Azure Stack HCI'de Veri Merkezi Güvenlik Duvarı

  • 9 dakika

Azure Stack HCI yazılım tanımlı ağ (SDN) Veri Merkezi Güvenlik Duvarı işlevselliği, ortamınızın güvenliğini artırmaya yardımcı olabilir. Veri Merkezi Güvenlik Duvarı, şirketinizin birleştirme girişimlerini desteklemek için donanım cihazlarının yayılmasını da en aza indirgeyebilir. Mevcut sanal yerel ağ (VLAN) ortamınızla tümleştirme sağlamak için Veri Merkezi Güvenlik Duvarı özelliklerinin sanal ağın ötesine genişletilmesini sağlamanız gerekir.

Ağ bağlantısını kısıtlamak için fiziksel güvenlik duvarı gereçleri kullanan geleneksel şirket içi veri merkezleri gibi SDN ortamlarının da bağlantıyı denetleyebilmesi gerekir. Dağıtılmış Veri Merkezi Güvenlik Duvarı bu işlevselliği sağlar ve Yazılım Yük Dengeleme ve Uzaktan Erişim Sunucusu (RAS) Ağ Geçidi ile birlikte SDN'nin temel bileşeni olarak hizmet verir. Ağ Denetleyicisi, sanallaştırılmış iş yüklerinin yetkisiz ağ erişimine karşı korunmasına yardımcı olmak için Veri Merkezi Güvenlik Duvarı için merkezi bir yönetim ve izleme arabirimi sağlar.

Veri Merkezi Güvenlik Duvarının Avantajları

Geleneksel güvenlik duvarları, şirket içi veri merkezleri ile İnternet arasındaki trafiği filtreleyerek yaygın olarak Kuzey-Güney iletişimi olarak adlandırılan uç bağlantısını hedefler. Bu yaklaşım, ağ çevresinin koruma sınırı olarak daha az öneme sahip olduğu günümüzde sınırlı koruma sunar.

Sıfır güven stratejisinde anlamlı koruma sağlamak için güvenlik duvarlarının veri merkezi içindeki kaynakların iç tehditlere karşı korunmasına da yardımcı olması gerekir. Doğu-Batı trafiği olarak da adlandırılan şirket içi iletişimi filtrelemek için fiziksel güvenlik duvarlarının kullanılması, ek donanım yatırımı ve operasyonel ek yük gerektirdiği için zordur. Korumalı tüm trafiği ayrı bir fiziksel cihaz aracılığıyla yönlendirmek de iç iş yüklerini olumsuz etkileyen gecikme süresini artırır.

Azure Stack HCI'de, dış ve iç trafik için geçerli olan sanallaştırılmış iş yükleri için ayrıntılı yazılım tabanlı filtreleme tanımlayabilirsiniz. Veri Merkezi Güvenlik Duvarı, mantıksal ve sanal ağlardaki erişim denetim listeleri (ACL'ler) aracılığıyla bu filtrelemeyi sağlar.

Azure Stack HCI yöneticileri için Datacenter Güvenlik Duvarı aşağıdaki avantajları sağlar:

  • Merkezi olarak yönetilebilen yüksek oranda ölçeklenebilir yazılım tabanlı güvenlik duvarı çözümü.
  • Sanal makineleri (VM) güvenlik duvarı yapılandırmasını etkilemeden Azure Stack HCI küme düğümleri arasında taşıma olanağı.
  • Konuk işletim sistemlerinden bağımsız olarak kiracı VM'lerinin korunması.

Azure Stack HCI kiracıları için Datacenter Güvenlik Duvarı aşağıdaki senaryolarda ağ düzeyinde koruma sağlar:

  • Azure Stack HCI'nin sanal ve mantıksal ağlarında İnternet'e yönelik iş yükleri.
  • Azure Stack HCI'nin sanal ve mantıksal ağ alt ağları içinde ve arasında iletişim.
  • Azure Stack HCI tarafından barındırılan veri merkezi ağları ve kiracı iş yükleri arasındaki iletişim.

Veri Merkezi Güvenlik Duvarı işlevselliği

Veri Merkezi Güvenlik Duvarı, kaynak ve hedef bağlantı noktası numaraları, kaynak ve hedef IP adresleri ve protokol olmak üzere beş parametrenin herhangi bir bileşimine göre filtrelemeyi destekleyen ağ katmanı, durum bilgisi olan, çok kiracılı bir güvenlik duvarıdır. Veri Merkezi Güvenlik Duvarı, VM ağ arabirimi, mantıksal ağ alt ağı veya sanal ağ alt ağı düzeyinde uygulayabileceğiniz ilkelerle dağıtılmış bir güvenlik duvarı olarak uygulanır.

Hem dış hem de iç ağlarda sanallaştırılmış iş yükleri arasındaki trafiği kısıtlayabilirsiniz. Ağ Denetleyicisi, güvenlik duvarı ilkelerini Hyper-V konakları olarak işlev gösteren Azure Stack HCI küme düğümlerinin sanal anahtar bağlantı noktalarına uygular. Bu ilkeler, VLAN tabanlı ağlara bağlı Azure Stack HCI iş yüklerini destekler.

Veri Merkezi Güvenlik Duvarı tabanlı trafik filtrelemesi uygulamak için, Ağ Denetleyicisi'nin kuzeye yönelik Temsili Durum Aktarımı (REST) API'siyle iletişimi destekleyen herhangi bir yönetim aracını kullanarak güvenlik duvarı ilkeleri tanımlarsınız. Bu araçlar Arasında PowerShell, Windows Yönetici Center ve Microsoft System Center Virtual Machine Manager (VMM) bulunur.

VM'leri küme düğümleri arasında taşırsanız kurallar otomatik olarak güncelleştirilir. Ağ Denetleyicisi ayrıca yerel yapılandırma değişiklikleri nedeniyle tanımladığınız ilkelerden sapmaları otomatik olarak düzelter. Bu işlem taşınabilirliği kolaylaştırır ve güvenlik duvarı tabanlı korumanın tutarlı kalmasını sağlamaya yardımcı olur.

Aşağıdaki diyagramda Ağ Denetleyicisi'nin dağıtılmış güvenlik duvarıyla nasıl çalıştığı gösterilmektedir. Veri Merkezi Güvenlik Duvarı, VM'leri koruyan güvenlik duvarlarını yönetmek için ilkeler kullanır.

Diagram depicting Network Controller with Distributed Firewall. Distributed Firewall is using policies to administer firewalls protecting VMs.