Azure Stack Hub güvenlik duvarı tümleştirmesi
Azure Stack Hub'ın güvenliğini sağlamaya yardımcı olması için bir güvenlik duvarı cihazı kullanmanız önerilir. Güvenlik duvarları dağıtılmış hizmet reddi (DDOS) saldırılarına, yetkisiz erişim algılamaya ve içerik denetimine karşı savunmaya yardımcı olabilir. Ancak bloblar, tablolar ve kuyruklar gibi Azure depolama hizmetlerinde de aktarım hızı sorununa neden olabilir.
Bağlantısız dağıtım modu kullanılıyorsa AD FS uç noktasını yayımlamanız gerekir. Daha fazla bilgi için veri merkezi tümleştirme kimliği makalesine bakın.
Azure Resource Manager (yönetici), yönetici portalı ve Key Vault (yönetici) uç noktaları mutlaka dış yayımlama gerektirmez. Örneğin, bir hizmet sağlayıcısı olarak, saldırı yüzeyini İnternet'ten değil yalnızca ağınızın içinden Azure Stack Hub'ı yöneterek sınırlayabilirsiniz.
Kurumsal kuruluşlar için dış ağ mevcut kurumsal ağ olabilir. Bu senaryoda, şirket ağından Azure Stack Hub'ı çalıştırmak için uç noktaları yayımlamanız gerekir.
Ağ Adresi Çevirisi
Ağ Adresi Çevirisi (NAT), dağıtım sanal makinesinin (DVM) dağıtım sırasında dış kaynaklara ve İnternet'e, ayrıca kayıt ve sorun giderme sırasında Acil Durum Kurtarma Konsolu (ERCS) VM'lerine veya ayrıcalıklı uç noktaya (PEP) erişmesine izin vermek için önerilen yöntemdir.
NAT, dış ağdaki genel IP adreslerine veya genel VIP'lere de alternatif olabilir. Ancak, kiracı kullanıcı deneyimini sınırlayıp karmaşıklığı artırdığından bunun yapılması önerilmez. Bir seçenek, havuzda kullanıcı IP'sine bir genel IP gerektiren bire bir NAT olabilir. Bir diğer seçenek, bir kullanıcının kullanabileceği tüm bağlantı noktaları için kullanıcı VIP'sine nat kuralı gerektiren çoka bir NAT'dir.
Genel VIP için NAT kullanmanın bazı dezavantajları şunlardır:
- Nat, kullanıcılar yazılım tanımlı ağ (SDN) yığınında kendi uç noktalarını ve kendi yayımlama kurallarını denetlediğinden güvenlik duvarı kurallarını yönetirken ek yük ekler. Kullanıcıların VIP'lerini yayımlamak ve bağlantı noktası listesini güncelleştirmek için Azure Stack Hub operatörüne başvurması gerekir.
- NAT kullanımı kullanıcı deneyimini sınırlasa da, yayımlama istekleri üzerinde işleç üzerinde tam denetim sağlar.
- Azure ile karma bulut senaryoları için Azure'ın NAT kullanarak uç noktaya VPN tüneli ayarlamayı desteklemediğini göz önünde bulundurun.
SSL kesme
Şu anda tüm Azure Stack Hub trafiğinde SSL kesmesini (örneğin şifre çözme boşaltma) devre dışı bırakmanız önerilir. Gelecekteki güncelleştirmelerde destekleniyorsa, Azure Stack Hub için SSL kesme özelliğini etkinleştirme hakkında rehberlik sağlanacaktır.
Edge güvenlik duvarı senaryosu
Bir uç dağıtımında, Azure Stack Hub doğrudan uç yönlendiricisinin veya güvenlik duvarının arkasına dağıtılır. Bu senaryolarda, güvenlik duvarının hem etkin-etkin hem de etkin-pasif güvenlik duvarı yapılandırmalarını desteklediği veya yalnızca bgp veya yük devretme için statik yönlendirme ile eşit maliyetli çok yollu (ECMP) kullanan etkin-etkin güvenlik duvarı yapılandırmasını desteklediği sınır cihazı (Senaryo 2) olarak davrandığı sınırın (Senaryo 1) üzerinde olması desteklenir.
Genel yönlendirilebilir IP adresleri, dağıtım zamanında dış ağdan genel VIP havuzu için belirtilir. Uç senaryolarda, güvenlik amacıyla başka bir ağda genel yönlendirilebilir IP'lerin kullanılması önerilmez. Bu senaryo, bir kullanıcının Azure gibi genel bir bulutta olduğu gibi tam olarak denetimli bulut deneyimi yaşamasını sağlar.
Kurumsal intranet veya çevre ağı güvenlik duvarı senaryosu
Kurumsal intranet veya çevre dağıtımında, Azure Stack Hub çok bölgeli bir güvenlik duvarına veya uç güvenlik duvarı ile iç, kurumsal ağ güvenlik duvarı arasında dağıtılır. Trafiği daha sonra aşağıda açıklandığı gibi güvenli, çevre ağı (veya DMZ) ve güvenli olmayan bölgeler arasında dağıtılır:
- Güvenli bölge: Bu, iç veya kurumsal yönlendirilebilir IP adreslerini kullanan iç ağdır. Güvenli ağ bölünebilir, Güvenlik Duvarı'nda NAT üzerinden İnternet'e giden erişime sahip olabilir ve genellikle iç ağ üzerinden veri merkezinizin içindeki her yerden erişilebilir. Dış ağın genel VIP havuzu dışında tüm Azure Stack Hub ağları güvenli bölgede bulunmalıdır.
- Çevre bölgesi. Çevre ağı, Web sunucuları gibi dış veya İnternet'e yönelik uygulamaların genellikle dağıtıldığı yerdir. İnternet'ten belirtilen gelen trafiğe izin verirken DDoS ve yetkisiz erişim (hack) gibi saldırılardan kaçınmak için genellikle bir güvenlik duvarı tarafından izlenir. DMZ bölgesinde yalnızca Azure Stack Hub'ın dış ağ genel VIP havuzu bulunmalıdır.
- Güvenli olmayan bölge. Bu dış ağ, internet. Azure Stack Hub'ın güvenli olmayan bölgeye dağıtılması önerilmez.
Daha fazla bilgi edinin
Azure Stack Hub uç noktaları tarafından kullanılan bağlantı noktaları ve protokoller hakkında daha fazla bilgi edinin.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin