Ağ güvenlik gruplarını kullanarak ağ erişimini denetleme
ERP sisteminizi Azure'a taşıma projesi kapsamında, sunucuların yalnızca izin verilen sistemlerin ağ bağlantıları yapabilmesi için uygun yalıtıma sahip olduğundan emin olmanız gerekir. Örneğin, ERP uygulamanız için verilerin depolandığı veritabanı sunucularınız var. Uygulama sunucularının veritabanı sunucularıyla iletişim kurmasına izin verirken yasaklı sistemlerin ağ üzerinden sunucularla iletişim kurmasını engellemek istiyorsunuz.
Ağ güvenlik grupları
Ağ güvenlik grupları Azure kaynaklarında gelen ve giden ağ trafiğini filtreler. Ayrıca, gelen ve giden trafiğe izin vermek veya trafiği reddetmek için yapılandırdığınız güvenlik kurallarını da içerir. Ağ güvenlik gruplarını kullanarak sanal ağ içinde sanal makineler veya alt ağlar arasındaki ve İnternet’ten gelen trafiği filtreler.
Ağ güvenlik grubu ataması ve değerlendirmesi
Ağ güvenlik grupları ağ arabirimine veya alt ağa atanır. Alt ağa bir ağ güvenlik grubu atadığınızda kurallar söz konusu alt ağdaki tüm ağ arabirimlerine uygulanır. Bir ağ güvenlik grubunu vm'nin ağ arabirimiyle ilişkilendirerek trafiği daha fazla kısıtlayabilirsiniz.
Hem alt ağa hem de ağ arabirimine ağ güvenlik grupları uyguladığınızda her ağ güvenlik grubu bağımsız olarak değerlendirilir. Gelen trafik önce alt ağa uygulanan ağ güvenlik grubu, ardından ağ arabirimine uygulanan ağ güvenlik grubu tarafından değerlendirilir. Buna karşılık, bir VM'den giden trafik önce ağ arabirimine uygulanan ağ güvenlik grubu, ardından alt ağa uygulanan ağ güvenlik grubu tarafından değerlendirilir.
Ağ güvenlik grubunu tek tek ağ arabirimleri yerine alt ağa uygulamak yönetim çalışmalarını azaltabilir. Bu yaklaşım belirtilen alt ağ içindeki tüm sanal makinelerin güvenliğinin aynı kural kümesiyle sağlanmasını da güvence altına alır.
Her alt ağa ve ağ arabirimine tek bir ağ güvenlik grubu uygulanabilir. Ağ güvenlik grupları TCP, UDP ve ICMP'yi destekler ve OSI modeli Katman 4'te çalışır.
Bu üretim şirketi senaryosunda ağ güvenlik grupları ağın güvenliğini sağlamanıza yardımcı olabilir. Hangi bilgisayarların uygulama sunucularınıza bağlanabileceğini denetleyebilirsiniz. Yalnızca belirli bir IP adresi aralığının sunuculara bağlanabilmesi için ağ güvenlik grubunu yapılandırabilirsiniz. Hatta bunu daha da kısıtlayarak yalnızca belirli bağlantı noktalarından/bağlantı noktalarına veya tek tek IP adreslerinden erişime izin verebilirsiniz. Bu kuralları şirket içi ağlardan veya Azure içindeki kaynaklar arasında uzaktan bağlanan cihazlara uygulayabilirsiniz.
Güvenlik kuralları
Ağ güvenlik grubu bir veya birden fazla güvenlik kuralı içerir. Güvenlik kurallarını trafiğe izin verecek veya trafiği reddedecek şekilde yapılandırabilirsiniz.
Kuralların çeşitli özellikleri vardır:
| Özellik | Açıklama |
|---|---|
| Adı | Ağ güvenlik grubu içinde benzersiz bir ad |
| Öncelik | 100 ile 4096 arasında bir sayı |
| Kaynak ve hedef | Herhangi bir veya tek bir IP adresi, sınıfsız etki alanları arası yönlendirme (CIDR) bloğu (örneğin, 10.0.0.0/24), hizmet etiketi veya uygulama güvenlik grubu |
| Protokol | TCP, UDP veya Herhangi Biri |
| Yön | Kuralın gelen veya giden trafiğe uygulanıp uygulanmayacağı |
| Bağlantı noktası aralığı | Tek bağlantı noktası veya bağlantı noktaları aralığı |
| Eylem | Trafiğe izin verme veya trafiği reddetme |
Ağ güvenlik grubu güvenlik kuralları, trafiğe izin verilmesi veya trafiğin reddedilmesi için 5 tanımlama grubu bilgisi (kaynak, kaynak bağlantı noktası, hedef, hedef bağlantı noktası ve protokol) ile önceliğe göre değerlendirilir. Kuralın koşulları cihaz yapılandırmasıyla eşleştiğinde kural işlemesi durdurulur.
Örneğin, şirketinizin 200 öncelik değeriyle 3389 numaralı bağlantı noktasında (RDP) web sunucularınıza gelen trafiğe izin vermek için bir kural oluşturduğunu düşünün. Sonra da başka bir yöneticinin 150 öncelik değeriyle 3389 numaralı bağlantı noktasında gelen trafiği reddetmek için bir kural oluşturduğunu düşünün. Reddetme kuralı önceliklidir çünkü önce bu kural işlenir. Öncelik değeri 150 olan kural 200 olandan daha önce işlenir.
Ağ güvenlik gruplarıyla bağlantıların durum bilgisi vardır. Aynı TCP/UDP oturumunda dönüş trafiğine otomatik olarak izin verilir. Örneğin, 80 numaralı bağlantı noktasında trafiğe izin veren bir gelen kuralı sanal makinenin isteği yanıtlamasına da izin verir (genellikle kısa ömürlü bir bağlantı noktasında). Buna karşılık gelen bir giden kuralına ihtiyacınız yoktur.
ERP sistemiyle ilgili olarak, ERP uygulamasının web sunucuları kendi alt ağlarındaki veritabanı sunucularına bağlanır. Duruma güvenlik kuralları uygulayarak SQL Server veritabanı iletişimleri için web sunucularından veritabanı sunucularına yalnızca 1433 numaralı bağlantı noktası üzerinden iletişime izin verebilirsiniz. Veritabanı sunucularına yönelik diğer tüm trafik reddedilir.
Varsayılan güvenlik kuralları
Siz bir ağ güvenlik grubu oluşturduğunuzda Azure da çeşitli varsayılan kurallar oluşturur. Bu varsayılan kurallar değiştirilemez, ancak bunları kendi kurallarınızla geçersiz kılabilirsiniz. Bu varsayılan kurallar sanal ağ içindeki ve Azure yük dengeleyicilerinden gelen bağlantıya izin verir. Ayrıca İnternet'e giden iletişime izin verir ve İnternet'ten gelen trafiği reddeder.
Gelen trafik için varsayılan kurallar:
| Öncelik | Kural adı | Açıklama |
|---|---|---|
| 65000 | AllowVnetInbound | Sanal ağ içindeki herhangi bir VM'den herhangi bir VM'ye gelenlere izin ver |
| 65001 | AllowAzureLoadBalancerInbound | Alt ağ içinde varsayılan yük dengeleyiciden tüm sanal makinelere yönelik trafiğe izin verir |
| 65500 | DenyAllInBound | Herhangi bir dış kaynaktan sanal makinelere gelen trafik reddedilir |
Giden trafik için varsayılan kurallar:
| Öncelik | Kural adı | Açıklama |
|---|---|---|
| 65000 | AllowVnetOutbound | Herhangi bir VM'den sanal ağ içindeki herhangi bir VM'ye gidenlere izin ver |
| 65001 | AllowInternetOutbound | Herhangi bir VM'den İnternet'e giden trafiğe izin ver |
| 65500 | DenyAllOutBound | Herhangi bir iç VM'den sanal ağ dışındaki bir sisteme gelen trafiği reddetme |
Genişletilmiş güvenlik kuralları
Ağ güvenlik grupları için genişletilmiş güvenlik kurallarını kullanarak çok sayıda kuralı yönetmeyi basitleştirebilirsiniz. Genişletilmiş güvenlik kuralları daha karmaşık ağ kuralı kümelerine ihtiyacınız olduğunda da yardımcı olur. Genişletilmiş kurallar, tek güvenlik kuralına aşağıdaki seçenekleri eklemenizi sağlar:
- Birden çok IP adresi
- Birden çok bağlantı noktası
- Hizmet etiketleri
- Uygulama güvenlik grupları
Şirketinizin veri merkezinizde çeşitli ağ adresi aralıklarına yayılmış kaynaklara erişimi kısıtlamak istediğini varsayalım. Genişletilmiş kurallarla bu aralıkların hepsini tek kurala ekleyebilir, bu şekilde yönetim yükünü ve ağ güvenlik gruplarınızın karmaşıklığını azaltabilirsiniz.
Hizmet etiketleri
Ağ güvenlik grubu güvenliğini daha da basitleştirmek için hizmet etiketlerini kullanabilirsiniz. Belirli bir Azure hizmetine yönelik trafiğe küresel veya bölgesel olarak izin verebilir veya bu trafiği engelleyebilirsiniz.
Hizmet etiketleri, kaynaklara veya hizmetlere göre erişimi kısıtlamanıza olanak tanıyarak VM'ler ve Azure sanal ağları için güvenliği basitleştirir. Hizmet etiketleri bir grup IP adresini temsil eder ve güvenlik kurallarınızın yapılandırmasını basitleştirmeye yardımcı olur. Etiket kullanarak belirtebileceğiniz kaynaklar için, IP adresini veya bağlantı noktası ayrıntılarını bilmeniz gerekmez.
Birçok hizmete erişimi kısıtlayabilirsiniz. Hizmet etiketlerini Microsoft yönetir, yani kendi etiketlerinizi oluşturamazsınız. Bazı etiket örnekleri:
- VirtualNetwork: Hibrit bağlantı kullanıyorsanız Azure'ın herhangi bir yerindeki ve şirket içi ağınızdaki tüm sanal ağ adreslerini temsil eder.
- AzureLoadBalancer: Azure'ın altyapı yük dengeleyicisini belirtir. Etiket, Azure sistem durumu yoklamalarının kaynaklandığı konağın sanal IP adresine (168.63.129.16) çevrilir.
- İnternet: Genel IP adreslerine sahip kaynaklar da dahil olmak üzere sanal ağ adresinin dışında herkese açık olan her şeyi temsil eder. Örneğin Azure App Service'in Web Apps özelliği böyle bir kaynaktır.
- AzureTrafficManager: Azure Traffic Manager'ın IP adresini temsil eder.
- Depolama: Azure Depolama için IP adresi alanını temsil eder. Trafiğe izin verildiğini veya trafiğin reddedildiğini belirtebilirsiniz. Ayrıca yalnızca belirli bir bölgeye yönelik trafiğe izin verildiğini de belirtebilirsiniz ama tek tek depolama hesapları seçemezsiniz.
- SQL: Azure SQL Veritabanı, MySQL için Azure Veritabanı, PostgreSQL için Azure Veritabanı ve Azure Synapse Analytics hizmetlerinin adresini temsil eder. Trafiğe izin verildiğini veya trafiğin reddedildiğini belirtebilir ve trafiği belirli bir bölgeyle sınırlandırabilirsiniz.
- AppService: Azure Uygulaması Hizmeti için adres ön eklerini temsil eder.
Uygulama güvenlik grupları
Uygulama güvenlik grupları belirli uygulamalar tarafından kullanılan kaynaklar için ağ güvenliğini yapılandırmanıza olanak tanır. IP adresi veya alt ağ atamaları ne olursa olsun, sanal makineleri mantıksal olarak gruplandırabilirsiniz.
Bir ağ güvenlik grubu içindeki uygulama güvenlik gruplarını kullanarak bir kaynak grubuna güvenlik kuralı uygulayabilirsiniz. Belirli uygulama iş yüklerini dağıtmak ve ölçeklendirmek daha kolaydır; yalnızca bir veya daha fazla uygulama güvenlik grubuna yeni bir VM dağıtımı ekleyin ve bu VM bu iş yükü için güvenlik kurallarınızı otomatik olarak alır.
Uygulama güvenlik grubu, ağ arabirimlerini birlikte gruplandırmanıza olanak tanır. Sonra uygulama güvenlik grubunu bir ağ güvenlik grubu içinde kaynak veya hedef kural olarak belirtebilirsiniz.
Örneğin, şirketinizin sanal ağda birçok ön uç sunucusu vardır. Web sunucularının 80 ve 8080 numaralı bağlantı noktaları üzerinden erişilebilir olması gerekir. Veritabanı sunucuları 1433 numaralı bağlantı noktası üzerinden erişilebilir olmalıdır. Web sunucuları için ağ arabirimlerini bir uygulama güvenlik grubuna ve veritabanı sunucuları için ağ arabirimlerini de başka bir uygulama güvenlik grubuna atarsınız. Ardından ağ güvenlik grubunuzda iki gelen kuralı oluşturursunuz. Bir kural web sunucusu uygulama güvenlik grubundaki tüm sunuculara yönelik HTTP trafiğine izin verir. Diğer kural veritabanı sunucusu uygulama güvenlik grubundaki tüm sunuculara yönelik SQL trafiğine izin verir.
Uygulama güvenlik grupları olmadan, her vm için ayrı bir kural oluşturmanız veya bir alt ağa bir ağ güvenlik grubu eklemeniz ve ardından tüm VM'leri bu alt ağa eklemeniz gerekir.
Uygulama güvenlik gruplarının en önemli avantajı yönetimi kolaylaştırmasıdır. Uygulama sunucularını dağıtır veya yeniden dağıtırken, uygulama güvenlik grubunda ağ arabirimlerini kolayca ekleyebilir ve kaldırabilirsiniz. Ayrıca uygulama güvenlik grubuna dinamik olarak yeni kurallar uygulayabilirsiniz. Bu kurallar da söz konusu uygulama güvenlik grubundaki tüm sanal makinelere otomatik olarak uygulanır.
Ağ güvenlik grupları ne zaman kullanılır?
Ağdaki varlıklarınızı istenmeyen trafiğe karşı korumaya yardımcı olmak için en iyi yöntem her zaman ağ güvenlik gruplarını kullanmaktır. Ağ güvenlik grupları her sanal makine veya sanal ağ için güvenlik kuralları ayarlamanın getirebileceği karmaşıklığına gerek kalmadan size ağ katmanı üzerinde ayrıntılı erişim denetimi getirir.