Sanal ağ hizmet uç noktalarıyla PaaS hizmetlerine ağ erişiminin güvenliğini sağlama
ERP sistemi için mevcut uygulama ve veritabanı sunucularınızı Azure’a sanal makine olarak geçirdiniz. Şimdi maliyetlerinizi ve yönetim gereksinimlerinizi azaltmak için Azure’ın bazı hizmet olarak platform (PaaS) hizmetlerini kullanmayı düşünüyorsunuz. Depolama hizmetleri mühendislik diyagramları gibi bazı büyük dosya varlıklarını tutacak. Bu mühendislik diyagramları özel bilgilere sahiptir ve yetkisiz erişime karşı güvenli kalmalıdır. Bu dosyalara yalnızca belirli sistemlerden erişilebilmelidir.
Bu ünitede desteklenen Azure hizmetlerinin güvenliğini sağlamak için sanal ağ hizmet uç noktalarının nasıl kullanıldığını gözden geçireceksiniz.
Sanal ağ hizmet uç noktaları
Sanal ağ hizmet uç noktalarını Azure hizmetlerinize doğrudan bağlantı sağlayarak Azure'da özel adres alanınızı genişletmek için kullanın. Hizmet uç noktaları Azure kaynaklarınızın güvenliğini yalnızca sanal ağınızda kalacak şekilde korur. Hizmet trafiği Azure omurgasında kalır ve İnternet'e gitmez.
Varsayılan olarak Azure hizmetlerinin tümü doğrudan İnternet erişimi için tasarlanmıştır. Tüm Azure hizmetlerinin genel IP adresleri vardır ve bunlara Azure SQL Veritabanı ve Azure Depolama gibi PaaS hizmetleri de dahildir. Bu hizmetler İnternet'e açık olduğundan, potansiyel olarak Azure hizmetlerinize herkes erişebilir.
Hizmet uç noktaları bazı PaaS hizmetlerini Azure’da özel adres alanınıza doğrudan bağlayabilir, dolayısıyla bunlar aynı sanal ağdaymış gibi çalışabilir. PaaS hizmetlerine doğrudan bağlanmak için özel adres alanınızı kullanın Hizmet uç noktalarının eklenmesi genel uç noktayı kaldırmaz. Yalnızca trafiğin yeniden yönlendirilmesini sağlar.
Azure hizmet uç noktaları aşağıdakiler gibi birçok hizmet için kullanılabilir:
- Azure Depolama
- Azure SQL Veritabanı
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus
- Azure Data Lake
güvenlik duvarına IP adresleri eklemeden erişebileceğiniz SQL Veritabanı gibi bir hizmet için hizmet uç noktalarını dikkate almanız gerekir. SQL Veritabanı için hizmet uç noktasının kullanılması belirli sanal ağlara erişimi kısıtladığından, daha fazla yalıtım sağlar ve saldırı yüzeyini küçültür.
Hizmet uç noktaları nasıl çalışır?
Hizmet uç noktasını etkinleştirmek için şunları kullanmanız gerekir:
- Hizmete genel erişimi kapatma.
- Sanal ağa bir hizmet uç noktası ekleme.
Bir hizmet uç noktasını etkinleştirdiğinizde, trafik akışını kısıtlar ve Azure VM'lerinizin hizmete doğrudan özel adres alanınızdan erişmesini sağlarsınız. Cihazlar genel ağ üzerinden hizmete erişemez. Dağıtılan bir VM vNIC’nin Geçerli yollarına baktığınızda Sonraki Atlama Türü olarak hizmet uç noktasını fark edersiniz.
Bu, hizmet uç noktasını etkinleştirmeden önce örnek bir yol tablosudur:
| KAYNAK | EYALET | ADRES ÖN EKLERİ | SONRAKİ ATLAMA TÜRÜ |
|---|---|---|---|
| Varsayılan | Etkin | 10.1.1.0/24 | Sanal Ağ |
| Varsayılan | Etkin | 0.0.0.0./0 | İnternet |
| Varsayılan | Etkin | 10.0.0.0/8 | Hiçbiri |
| Varsayılan | Etkin | 100.64.0.0./10 | Hiçbiri |
| Varsayılan | Etkin | 192.168.0.0/16 | Hiçbiri |
İşte sanal ağa iki hizmet uç noktası ekledikten sonraki bir yol tablosu örneği:
| KAYNAK | EYALET | ADRES ÖN EKLERİ | SONRAKİ ATLAMA TÜRÜ |
|---|---|---|---|
| Varsayılan | Etkin | 10.1.1.0/24 | Sanal Ağ |
| Varsayılan | Etkin | 0.0.0.0./0 | İnternet |
| Varsayılan | Etkin | 10.0.0.0/8 | Hiçbiri |
| Varsayılan | Etkin | 100.64.0.0./10 | Hiçbiri |
| Varsayılan | Etkin | 192.168.0.0/16 | Hiçbiri |
| Varsayılan | Etkin | 20.38.106.0/23, 10 tane daha | VirtualNetworkServiceEndpoint |
| Varsayılan | Etkin | 20.150.2.0/23, 9 tane daha | VirtualNetworkServiceEndpoint |
Hizmetin tüm trafiği artık VirtualNetworkServiceEndpoint'e yönlendirilir ve Azure'da kalır.
Hizmet uç noktaları ve karma ağlar
Sanal ağ hizmet uç noktalarını kullanarak güvenliğini sağladığınız hizmet kaynakları, varsayılan olarak şirket içi ağlardan erişilebilir değildir. Şirket içi ağdan kaynaklara erişmek için NAT IP'lerini kullanın. Şirket içinden Azure'a bağlantı için ExpressRoute kullanıyorsanız ExpressRoute'un kullandığı NAT IP adreslerini belirlemeniz gerekir. Varsayılan olarak, her bağlantı hattı Azure omurga ağına bağlanmak için iki NAT IP adresi kullanır. Ardından bu IP adreslerini Azure hizmeti kaynağının IP güvenlik duvarı yapılandırmasına (örneğin, Azure Depolama) eklemeniz gerekir.
Aşağıdaki diyagramda, şirket içi cihazların Azure Depolama kaynaklarına erişmesini sağlamak için bir hizmet uç noktası ve güvenlik duvarı yapılandırmasını nasıl kullanabileceğiniz gösterilmektedir:
