Azure Load Balancer için Azure güvenlik temeli
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure Load Balancer için yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure Load Balancer için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Azure Load Balancer için geçerli olmayan özellikler dışlanmıştır. Azure Load Balancer Microsoft bulut güvenlik karşılaştırmasına nasıl tamamen eşlediğini görmek için tam Azure Load Balancer güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, Azure Load Balancer yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Ağ |
| Müşteri HOST / işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Yanlış |
| Bekleyen müşteri içeriğini depolar | Yanlış |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure Load Balancer kaynağı doğrudan bir Sanal Ağ dağıtmasa da, İç SKU hedef Azure Sanal Ağ kullanarak bir veya daha fazla ön uç IP yapılandırması oluşturabilir.
Yapılandırma Kılavuzu: Azure, Standart ve Temel olmak üzere iki tür Load Balancer teklifi sunar. İnternet'e maruz kalmadan yalnızca belirli sanal ağlardan veya eşlenmiş sanal ağlardan arka uç kaynaklarına gelen trafiğe izin vermek için iç Azure Load Balancer'ları kullanın. Doğrudan İnternet'e açıktan korunmak üzere arka uç kaynaklarının IP adreslerini maskeleme amacıyla Kaynak Ağ Adresi Çevirisi (SNAT) ile bir dış Load Balancer uygulayın.
Başvuru: İç Load Balancer Ön Uç IP yapılandırması
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasına saygı gösterir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Kullanıcılar sanal ağlarında bir NSG yapılandırabilir ancak doğrudan Load Balancer.
Yapılandırma Kılavuzu: Ağ güvenlik gruplarını uygulayın ve yalnızca uygulamanızın güvenilen bağlantı noktalarına ve IP adresi aralıklarına erişime izin verin. Arka uç sanal makinelerinin arka uç alt ağına veya NIC'sine atanmış bir ağ güvenlik grubu olmadığı durumlarda, trafiğin yük dengeleyiciden bu kaynaklara erişmesine izin verilmez. Standart Load Balancer'lar bir ağ güvenlik grubuyla giden NAT tanımlamak için giden kurallar sağlar. Giden bağlantılarınızın davranışını ayarlamak için bu giden kurallarını gözden geçirin.
Standart Load Balancer, varsayılan olarak güvenli olacak ve özel ve yalıtılmış bir Sanal Ağ parçası olarak tasarlanmıştır. İzin verilen trafiğe açıkça izin vermek ve bilinen kötü amaçlı IP adreslerine izin vermek için ağ güvenlik grupları tarafından açılmadığı sürece gelen akışlara kapatılır. Load Balancer arkasında sanal makine kaynağınızın alt ağında veya NIC'sinde bir ağ güvenlik grubu yoksa trafiğin bu kaynağa ulaşmasına izin verilmez.
Not: Üretim iş yükleriniz için bir Standart Load Balancer kullanılması önerilir ve temel tür varsayılan olarak İnternet'ten gelen bağlantılara açık olduğundan ve işlem için ağ güvenlik grupları gerektirmediğinden Temel Load Balancer yalnızca test için kullanılır.
Başvuru: ön uç IP yapılandırması Azure Load Balancer
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Network:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile alt ağınıza erişimi kısıtlayarak olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Access Control Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure İlkesi kullanarak Azure kaynakları için standart güvenlik yapılandırmaları tanımlayın ve uygulayın. Belirli Azure Load Balancer kaynaklarınızla ilgili yerleşik ilke tanımları atayın. Kullanılabilir yerleşik İlke tanımları olmadığında, 'Microsoft.Network' ad alanında Azure Load Balancer kaynaklarınızın yapılandırmasını denetlemek veya zorunlu kılmak üzere özel ilkeler oluşturmak için Azure İlkesi diğer adlarını kullanabilirsiniz.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin