Ağ trafiğine görünürlük sağlamak için Sıfır Güven ilkeleri uygulama
Bu makalede, Azure ortamlarındaki ağları segmentlere ayırmak için Sıfır Güven ilkelerini uygulamaya yönelik yönergeler sağlanır. İşte Sıfır Güven ilkeleri.
Sıfır Güven ilkesi | Tanım |
---|---|
Açıkça doğrula | Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. |
En az ayrıcalıklı erişim kullan | Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. |
İhlal varsay | Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın. Bu ilke, Azure altyapınızdaki ağ trafiğine görünürlük sağlamak için analiz kullanılarak karşılanır. |
Bu makale, azure ağına Sıfır Güven ilkelerinin nasıl uygulanacağını gösteren bir dizi makalenin bir parçasıdır.
Bu makalede ele alınan ağ trafiği türleri şunlardır:
- Merkezi
- Azure sanal ağlarınız (sanal ağlar) ile Azure hizmetleriniz ve şirket içi ağınız arasındaki trafik akışları olan Doğu-Batı trafiği
- Azure ortamınız ile İnternet arasındaki trafik akışları olan kuzey-güney
Referans mimarisi
Aşağıdaki diyagramda şirket içi ile Azure sanal ağları arasında, Azure sanal ağları ile Azure hizmetleri arasında ve Azure ortamınızla İnternet arasında trafik denetimine yönelik bu Sıfır Güven kılavuzuna yönelik başvuru mimarisi gösterilmektedir.
Bu başvuru mimarisi şunları içerir:
- Azure sanal makinelerinde çalışan Azure IaaS iş yükleri.
- Azure hizmetleri.
- Azure DDoS Koruması, Azure Güvenlik Duvarı ve Azure Web Uygulaması Güvenlik Duvarı (WAF) içeren bir İnternet uç sanal ağı.
- Doğu-batı ve kuzey-güney trafik akışlarını gösteren oklar.
Bu makalede neler var?
Sıfır Güven ilkeleri başvuru mimarisine uygulanır. Aşağıdaki tabloda, ihlal varsay Sıfır Güven ilkesi için bu mimari genelinde ağ trafiğinin görünürlüğünü sağlamaya yönelik öneriler açıklanmaktadır.
Adımlar | Görev |
---|---|
1 | Merkezi bir trafik denetleme noktası uygulayın. |
2 | Doğu-batı trafik denetimi gerçekleştirin. |
3 | Kuzey-güney trafik denetimi gerçekleştirin. |
1. Adım: Merkezi bir trafik denetleme noktası uygulama
Merkezi trafik denetimi, ağınıza girip çıkan trafiği denetlemenizi ve görselleştirmenizi sağlar. Merkez-uç sanal ağları ve Azure Sanal WAN, Azure'daki en yaygın iki ağ topolojisidir. Ağları bağlama konusunda farklı özelliklere ve özelliklere sahiptirler. Her iki tasarımda da merkez sanal ağı merkezi ağdır ve iş yüklerini merkez sanal ağından uç sanal ağlara uygulamalara ve iş yüklerine bölmek için kullanılır. Merkezi denetim, kuzey-güney, doğu-batı veya her ikisini birden akan trafiği içerir.
Merkez-uç topolojisi
Merkez-uç modelinin özelliklerinden biri, sanal ağların tümünün sizin tarafınızdan yönetilmesidir. Müşteri merkezi tarafından yönetilen bir sanal ağ, diğer uç sanal ağlarının bağlandığı paylaşılan bir sanal ağ görevi görür. Bu merkezi sanal ağ genellikle kullanılır:
- Şirket içi ağlara karma bağlantı kurmak için.
- Azure Güvenlik Duvarı veya üçüncü taraf ağ sanal gereçlerini (NVA) kullanarak trafik denetimi ve segmentasyonu için.
- WAF ile Azure Uygulaması Lication Gateway gibi uygulama teslim hizmeti denetlemesini merkezileştirmek için.
Bu topolojide, merkez sanal ağına bir Azure Güvenlik Duvarı veya NVA yerleştirir ve uç sanal ağlarından ve şirket içi ağınızdan merkez sanal ağına trafiği yönlendirmek için kullanıcı tanımlı yolları (UDF' ler) yapılandırırsınız. Azure Güvenlik Duvarı veya NVA, uç sanal ağları arasındaki trafiği yönlendirmek için bir yol altyapısı olarak da görev yapabilir. Müşteri tarafından yönetilen bir sanal ağ hub'ı ve uç modelinin en önemli özelliklerinden biri, UDR'leri kullanan trafiğin ayrıntılı denetimi ve bu yolların yönlendirmesini, segmentasyonunu ve yayılmasını el ile değiştirme olanağıdır.
Azure Sanal WAN
Azure Sanal WAN, tüm dallardan ve tüm uçlardan ve tüm uçlara yol yaymayı denetleen, arka planda Rota Hizmeti örneklerini içeren, Azure tarafından yönetilen bir merkez sanal ağıdır. Herhangi bir bağlantı için etkili bir şekilde etkinleştirir.
Yönetilen sanal ağ (yönetilen sanal hub olarak adlandırılır) ile büyük farklardan biri, yönlendirme denetiminin ayrıntı düzeyinin kullanıcılar için soyutlanmış olmasıdır. Başlıca avantajlardan bazıları şunlardır:
- Yerel herhangi bir bağlantı kullanarak basitleştirilmiş yol yönetimi. Trafik yalıtımına ihtiyacınız varsa, özel yol tablolarını veya statik yolları varsayılan yol tablosunda el ile yapılandırabilirsiniz.
- Hub'da yalnızca Sanal Ağ Ağ Geçitleri, Azure Güvenlik Duvarı ve onaylı NVA'lar veya yazılım tanımlı WAN (SD-WAN) cihazları dağıtılabilir. DNS ve Application Gateway gibi merkezi hizmetlerin normal uç sanal ağlarında olması gerekir. Uçların sanal ağ eşlemesi kullanılarak sanal hub'lara eklenmesi gerekir.
Yönetilen sanal ağlar şunlar için en uygundur:
- Herhangi bir konuma ve herhangi bir konumdan trafik denetimi sağlayan geçiş bağlantısı gerektiren bölgeler arasında büyük ölçekli dağıtımlar.
- 30'dan fazla dal sitesi veya 100'den fazla İnternet Protokolü güvenliği (IPsec) tüneli.
Sanal WAN en iyi özelliklerinden bazıları ölçeklenebilirlik yönlendirme altyapısı ve karşılıklı bağlantıdır. Ölçeklenebilirliğe örnek olarak hub başına 50 Gb/sn aktarım hızı ve 1.000 dal sitesi verilebilir. Daha fazla ölçeklendirmek için birden çok sanal hub birbirine bağlanarak daha büyük bir Sanal WAN ağ oluşturabilir. Sanal WAN bir diğer avantajı da, bir düğmeye tıklayarak ön ek ekleyerek trafik denetimi için yönlendirmeyi basitleştirebilmektir.
Her tasarımın kendi avantajları ve dezavantajları vardır. Uygun seçim, gelecekteki beklenen büyüme ve yönetim ek yükü gereksinimlerine göre belirlenmelidir.
2. Adım: Doğu-batı trafik denetimi uygulama
Doğu-batı trafik akışları sanal ağdan sanal ağa ve sanal ağdan şirket içi ağa akışlarını içerir. Doğu-batı arasındaki trafiği incelemek için merkez sanal ağına bir Azure Güvenlik Duvarı veya NVA dağıtabilirsiniz. Bunun için UDR'lerin özel trafiği denetleme için Azure Güvenlik Duvarı veya NVA'ya yönlendirmesi gerekir. Aynı sanal ağ içinde erişim denetimi için ağ güvenlik gruplarını kullanabilirsiniz, ancak denetimle daha derin bir denetime ihtiyacınız varsa, UDR'leri kullanarak merkez sanal ağında yerel bir güvenlik duvarı veya merkezi bir güvenlik duvarı kullanabilirsiniz.
Azure Sanal WAN ile, merkezi yönlendirme için sanal hub'da Azure Güvenlik Duvarı veya NVA'ya sahip olabilirsiniz. Tüm özel trafiği incelemek için Azure Güvenlik Duvarı Yöneticisi veya yönlendirme amacını kullanabilirsiniz. İncelemeyi özelleştirmek istiyorsanız, istenen trafiği incelemek için sanal hub'da Azure Güvenlik Duvarı veya NVA'ya sahip olabilirsiniz. Sanal WAN bir ortamda trafiği yönlendirmenin en kolay yolu, özel trafik için yönlendirme amacını etkinleştirmektir. Bu özellik, özel adres ön eklerini (RFC 1918) hub'a bağlı tüm uçlara iletir. Özel IP adresine yönelik tüm trafik, inceleme için sanal hub'a yönlendirilir.
Her yöntemin kendi avantajları ve dezavantajları vardır. Yönlendirme amacını kullanmanın avantajı, UDR yönetiminin basitleştirilmesidir, ancak bağlantı başına incelemeyi özelleştiremezsiniz. Yönlendirme amacını veya Güvenlik Duvarı Yöneticisi'ni kullanmama avantajı, incelemeyi özelleştirebilmenizdir. Dezavantajı, bölgeler arası trafik denetimi yapamamanızdır.
Aşağıdaki diyagramda Azure ortamı içindeki doğu-batı trafiği gösterilmektedir.
Azure'daki ağ trafiğinizin görünürlüğü için Microsoft, sanal ağınızda bir Azure Güvenlik Duvarı veya NVA uygulamasını önerir. Azure Güvenlik Duvarı hem ağ katmanı hem de uygulama katmanı trafiğini inceleyebilir. Ayrıca, Azure Güvenlik Duvarı Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS), Aktarım Katmanı Güvenliği (TLS) incelemesi, URL filtreleme ve Web Kategorileri filtreleme gibi ek özellikler sağlar.
Azure Güvenlik Duvarı veya NVA'nın Azure ağınıza dahil edilmesi, ağ için ihlal varsay Sıfır Güven ilkesine bağlı kalma açısından çok önemlidir. Veriler bir ağdan her geçtiğinde ihlallerin dönüşebileceği göz önünde bulundurulduğunda, hangi trafiğin hedefine ulaşmasına izin verildiğini anlamak ve denetlemek önemlidir. Azure Güvenlik Duvarı, UDF'ler ve ağ güvenlik grupları, iş yükleri arasında trafiğe izin vererek veya trafiği reddederek güvenli bir trafik modelinin etkinleştirilmesinde önemli bir rol oynar.
Sanal ağ trafik akışlarınız hakkında daha fazla ayrıntı görmek için sanal ağ akış günlüklerini veya NSG akış günlüklerini etkinleştirebilirsiniz. Akış günlüğü verileri, erişebileceğiniz ve Azure Traffic Analytics gibi bir görselleştirme aracına aktarabileceğiniz bir Azure Depolama hesabında depolanır. Azure Traffic Analytics ile bilinmeyen veya istenmeyen trafik bulabilir, trafik düzeyini ve bant genişliği kullanımını izleyebilir veya uygulama davranışınızı anlamak için belirli trafiği filtreleyebilirsiniz.
3. Adım: Kuzey-güney trafik denetimi uygulama
Kuzey-güney trafiği genellikle özel ağlar ile İnternet arasındaki trafiği içerir. Merkez-uç topolojisindeki kuzey-güney trafiğini incelemek için UDR'leri kullanarak trafiği bir Azure Güvenlik Duvarı örneğine veya NVA'ya yönlendirebilirsiniz. Dinamik tanıtım için, VNet'lerden NVA'ya İnternet'e bağlı tüm trafiği yönlendirmek için BGP'yi destekleyen bir NVA'ya sahip bir Azure Route Server kullanabilirsiniz.
Azure Sanal WAN'da sanal ağlardan kuzey-güney trafiğini sanal hub'da desteklenen Azure Güvenlik Duvarı veya NVA'ya yönlendirmek için şu yaygın senaryoları kullanabilirsiniz:
- Kuzey-güney trafiğini yönlendirmek için Yönlendirme Amacı veya Azure Güvenlik Duvarı Yöneticisi ile denetlenen sanal hub'da NVA veya Azure Güvenlik Duvarı kullanın.
- NVA'nız sanal hub'da desteklenmiyorsa, bunu bir uç sanal ağına dağıtabilir ve denetleme için UDR'lerle trafiği yönlendirebilirsiniz. Aynı durum Azure Güvenlik Duvarı için de geçerlidir. Alternatif olarak BGP, varsayılan bir yolu (0.0.0.0/0) tanıtmak için bir uçtaki NVA'yı sanal hub ile eşleyebilirsiniz.
Aşağıdaki diyagramda Azure ortamı ile İnternet arasındaki kuzey-güney trafiği gösterilmektedir.
Azure, Azure ortamınıza giren ve çıkan ağ trafiğine görünürlük sağlamak için tasarlanmış aşağıdaki ağ hizmetlerini sağlar.
Azure DDoS Koruması
Azure DDoS Koruması, olası Dağıtılmış Hizmet Reddi (DDoS) saldırılarını izlemek ve azaltmak için genel IP kaynaklarına sahip tüm sanal ağlarda etkinleştirilebilir. Bu risk azaltma işlemi, trafik kullanımını DDoS ilkesindeki önceden tanımlanmış eşiklere göre analiz etmeyi ve daha fazla inceleme için bu bilgilerin günlüğe kaydedilmesini içerir. Gelecekteki olaylara daha iyi hazırlanmak için Azure DDoS Korumaları, genel IP adreslerinize ve hizmetlerinize karşı simülasyonlar yürütme olanağı sunarak uygulamanızın DDoS saldırısı sırasında dayanıklılığı ve yanıtı hakkında değerli içgörüler sağlar.
Azure Güvenlik Duvarı
Azure Güvenlik Duvarı ağ trafiğini izlemek, denetlemek ve analiz etmek için bir araç koleksiyonu sağlar.
Günlükler ve ölçümler
Azure Güvenlik Duvarı, Azure Log Analytics çalışma alanlarıyla tümleştirerek ayrıntılı günlükleri toplar. Uygulama ve ağ kuralları gibi ana kural kategorileri hakkında ek bilgi ayıklamak için Kusto Sorgu Dili (KQL) sorgularını kullanabilirsiniz. Ayrıca, ağ düzeyinden tehdit bilgileri ve IDPS günlüklerine kadar şemaları ve yapıları genişleten kaynağa özgü günlükleri de alabilirsiniz. Daha fazla bilgi için bkz. yapılandırılmış günlükleri Azure Güvenlik Duvarı.
Çalışma Kitapları
Azure Güvenlik Duvarı, zaman içindeki etkinlik grafikleri kullanılarak toplanan verileri sunan çalışma kitapları sağlar. Bu araç, birden çok Azure Güvenlik Duvarı kaynağını birleşik bir arabirimde birleştirerek görselleştirmenize de yardımcı olur. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Çalışma Kitaplarını Kullanma.
İlke analizleri
Azure Güvenlik Duvarı İlke Analizi, uyguladığınız ilkelere genel bir bakış sağlar ve ilke içgörülerine, kural analizine ve trafik akışı analizine dayanarak, uygulanan ilkeleri trafik desenlerine ve tehditlerine göre ayarlayıp değiştirir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı İlke Analizi.
Bu özellikler, yöneticilere etkili ağ yönetimi için gereken araçları sağlayarak Azure Güvenlik Duvarı ağ trafiğinin güvenliğini sağlamaya yönelik sağlam bir çözüm olarak kalmasını sağlar.
Application Gateway
Application Gateway, güvenlik amacıyla trafiği izlemek, denetlemek ve analiz etmek için önemli özellikler sağlar. Günlük analizini etkinleştirerek ve önceden tanımlanmış veya özel KQL sorgularını kullanarak, sorunları tanımlamak için kritik öneme sahip 4xx ve 5xx aralıklarındakiler de dahil olmak üzere HTTP hata kodlarını görüntüleyebilirsiniz.
Application Gateway'in erişim günlükleri ayrıca istemci IP adresleri, istek URI'leri, HTTP sürümü ve protokoller, TLS şifreleme paketleri ve SSL şifrelemesi etkinleştirildiğinde ssl/TLS'ye özgü yapılandırma değerleri gibi güvenlikle ilgili önemli parametrelerle ilgili kritik içgörüler sağlar.
Azure Front Door
Azure Front Door , trafiği en yakın veri merkezi iletişim noktasına (PoP) yönlendirmek için Anycast TCP kullanır. Geleneksel bir yük dengeleyici gibi, kaynağı olarak da bilinen Azure Front Door arka uç havuzuna bir Azure Güvenlik Duvarı veya NVA yerleştirebilirsiniz. Tek gereksinim, kaynaktaki IP adresinin genel olmasıdır.
Azure Front Door'ı istekleri alacak şekilde yapılandırdıktan sonra, Azure Front Door profilinin nasıl davrandığını göstermek için trafik raporları oluşturur. Azure Front Door Premium katmanını kullandığınızda, Open Worldwide Application Security Project (OWASP) kuralları, bot koruma kuralları ve özel kurallar gibi WAF kurallarıyla eşleşmeleri göstermek için güvenlik raporları da kullanılabilir.
Azure WAF
Azure WAF, katman 7 trafiğini inceleyen ve belirli katmanlarla hem Application Gateway hem de Azure Front Door için etkinleştirilebilen ek bir güvenlik özelliğidir. Bu, Azure'dan kaynaklanmayan trafik için ek bir güvenlik katmanı sağlar. OWASP çekirdek kural tanımlarını kullanarak WAF'yi hem önleme hem de algılama modlarında yapılandırabilirsiniz.
İzleme araçları
Kuzey-güney trafik akışlarını kapsamlı bir şekilde izlemek için ağ görünürlüğünü artırmak için NSG akış günlükleri, Azure Traffic Analytics ve VNet akış günlükleri gibi araçları kullanabilirsiniz.
Önerilen eğitim
- Azure yöneticileri için sanal ağları yapılandırma ve yönetme
- Azure Web Uygulaması Güvenlik Duvarı'a giriş
- Azure Sanal WAN'a giriş
- Azure Front Door'a giriş
- Azure Uygulaması lication Gateway'e giriş
Sonraki Adımlar
Azure ağına Sıfır Güven uygulama hakkında ek bilgi için bkz:
- Azure tabanlı ağ iletişimlerini şifreleme
- Azure tabanlı ağ iletişimini segmentlere ayırma
- Eski ağ güvenlik teknolojisini sonlandır
- Sıfır Güven ile ağların güvenliğini sağlama
- Azure'da uç sanal ağları
- Azure'da hub sanal ağları
- Azure PaaS hizmetleriyle uç sanal ağları
- Azure Sanal WAN
Başvurular
Bu makalede bahsedilen çeşitli hizmetler ve teknolojiler hakkında bilgi edinmek için bu bağlantılara bakın.
- Azure DDoS Koruması
- Azure Güvenlik Duvarı
- Azure Web Uygulaması Güvenlik Duvarı
- Azure Sanal WAN
- Azure Application Gateway
- Kullanıcı tanımlı yollar
- Azure Güvenlik Duvarı Yöneticisi
- Sanal ağ akış günlükleri
- NSG akış günlükleri
- Azure Traffic Analytics
- Azure Route Server
- Yapılandırılmış günlükleri Azure Güvenlik Duvarı
- Azure Güvenlik Duvarı Çalışma Kitaplarını Kullanma
- Azure Güvenlik Duvarı İlkesi Analizi
- Azure Front Door