için geçerli olan ilgili kılavuza göre gruplandırılır.

Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.

Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.

Not

Azure Load Balancer için geçerli olmayan özellikler dışlanmıştır. Azure Load Balancer Microsoft bulut güvenlik karşılaştırmasına nasıl tamamen eşlediğini görmek için tam Azure Load Balancer güvenlik temeli eşleme dosyasına bakın.

Güvenlik profili

Güvenlik profili, Azure Load Balancer yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.

Hizmet Davranışı Özniteliği Değer
Ürün Kategorisi
Müşteri HOST / işletim sistemine erişebilir Erişim Yok
Hizmet müşterinin sanal ağına dağıtılabilir Yanlış
Bekleyen müşteri içeriğini depolar Yanlış

Ağ güvenliği

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.

NS-1: Ağ segmentasyon sınırları oluşturma

Özellikler

Sanal Ağ Tümleştirmesi

Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Azure Load Balancer kaynağı doğrudan bir Sanal Ağ dağıtmasa da, İç SKU hedef Azure Sanal Ağ kullanarak bir veya daha fazla ön uç IP yapılandırması oluşturabilir.

Yapılandırma Kılavuzu: Azure, Standart ve Temel olmak üzere iki tür Load Balancer teklifi sunar. İnternet'e maruz kalmadan yalnızca belirli sanal ağlardan veya eşlenmiş sanal ağlardan arka uç kaynaklarına gelen trafiğe izin vermek için iç Azure Load Balancer'ları kullanın. Doğrudan İnternet'e açıktan korunmak üzere arka uç kaynaklarının IP adreslerini maskeleme amacıyla Kaynak Ağ Adresi Çevirisi (SNAT) ile bir dış Load Balancer uygulayın.

Başvuru: İç Load Balancer Ön Uç IP yapılandırması

Ağ Güvenlik Grubu Desteği

Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasına saygı gösterir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Kullanıcılar sanal ağlarında bir NSG yapılandırabilir ancak doğrudan Load Balancer.

Yapılandırma Kılavuzu: Ağ güvenlik gruplarını uygulayın ve yalnızca uygulamanızın güvenilen bağlantı noktalarına ve IP adresi aralıklarına erişime izin verin. Arka uç sanal makinelerinin arka uç alt ağına veya NIC'sine atanmış bir ağ güvenlik grubu olmadığı durumlarda, trafiğin yük dengeleyiciden bu kaynaklara erişmesine izin verilmez. Standart Load Balancer'lar bir ağ güvenlik grubuyla giden NAT tanımlamak için giden kurallar sağlar. Giden bağlantılarınızın davranışını ayarlamak için bu giden kurallarını gözden geçirin.

Standart Load Balancer, varsayılan olarak güvenli olacak ve özel ve yalıtılmış bir Sanal Ağ parçası olarak tasarlanmıştır. İzin verilen trafiğe açıkça izin vermek ve bilinen kötü amaçlı IP adreslerine izin vermek için ağ güvenlik grupları tarafından açılmadığı sürece gelen akışlara kapatılır. Load Balancer arkasında sanal makine kaynağınızın alt ağında veya NIC'sinde bir ağ güvenlik grubu yoksa trafiğin bu kaynağa ulaşmasına izin verilmez.

Not: Üretim iş yükleriniz için bir Standart Load Balancer kullanılması önerilir ve temel tür varsayılan olarak İnternet'ten gelen bağlantılara açık olduğundan ve işlem için ağ güvenlik grupları gerektirmediğinden Temel Load Balancer yalnızca test için kullanılır.

Başvuru: ön uç IP yapılandırması Azure Load Balancer

Bulut izleme için Microsoft Defender

yerleşik tanımları Azure İlkesi - Microsoft.Network:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile alt ağınıza erişimi kısıtlayarak olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Access Control Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0

Varlık yönetimi

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.

AM-2: Yalnızca onaylanan hizmetleri kullanın

Özellikler

Azure İlkesi Desteği

Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Azure İlkesi kullanarak Azure kaynakları için standart güvenlik yapılandırmaları tanımlayın ve uygulayın. Belirli Azure Load Balancer kaynaklarınızla ilgili yerleşik ilke tanımları atayın. Kullanılabilir yerleşik İlke tanımları olmadığında, 'Microsoft.Network' ad alanında Azure Load Balancer kaynaklarınızın yapılandırmasını denetlemek veya zorunlu kılmak üzere özel ilkeler oluşturmak için Azure İlkesi diğer adlarını kullanabilirsiniz.

Sonraki adımlar