Aracılığıyla paylaş

Azure tabanlı ağ iletişimlerini şifrelemeye Sıfır Güven ilkeleri uygulama

  • Makale

Bu makalede, Azure ortamlarına ağ iletişimini şifrelemek için Sıfır Güven ilkelerini aşağıdaki yollarla uygulamaya yönelik yönergeler sağlanır.

Sıfır Güven ilkesi Tanım Met by
Açıkça doğrula Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. Kullanıcıdan sanal makineye bağlantılarınız için Azure VPN Gateway bağlantılarınız ve Secure Shell (SSH) ve Uzak Masaüstü Protokolü (RDP) için Koşullu Erişim ilkelerini kullanma.
En az ayrıcalıklı erişim kullan Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. Microsoft Enterprise Edge (MSEE) cihazlarınızı doğrudan bağlantı noktalarıyla Azure ExpressRoute için statik bağlantı ilişkilendirme anahtarı (CAK) kullanacak şekilde yapılandırma ve ExpressRoute bağlantı hattı kaynaklarının kimliğini doğrulamak için yönetilen kimlik kullanma.
İhlal varsay Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın. Aktarımdaki verilerinizin gizliliğini, bütünlüğünü ve orijinalliğini sağlayan şifreleme yöntemleri ve protokolleri ile ağ trafiğini koruma.

ExpressRoute ağ performansı ölçümleri ve uyarıları sağlamak için Azure İzleyici'yi kullanma.

Bastion hizmetinden tek tek oturumları yönetmek ve bağlantıyı silmek veya zorlamak için Azure Bastion'ı kullanma.

Bu makale, Azure ağı için Sıfır Güven ilkelerinin nasıl uygulanacağını gösteren bir dizi makalenin bir parçasıdır.

Ağ trafiği için şifreleme düzeyleri şunlardır:

  • Ağ katmanı şifrelemesi

    • İnternet'ten veya şirket içi ağınızdan Azure sanal ağları ve sanal makineleriyle iletişimi güvenlileştirme ve doğrulama

    • Azure sanal ağları içinde ve genelinde iletişimin güvenliğini sağlama ve doğrulama

  • Uygulama katmanı şifrelemesi

    • Azure Web Uygulamaları için koruma

  • Azure sanal makinelerinde çalışan iş yükleri için koruma

Referans mimarisi

Aşağıdaki diyagramda, bu makalede açıklanan adımlar için bu Sıfır Güven kılavuzuna yönelik başvuru mimarisi, şirket içi veya İnternet üzerindeki kullanıcılar ve yöneticiler ile Azure ortamındaki bileşenler arasında şifreli iletişim için gösterilmektedir.

Şifreleme ve Sıfır Güven ilkeleri uygulanmış Azure ağ bileşenleri için başvuru mimarisini gösteren diyagram.

Diyagramda, sayılar aşağıdaki bölümlerde yer alan adımlara karşılık gelir.

Bu makalede neler var?

Sıfır Güven ilkeleri, başvuru mimarisinde, İnternet'te veya şirket içi ağınızdaki kullanıcılardan ve yöneticilerden Azure bulutunun içine ve içine uygulanır. Aşağıdaki tabloda, bu mimari genelinde ağ trafiğinin şifrelenmesini sağlamaya yönelik öneriler açıklanmaktadır.

Adımlar Görev Sıfır Güven ilkeler uygulandı
1 Ağ katmanı şifrelemesi uygulama. Açıkça doğrula
En az ayrıcalıklı erişim kullan
İhlal varsay
2 Şirket içi ağdan Azure sanal ağlarına iletişimin güvenliğini sağlayın ve doğrulayın. Açıkça doğrula
İhlal varsay
3 Azure VNet'leri içinde ve genelinde iletişimin güvenliğini sağlayın ve doğrulayın. İhlal varsay
4 Uygulama katmanı şifrelemesi uygulama. Açıkça doğrula
İhlal varsay
5 Azure sanal makinelerini korumak için Azure Bastion'ı kullanın. İhlal varsay

1. Adım: Ağ katmanı şifrelemesi uygulama

Şirket içi ve Azure ortamınıza Sıfır Güven ilkeleri uygularken ağ katmanı şifrelemesi kritik önem taşır. Ağ trafiği İnternet üzerinden gittiğinde, her zaman saldırganlar tarafından trafiğin kesilmesi olasılığının olduğunu ve verileriniz hedefine ulaşmadan önce açığa çıkabileceğini veya değiştirebileceğini varsaymalısınız. Hizmet sağlayıcıları verilerin İnternet üzerinden nasıl yönlendirildiğini denetlediğinden, verilerinizin gizlilik ve bütünlüğünün şirket içi ağınızdan Microsoft'un bulutundan ayrıldığı andan itibaren korunacağından emin olmak istersiniz.

Aşağıdaki diyagramda ağ katmanı şifrelemesi uygulamak için başvuru mimarisi gösterilmektedir.

Azure ağı için ağ katmanı şifrelemesinin uygulanmasına yönelik başvuru mimarisini gösteren diyagram.

Sonraki iki bölümde, İnternet Protokolü Güvenliği (IPsec) ve Medya Erişim Denetimi Güvenliği (MACsec), hangi Azure ağ hizmetlerinin bu protokolleri desteklediği ve bunların kullanıldığından nasıl emin olabileceğiniz açıklanmaktadır.

IPsec

IPsec, İnternet Protokolü (IP) iletişimleri için güvenlik sağlayan bir protokol grubudur. Bir dizi şifreleme algoritması kullanarak ağ paketlerinin kimliğini doğrular ve şifreler. IPSec, sanal özel ağlar (VPN) oluşturmak için kullanılan güvenlik kapsülleme protokolüdür. IPsec VPN tüneli, ana mod olarak bilinen 1. aşama ve hızlı mod olarak bilinen 2. aşama olmak üzere iki aşamadan oluşur.

IPsec'in 1. aşaması, eşlerin şifreleme, kimlik doğrulaması, karma oluşturma ve Diffie-Hellman algoritmaları gibi İnternet Anahtar Değişimi (IKE) güvenlik ilişkilendirmesi için parametreleri tartıştığı tünel kuruluşudur. Eşler, kimliklerini doğrulamak için önceden paylaşılan bir anahtarı değiştirir. IPsec'in 1. aşaması iki modda çalışabilir: ana mod veya agresif mod. Azure VPN Gateway, IKE, IKEv1 ve IKEv2'nin iki sürümünü destekler ve yalnızca ana modda çalışır. Ana mod, Azure VPN Gateway ile şirket içi cihaz arasındaki bağlantı kimliğinin şifrelenmesini sağlar.

IPsec'in 2. aşamasında, eşler veri iletimi için güvenlik parametreleri konusunda anlaşma sağlar. Bu aşamada, her iki eş de şifreleme ve kimlik doğrulama algoritmaları, güvenlik ilişkisinin (SA) yaşam süresi değeri ve IPSec tüneli üzerinden hangi trafiğin şifrelendiğini tanımlayan trafik seçicileri (TS) konusunda anlaşır. 1. aşamada oluşturulan tünel, bu anlaşma için güvenli bir kanal görevi görür. IPsec, Kimlik Doğrulama Üst Bilgisi (AH) protokolü veya Kapsülleme Güvenlik Yükü (ESP) protokollerini kullanarak IP paketlerinin güvenliğini sağlayabilir. AH bütünlük ve kimlik doğrulaması sağlarken ESP de gizlilik (şifreleme) sağlar. IPsec 2. aşama aktarım modunda veya tünel modunda çalışabilir. Aktarım modunda yalnızca IP paketinin yükü şifrelenirken tünel modunda ip paketinin tamamı şifrelenir ve yeni bir IP üst bilgisi eklenir. IPsec aşama 2, IKEv1 veya IKEv2'nin üzerinde oluşturulabilir. Geçerli Azure VPN Gateway IPsec uygulaması tünel modunda yalnızca ESP'yi destekler.

IPsec'i destekleyen Azure hizmetlerinden bazıları şunlardır:

  • Azure VPN Ağ Geçidi

    • Siteden Siteye VPN bağlantıları

    • Sanal Ağdan Sanal Ağa bağlantılar

    • Noktadan Siteye bağlantılar

  • Azure Sanal WAN

    • VPN siteleri

    • Kullanıcı VPN yapılandırmaları

Bu hizmetler için IPsec'i etkinleştirmek için değiştirmeniz gereken ayar yok. Bunlar varsayılan olarak etkindir.

MACsec ve Azure Key Vault

MACsec (IEEE 802.1AE), Ethernet bağlantısı üzerinden kimlik doğrulaması ve şifreleme sağlayarak veri bağlantısı katmanında ihlal varsay Sıfır Güven ilkesini uygulayan bir ağ güvenlik standardıdır. MACsec, aynı yerel ağda bile herhangi bir ağ trafiğinin kötü amaçlı aktörler tarafından ele geçirilebileceğini veya kesilebileceğini varsayar. MACsec, iki ağ arabirimi arasında paylaşılan bir güvenlik anahtarı kullanarak her çerçeveyi doğrular ve korur. Bu yapılandırma yalnızca iki MACsec özellikli cihaz arasında gerçekleştirilebilir.

MACsec, ağ arabirimlerinin gelen ve giden güvenlik kanalları oluşturmak için kullandığı bir dizi öznitelik olan bağlantı ilişkilendirmeleriyle yapılandırılır. Oluşturulduktan sonra, bu kanallar üzerindeki trafik iki MACsec güvenli bağlantısı üzerinden değiştirilir. MACsec'in iki bağlantı ilişkilendirme modu vardır:

  • Statik bağlantı ilişkilendirme anahtarı (CAK) modu: MACsec güvenli bağlantıları, bağlantı ilişkilendirme anahtarı adı (CKN) ve atanan CAK içeren önceden paylaşılmış bir anahtar kullanılarak oluşturulur. Bu anahtarlar, bağlantının her iki ucunda da yapılandırılır.
  • Dinamik CAK modu: Güvenlik anahtarları, 802.1x kimlik doğrulama işlemi kullanılarak dinamik olarak oluşturulur ve bu işlem Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) sunucusu gibi merkezi bir kimlik doğrulama cihazı kullanabilir.

Microsoft Enterprise Edge (MSEE) cihazları, Azure ExpressRoute'u doğrudan bağlantı noktalarıyla yapılandırırken CAK ve CKN'yi bir Azure Key Vault'ta depolayarak statik CAK'yi destekler. Azure Key Vault'taki değerlere erişmek için ExpressRoute bağlantı hattı kaynağının kimliğini doğrulamak için yönetilen kimliği yapılandırın. Anahtarlara Azure Key Vault'tan yalnızca yetkili cihazlar erişebildiğinden, bu yaklaşım En az ayrıcalıklı erişim Sıfır Güven kullan ilkesini izler. Daha fazla bilgi için bkz . ExpressRoute Direct bağlantı noktalarında MACsec'i yapılandırma.

2. Adım: Şirket içi ağdan Azure sanal ağlarına iletişimi güvenli bir şekilde sağlama ve doğrulama

Bulut geçişi farklı ölçeklerdeki işletmelerde daha yaygın hale geldikçe karma bağlantı önemli bir rol oynar. Yalnızca güvenliği ve korumayı değil, aynı zamanda şirket içi ağınızla Azure arasındaki ağ iletişimini doğrulamak ve izlemek de çok önemlidir.

Aşağıdaki diyagramda, şirket içi ağdan Azure sanal ağlarına iletişimi güvenli hale getirmek ve doğrulamak için başvuru mimarisi gösterilmektedir.

Şirket içi ağdan Azure sanal ağlarına iletişimi güvenli ve doğrulayacak başvuru mimarisini gösteren diyagram.

Azure, şirket içi ağınızı bir Azure sanal ağındaki kaynaklara bağlamak için iki seçenek sunar:

  • Azure VPN Gateway, merkezi veya uzak ofislerde ağınız ile azure sanal ağı arasındaki ağ iletişimini şifrelemek ve kimlik doğrulaması yapmak için IPsec kullanarak siteden siteye VPN tüneli oluşturmanıza olanak tanır. Ayrıca tek tek istemcilerin VPN cihazı olmadan Azure sanal ağındaki kaynaklara erişmek için noktadan siteye bağlantı kurmasına da olanak tanır. Sıfır Güven uyumluluk için, bağlanan cihazların kimliğini ve uyumluluğunu doğrulamak üzere Azure VPN Gateway bağlantılarınız için Microsoft Entra ID kimlik doğrulaması ve Koşullu Erişim ilkeleri yapılandırın. Daha fazla bilgi için bkz . Koşullu Erişim ilkeleriyle Microsoft Tunnel VPN ağ geçidini kullanma.

  • Azure ExpressRoute , bir bağlantı sağlayıcısının yardımıyla şirket içi ağınızı Azure'a genişletmenize olanak tanıyan yüksek bant genişliğine sahip bir özel bağlantı sağlar. Ağ trafiği genel İnternet üzerinden hareket etmediğinden, veriler varsayılan olarak şifrelenmez. Trafiğinizi ExpressRoute üzerinden şifrelemek için bir IPsec tüneli yapılandırın. Bununla birlikte, ExpressRoute üzerinden IPsec tünellerini çalıştırırken bant genişliğinin tünel bant genişliğiyle sınırlı olduğunu ve ExpressRoute bağlantı hattı bant genişliğiyle eşleşmesi için birden çok tünel çalıştırmanız gerekebileceğini unutmayın. Daha fazla bilgi için bkz . ExpressRoute özel eşlemesi üzerinden Siteden Siteye VPN bağlantıları - Azure VPN Gateway.

    ExpressRoute Direct bağlantı noktalarını kullanıyorsanız BGP eşleri oluştururken kimlik doğrulamasını etkinleştirerek veya 2. katman iletişimini güvenli hale getirmek için MACsec'i yapılandırarak ağ güvenliğinizi artırabilirsiniz. MACsec, Ethernet çerçeveleri için şifreleme sağlayarak uç yönlendiricinizle Microsoft'un uç yönlendiricisi arasında veri gizliliği, bütünlük ve orijinallik sağlar.

    Azure ExpressRoute, ağ performansı ölçümleri ve uyarıları için Azure İzleyici'yi de destekler.

Şifreleme, verilerinizi yetkisiz kesmeye karşı korur, ancak performansı etkileyebilecek ağ trafiğini şifrelemek ve şifresini çözmek için ek bir işleme katmanı da getirir. İnternet üzerinden giden ağ trafiği de öngörülemez olabilir çünkü ağ gecikme süresine neden olabilecek birden çok ağ cihazından geçmesi gerekir. Performans sorunlarını önlemek için Microsoft, iş yükünüz için özelleştirebileceğiniz güvenilir ağ performansı ve bant genişliği ayırma özelliği sunduğundan ExpressRoute kullanılmasını önerir.

Azure VPN Gateway veya ExpressRoute arasında karar verirken aşağıdaki soruları göz önünde bulundurun:

  1. Şirket içi ağınızla Azure arasında ne tür dosyalara ve uygulamalara erişiyorsunuz? Büyük hacimli verileri aktarmak için tutarlı bant genişliğine ihtiyacınız var mı?
  2. Uygulamalarınızın en iyi şekilde performans göstermeleri için tutarlı ve düşük gecikme süresine mi ihtiyacınız var?
  3. Karma bağlantınızın ağ performansını ve sistem durumunu izlemeniz gerekiyor mu?

Bu sorulardan herhangi birine evet yanıtı verdiyseniz, şirket içi ağınızı Azure'a bağlamanın birincil yöntemi Azure ExpressRoute olmalıdır.

ExpressRoute ve Azure VPN Gateway'in birlikte var olabileceği iki yaygın senaryo vardır:

  • Azure VPN Gateway, ana ofisinizi ExpressRoute kullanarak bağlarken şube ofislerinizi Azure'a bağlamak için kullanılabilir.
  • ExpressRoute hizmetinizde kesinti olması durumunda merkezi ofisiniz için Azure'a yedekleme bağlantısı olarak Azure VPN Gateway'i de kullanabilirsiniz.

3. Adım: Azure sanal ağları içinde ve genelinde iletişimin güvenliğini sağlama ve doğrulama

Azure'da trafik temel alınan bir şifreleme düzeyine sahiptir. Farklı bölgelerdeki sanal ağlar arasında trafik hareket ettiğinde Microsoft, veri bağlantısı katmanında eşleme trafiğini şifrelemek ve kimlik doğrulaması yapmak için MACsec kullanır.

Aşağıdaki diyagramda, Azure VNet'leri içinde ve genelinde iletişimin güvenliğini sağlamaya ve doğrulamaya yönelik başvuru mimarisi gösterilmektedir.

Azure sanal ağları içinde ve genelinde iletişimin güvenliğini sağlamaya ve doğrulamaya yönelik başvuru mimarisini gösteren diyagram.

Ancak şifreleme tek başına Sıfır Güven sağlamak için yeterli değildir. Ayrıca Azure VNet'leri içinde ve genelinde ağ iletişimini doğrulamanız ve izlemeniz gerekir. Azure VPN Gateway veya ağ sanal gereçleri (NVA) yardımıyla sanal ağlar arasında daha fazla şifreleme ve doğrulama mümkündür ancak yaygın bir uygulama değildir. Microsoft, ağ topolojinizi ayrıntılı ilkeler uygulayabilen ve anomalileri algılayan merkezi bir trafik denetleme modeli kullanacak şekilde tasarlamanızı önerir.

VPN ağ geçidini veya sanal gereci yapılandırma yükünü azaltmak için, sanal makineler arasındaki trafiği konak düzeyinde, sanal ağ içinde ve sanal ağ eşlemeleri arasında şifrelemek ve doğrulamak üzere belirli sanal makine boyutları için sanal ağ şifreleme özelliğini etkinleştirin.

4. Adım: Uygulama katmanında şifreleme uygulama

Uygulama katmanı şifrelemesi, kullanıcılar web uygulamaları veya cihazlarıyla etkileşime geçtiğinde tüm verilerin ve iletişimlerin şifrelenmesini gerektiren Sıfır Güven için önemli bir faktördür. Uygulama katmanı şifrelemesi yalnızca doğrulanmış ve güvenilen varlıkların web uygulamalarına veya cihazlara erişebilmesini sağlar.

Aşağıdaki diyagramda, uygulama katmanında şifreleme uygulamak için başvuru mimarisi gösterilmektedir.

Uygulama katmanında şifreleme uygulamak için başvuru mimarisini gösteren diyagram.

Uygulama katmanında şifrelemenin en yaygın örneklerinden biri, web tarayıcısı ile web sunucusu arasında verileri şifreleyen Köprü Metni Aktarım Protokolü Güvenli (HTTPS). HTTPS, istemci-sunucu iletişimini şifrelemek için Aktarım Katmanı Güvenliği (TLS) protokolü kullanır ve web sitesinin veya etki alanının kimliğini ve güvenilirliğini doğrulamak için bir TLS dijital sertifikası kullanır.

Uygulama katmanı güvenliğine bir diğer örnek de, istemci ile sunucu arasında verileri şifreleyen Secure Shell (SSH) ve Uzak Masaüstü Protokolü (RDP) örneğidir. Bu protokoller, uzak kaynaklara yalnızca yetkili ve uyumlu cihazların veya kullanıcıların erişebildiğinden emin olmak için çok faktörlü kimlik doğrulamasını ve Koşullu Erişim ilkelerini de destekler. Azure sanal makinelerine yönelik SSH ve RDP bağlantılarının güvenliğini sağlama hakkında bilgi için 5. adıma bakın.

Azure web uygulamaları için koruma

Azure web uygulamalarınızı korumak için Azure Front Door veya Azure Uygulaması lication Gateway kullanabilirsiniz.

Azure Front Door

Azure Front Door , Microsoft'un uç konumları aracılığıyla son kullanıcılara içerik teslimini en iyi duruma getiren genel bir dağıtım hizmetidir. Web Uygulaması Güvenlik Duvarı (WAF) ve Özel Bağlantı hizmeti gibi özelliklerle, Microsoft iç ağını kullanarak kaynaklarınıza özel olarak erişirken Microsoft ağının kenarındaki web uygulamalarınıza yönelik kötü amaçlı saldırıları algılayabilir ve engelleyebilirsiniz.

Verilerinizi korumak için Azure Front Door uç noktalarına giden trafik, uç noktalarına giden ve giden tüm trafik için uçtan uca TLS ile HTTPS kullanılarak korunur. Trafik istemciden kaynak ve kaynaktan istemciye şifrelenir.

Azure Front Door, HTTPS isteklerini işler ve profilindeki hangi uç noktanın ilişkili etki alanı adına sahip olduğunu belirler. Ardından yolu denetler ve hangi yönlendirme kuralının isteğin yoluyla eşleşeceğini belirler. Önbelleğe alma etkinse, Azure Front Door geçerli bir yanıt olup olmadığını görmek için önbelleğini denetler. Geçerli bir yanıt yoksa Azure Front Door, istenen içeriğe hizmet verebilen en iyi kaynağı seçer. İstek kaynağa gönderilmeden önce, üst bilgiyi, sorgu dizesini veya kaynak hedefi değiştirmek için isteğe bir kural kümesi uygulanabilir.

Azure Front Door hem ön uç hem de arka uç TLS'lerini destekler. Ön uç TLS, istemci ile Azure Front Door arasındaki trafiği şifreler. Arka uç TLS, Azure Front Door ile kaynak arasındaki trafiği şifreler. Azure Front Door TLS 1.2 ve TLS 1.3'i destekler. Azure Front Door'ı özel bir TLS sertifikası kullanacak veya Azure Front Door tarafından yönetilen bir sertifika kullanacak şekilde yapılandırabilirsiniz.

Not

Ayrıca, daha fazla paket incelemesi için NVA'lara bağlantı için Özel Bağlantı özelliğini de kullanabilirsiniz.

Azure Application Gateway

Azure Uygulaması lication Gateway, Katman 7'de çalışan bölgesel bir yük dengeleyicidir. HTTP URL özniteliklerine göre web trafiğini yönlendirir ve dağıtır. Üç farklı yaklaşım kullanarak trafiği yönlendirebilir ve dağıtabilir:

  • Yalnızca HTTP: Application Gateway gelen HTTP isteklerini alır ve şifrelenmemiş biçimde uygun hedefe yönlendirir.
  • SSL Sonlandırma: Application Gateway gelen HTTPS isteklerinin şifresini örnek düzeyinde çözer, bunları inceler ve şifrelenmemiş olarak hedefe yönlendirir.
  • Uçtan Uca TLS: Application Gateway gelen HTTPS isteklerinin şifresini örnek düzeyinde çözer, inceler ve hedefe yönlendirmeden önce yeniden şifreler.

En güvenli seçenek, Kimlik Doğrulama Sertifikalarının veya Güvenilen Kök Sertifikaların kullanılmasını zorunlu kılarak hassas verilerin şifrelenmesini ve iletilmesini sağlayan uçtan uca TLS'dir. Ayrıca bu sertifikaların arka uç sunucularına yüklenmesini ve bu arka uç sunucularının Application Gateway tarafından bilindiğinden emin olunmasını gerektirir. Daha fazla bilgi için bkz . Application Gateway kullanarak uçtan uca TLS'yi yapılandırma.

Ayrıca, şirket içi kullanıcılar veya başka bir sanal ağ üzerindeki sanal makinelerdeki kullanıcılar, Application Gateway'in iç ön ucunu aynı TLS özellikleriyle kullanabilir. Microsoft, şifrelemenin yanı sıra uç noktalarınız için daha fazla ön uç koruması için WAF'yi her zaman etkinleştirmenizi önerir.

5. Adım: Azure sanal makinelerini korumak için Azure Bastion'ı kullanma

Azure Bastion , sanal makinelerinize bir TLS bağlantısı üzerinden güvenli bir şekilde bağlanmanızı sağlayan yönetilen bir PaaS hizmetidir. Bu bağlantı, Azure portalından veya yerel bir istemci aracılığıyla sanal makinedeki özel IP adresine kurulabilir. Bastion kullanmanın avantajları şunlardır:

  • Azure sanal makinelerinin genel IP adresine ihtiyacı yoktur. Bağlantılar HTTPS için 443 numaralı TCP bağlantı noktası üzerindendir ve çoğu güvenlik duvarında geçiş yapabilir.
  • Sanal makineler bağlantı noktası taramaya karşı korunur.
  • Azure Bastion platformu sürekli olarak güncelleştirilir ve sıfır gün açıklarına karşı korunur.

Bastion ile sanal makinenize RDP ve SSH bağlantısını tek bir giriş noktasından denetleyebilirsiniz. Tek tek oturumları Azure portalındaki Bastion hizmetinden yönetebilirsiniz. Ayrıca, bir kullanıcının bu makineye bağlanmaması gerektiğini düşünüyorsanız, devam eden bir uzak oturumu silebilir veya bağlantısının kesilmesini zorlayabilirsiniz.

Aşağıdaki diyagramda, Azure sanal makinelerini korumak için Azure Bastion'ı kullanmaya yönelik başvuru mimarisi gösterilmektedir.

Azure sanal makinelerini korumak için Azure Bastion'ı kullanmaya yönelik başvuru mimarisini gösteren diyagram.

Azure sanal makinenizi korumak için Azure Bastion'ı dağıtın ve özel IP adresleriyle sanal makinelerinize bağlanmak için RDP ve SSH kullanmaya başlayın.

Sonraki Adımlar

Azure ağına Sıfır Güven uygulama hakkında ek bilgi için bkz:

Başvurular

Bu makalede bahsedilen çeşitli hizmetler ve teknolojiler hakkında bilgi edinmek için bu bağlantılara bakın.