Azure Güvenlik Duvarı ve Application Gateway ile Web uygulamaları için sıfır güvenli ağ

Bu kılavuzda, web uygulamaları için sıfır güven güvenliği uygulama stratejisi özetlemektedir. Bu tür bir güvenlik modeli, uygulamalara akan ağ paketlerinin güvenilirliğini doğrular. Ağ güvenliğinin tek bir katmana sahip olduğu çok katmanlı bir yaklaşım en iyi şekilde çalışır. Bu katmanda ağ gereçleri, uygulamalara yalnızca meşru trafiğin ulaştığından emin olmak için paketleri inceler.

Genellikle, farklı ağ gereçleri türleri ağ paketlerinin farklı yönlerini inceler:

• Web uygulaması güvenlik duvarları, web uygulaması katmanında bir saldırı olduğunu gösteren desenleri arama.
• Yeni nesil güvenlik duvarları, genel tehditleri de bulan bir durum olabilir.

Bazı durumlarda, korumayı artırmak için farklı ağ güvenlik gereçleri türlerini birleştirebilirsiniz. Sanal ağlar için güvenlik duvarı Application Gateway ayrı bir kılavuz,çeşitli gereçleri düzenlemek için kullanabileceğiniz tasarım desenlerini açıklar. Bu belge güvenliği en üst düzeye çıkarmak için yaygın bir desene odaklanır ve bu düzende Azure Application Gateway eyleme Azure Güvenlik Duvarı Premium. Aşağıdaki diyagramda bu desen göstermektedir:

Bu mimari, her adımda trafiği şifrelemek için güvenli yuva katmanı (SSL) protokolünü kullanır.

• İstemci, yük dengeleyici olan Application Gateway paketleri gönderir. isteğe bağlı ekleme ile Azure Web Uygulaması Güvenlik Duvarı.

• Application Gateway, paketlerin şifresini çözebilir ve web uygulamalarına yönelik tehditleri arar. Herhangi bir tehdit bulamazsa, paketleri şifrelemek için sıfır güven ilkeleri kullanır. Ardından bunları serbest bıraktır.

• Azure Güvenlik Duvarı Premium denetimlerini çalıştırır:

  • Aktarım katmanı güvenliği (TLS) incelemesi paketlerin şifresini çözecek ve inceler.
  • Izinsiz giriş algılama ve koruma özellikleri, paketleri kötü amaçlı olup olmadığını kontrol eder.

• Paketler testleri başarıyla tamamlarsa Azure Güvenlik Duvarı Premium adımları uygulayın:

  • Paketleri şifreler
  • Uygulama sanal makinesini (VM) belirlemek için bir Etki Alanı Adı Sistemi (DNS) hizmeti kullanır
  • Paketleri uygulama VM'sini iletir

Bu mimaride çeşitli inceleme altyapıları trafik bütünlüğünü sağlar:

• Web Uygulaması Güvenlik Duvarı, web katmanında saldırıları önlemek için kurallar kullanır. Saldırı örnekleri arasında SQL ekleme ve siteler arası betikler yer almaktadır. Kurallar ve Open Web Application Security Project (OWASP) Çekirdek Kural Kümesi hakkında daha fazla bilgi için bkz. Web Uygulaması Güvenlik Duvarı CRS kural grupları ve kuralları.
• Azure Güvenlik Duvarı Premium, genel izinsiz giriş algılama ve önleme kurallarını kullanır. Bu kurallar, web uygulamalarını hedef alan kötü amaçlı dosyaları ve diğer tehditleri tanımlamaya yardımcı olur.

Bu mimari, bu makalede ele alan farklı ağ tasarımı türlerini destekler:

• Geleneksel merkez-bağlı ağ
• Platform olarak Azure Sanal WAN ağlar
• Dinamik yönlendirmeyi basitleştirmek için Azure Yönlendirme Sunucusu kullanan ağlar

Azure Güvenlik Duvarı Premium ve ad çözümlemesi

Kötü amaçlı trafik denetleniyor Azure Güvenlik Duvarı Premium HTTP Ana Bilgisayar üst bilgisi ile paket IP adresinin ve TCP bağlantı noktasının eş olduğunu doğrular. Örneğin, web Application Gateway 172.16.1.4 IP adresine ve TCP bağlantı noktası 443'e gönderdiğini varsayalım. HTTP Ana Bilgisayar üst bilgisi değerinin bu IP adresine çözümlemesi gerekir.

HTTP Ana Bilgisayar üst bilgileri genellikle IP adresleri içermez. Bunun yerine, üst bilgiler sunucunun dijital sertifikasıyla aynı adları içerir. Bu durumda, Azure Güvenlik Duvarı Premium ana bilgisayar üst bilgisi adını bir IP adresine çözümlemek için DNS kullanır. Ağ tasarımı, sonraki bölümlerde anlatımla birlikte hangi DNS çözümünün en iyi şekilde çalıştığını belirler.

Dijital sertifikalar

Aşağıdaki diyagramda, mimarinin SSL oturumları ve sertifikaları tarafından kullanılan ortak adlar (CA' lar) ve sertifika yetkilileri (CA) gösterildi:

SSL bağlantıları

Bu mimari üç ayrı SSL bağlantısı içerir. Dijital sertifikalar her birini doğrular:

İstemcilerden Application Gateway

Bu Application Gateway istemcilerin göreceği dijital sertifikayı dağıtın. DigiCert veya Let's Encrypt gibi tanınmış bir CA genellikle böyle bir sertifika sağlar.

Application Gateway'den Azure Güvenlik Duvarı Premium

TLS trafiğinin şifresini çözmek ve incelemek Azure Güvenlik Duvarı Premium dinamik olarak sertifika oluşturur. Azure Güvenlik Duvarı Premium web sunucusu olarak Application Gateway kendini de gösterir. Özel CA, oluşturulan sertifikaları Azure Güvenlik Duvarı Premium imzalar. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Premium sertifikaları. Application Gateway sertifikaları doğrulamanız gerekir. Uygulamanın HTTP ayarlarında, uygulamanın kullandığı kök CA'Azure Güvenlik Duvarı Premium yapılandırırsiniz.

Azure Güvenlik Duvarı Premium web sunucusuna

Azure Güvenlik Duvarı Premium web sunucusuyla bir SSL oturumu kurulur. Azure Güvenlik Duvarı Premium bilinen bir CA'nın web sunucusu SSL paketlerini imzalar olduğunu doğrular.

Bileşen rolleri

Application Gateway rolleri Azure Güvenlik Duvarı Premium sertifikalar birbirinden farklı şekilde işlemektedir:

• Application Gateway ters bir web proxy. HTTP ve HTTPS isteklerini keserek web sunucularını kötü amaçlı istemcilerden korur. Etki alanının arka uç havuzunda bulunan her korumalı sunucuyu IP adresi Application Gateway tam etki alanı adıyla bildirebilirsiniz. Meşru istemcilerin her uygulamaya erişene sahip olması gerekir. Bu nedenle, Application Gateway CA'nın imzamış olduğu bir dijital sertifika ile yapılandırmanız gerekir. Tüm SSL istemcilerini kabul eden bir CA kullanın.
• Azure Güvenlik Duvarı Premium bir ileri web proxy veya basitçe bir web proxy. Korumalı istemcilerden GELEN SSL çağrılarını keserek istemcileri kötü amaçlı web sunucularından korur. Korumalı bir istemci HTTP isteği gönderirken, ileri ara sunucu dijital sertifikalar üreterek ve bunları istemciye sunarak hedef web sunucusunun kimliğine bürüner. Azure Güvenlik Duvarı Premium dinamik olarak oluşturulan sertifikaları imzalayan özel bir CA kullanır. Korumalı istemcileri bu özel CA'ya güvenacak şekilde yapılandırır. Bu mimaride, Azure Güvenlik Duvarı Premium web sunucusuna Application Gateway istekleri korur. Application Gateway, özel CA'ya Azure Güvenlik Duvarı Premium güvener.

Merkez-bağlı bağlantı örneği

Genel olarak, merkez-bağlı bileşen tasarımı, merkez sanal ağına paylaşılan ağ bileşenlerini ve uygulamaya özgü bileşenleri spokes'a dağıtır. Çoğu sistemde, Azure Güvenlik Duvarı Premium paylaşılan bir kaynaktır. Ancak Web Uygulaması Güvenlik Duvarı paylaşılan bir ağ cihazı veya uygulamaya özgü bir bileşen olabilir. Aşağıdaki nedenlerden dolayı, genellikle en iyisi Application Gateway bir uygulama bileşeni olarak kabul etmek ve bir bağlı bileşen sanal ağına dağıtmaktır:

• Web Uygulaması Güvenlik Duvarı uyarılarını gidermek zor olabilir. Genellikle bu alarmları tetikleyen iletilerin meşru olup olmadığını karar vermek için uygulama hakkında ayrıntılı bilgi sahibi olmak gerekir.
• Bu Application Gateway paylaşılan bir kaynak olarak davranırsanız, kaynak sınırlarını Azure Application Gateway aşebilirsiniz.
• Hub'a uygulama dağıtırsanız rol tabanlı erişim denetimi Application Gateway karşılaşabilirsiniz. Ekipler farklı uygulamaları yönetse de aynı uygulama örneğini kullanıyor olduğunda bu durum ortaya Application Gateway. Daha sonra her ekip, yapılandırmanın tamamına Application Gateway olur.

Geleneksel merkez-bağlı sunucu mimarileriyle DNS özel bölgeleri, DNS'yi kullanmanın kolay bir yolunu sağlar:

• DNS özel bölgesi yapılandırma.
• Bölgeyi, sanal ağı içeren sanal ağa Azure Güvenlik Duvarı Premium.
• Trafiğin ve sistem durumu denetimlerinin kullandığı değer Application Gateway A kaydının mevcut olduğundan emin olun.

Aşağıdaki diyagramda Application Gateway bağlı bir sanal ağda olduğunda paket akışı gösterilmektedir. Bu durumda, bir istemci genel İnternet 'ten bağlanır.

1. İstemci bir Web sunucusuna istek gönderir.
2. Application Gateway istemci paketlerini karşılar ve bunları inceler. Paketler incelemeyi geçecekse, Application Gateway alt ağında Kullanıcı tanımlı bir yol (UDR), paketleri Azure Güvenlik Duvarı Premium iletir.
3. Azure güvenlik duvarı Premium paketler üzerinde güvenlik denetimleri çalıştırır. testleri geçirirseniz, Azure güvenlik duvarı Premium paketleri uygulama VM 'sine iletir.
4. VM yanıt verir ve hedef IP adresini Application Gateway olarak ayarlar. Application Gateway alt ağındaki UDR, paketleri Azure Güvenlik Duvarı Premium yeniden yönlendirir.
5. Azure güvenlik duvarı Premium paketleri Application Gateway iletir.
6. Application Gateway istemciye yanıt verir.

Trafik, genel İnternet yerine şirket içi bir ağdan da gelebilir. Trafik, siteden siteye sanal özel ağ (VPN) üzerinden veya ExpressRoute aracılığıyla akar. Bu senaryoda, trafik ilk olarak hub 'daki bir sanal ağ geçidine ulaşır. Ağ akışının geri kalanı önceki durum ile aynıdır.

1. Şirket içi istemci, sanal ağ geçidine bağlanır.
2. Ağ Geçidi, istemci paketlerini Application Gateway 'e iletir.
3. Application Gateway paketleri inceler. İnceleme başarılı olursa Application Gateway alt ağındaki UDR, paketleri Azure Güvenlik Duvarı Premium iletir.
4. Azure güvenlik duvarı Premium paketler üzerinde güvenlik denetimleri çalıştırır. testleri geçirirseniz, Azure güvenlik duvarı Premium paketleri uygulama VM 'sine iletir.
5. VM yanıt verir ve hedef IP adresini Application Gateway olarak ayarlar. Application Gateway alt ağındaki UDR, paketleri Azure Güvenlik Duvarı Premium yeniden yönlendirir.
6. Azure güvenlik duvarı Premium paketleri Application Gateway iletir.
7. Application Gateway paketleri sanal ağ geçidine gönderir.
8. Ağ Geçidi istemcisini yanıtlar.

Sanal WAN örneği

Bu mimaride ağ hizmeti sanal WAN 'sini de kullanabilirsiniz. Bu bileşen birçok avantaj sunar. Örneğin, bağlı olan sanal ağlarda Kullanıcı tarafından tutulan UDRs gereksinimini ortadan kaldırır. Bunun yerine, sanal hub yol tablolarında statik yollar tanımlayabilirsiniz. Hub 'a bağlandığınız her sanal ağın programlama adımları bu yolları içerir.

Ağ platformu olarak sanal WAN kullandığınızda iki ana fark elde edersiniz:

• Microsoft sanal hub 'ları yönettiğinden, DNS özel bölgelerini bir sanal hub 'a bağlayamazsınız. Abonelik sahibi olarak, özel DNS bölgelerini bağlama izniniz yok. Sonuç olarak, bir DNS özel bölgesini Azure Güvenlik Duvarı Premium içeren güvenli bir hub ile ilişkilendiremezsiniz. Azure güvenlik duvarı Premium için dns çözümlemesi uygulamak için, dns sunucularını kullanın:

  • Azure güvenlik duvarı DNS Ayarlar özel dns sunucuları kullanacak şekilde yapılandırın.
  • Sunucuları, sanal WAN 'a bağlandığınız paylaşılan hizmetler sanal ağında dağıtın.
  • DNS özel bölgesini paylaşılan hizmetler sanal ağına bağlayın. DNS sunucuları daha sonra Application Gateway, HTTP ana bilgisayar üst bilgilerinde kullanılan adları çözümleyebilir. daha fazla bilgi için bkz. Azure güvenlik duvarı DNS Ayarlar.

• Sanal WAN 'ı yalnızca, önek sanal ağ önekinden daha kısa olduğunda bir bağlı bileşen içindeki yolları programla kullanabilirsiniz. Application Gateway ve hedef Web sunucusu aynı sanal ağda olduğunda bu sınırlama görünür hale gelir. Bu durumda, sanal WAN sanal ağ için sistem yolunu geçersiz kılan bir rota ekleyemez. Sonuç olarak, Application Gateway ile Web sunucusu arasındaki trafik Azure Güvenlik Duvarı Premium atlar.

Aşağıdaki diyagramda, sanal WAN kullanan bir durumda paket akışı gösterilmektedir. Bu durumda, Application Gateway erişimi şirket içi bir ağdan yapılır. Siteden siteye VPN veya ExpressRoute, bu ağı sanal WAN 'a bağlar. İnternet 'ten erişim benzerdir.

1. Şirket içi bir istemci VPN 'e bağlanır.
2. VPN, istemci paketlerini Application Gateway 'e iletir.
3. Application Gateway paketleri inceler. İnceleme başarılı olursa Application Gateway alt ağı paketleri Azure Güvenlik Duvarı Premium iletir.
4. Azure güvenlik duvarı Premium, paylaşılan hizmetler sanal ağındaki bir dns sunucusundan dns çözümlemesi ister.
5. DNS sunucusu çözüm isteğini yanıtlar.
6. Azure güvenlik duvarı Premium paketler üzerinde güvenlik denetimleri çalıştırır. testleri geçirirseniz, Azure güvenlik duvarı Premium paketleri uygulama VM 'sine iletir.
7. VM yanıt verir ve hedef IP adresini Application Gateway olarak ayarlar. Application Gateway alt ağı, paketleri Azure Güvenlik Duvarı Premium yeniden yönlendirir.
8. Azure güvenlik duvarı Premium paketleri Application Gateway iletir.
9. Application Gateway paketleri VPN 'ye gönderir.
10. VPN istemciye yanıt verir.

Bu tasarımla, hub 'ın bağlı olan sanal ağlara duyurduğu yönlendirmeyi değiştirmeniz gerekebilir. Özellikle, Application Gateway v2 yalnızca İnternet 'e işaret eden bir 0.0.0.0/0 yolunu destekler. İnternet 'e işaret eden bu adrese sahip yollar, Microsoft 'un Application Gateway yönetimi için gerektirdiği bağlantıyı keser. Sanal hub 'ınız bir 0.0.0.0/0 yolu duyurur, şu adımlardan birini gerçekleştirerek yolun Application Gateway alt ağa yayılmasını engelleyin:

• 0.0.0.0/0 ve sonraki atlama türü için yol içeren bir yol tablosu oluşturun Internet . Bu yolu, Application Gateway dağıttığınız alt ağ ile ilişkilendirin.
• Application Gateway özel bir bağlı ağa dağıtırsanız, sanal ağ bağlantısı ayarlarında varsayılan yolun yayılmasını devre dışı bırakın.

Rota sunucusu örneği

Rota sunucusu , yönlendirmeleri otomatik olarak bağlı bileşen eklemek için başka bir yol sunar. Bu işlevle, yönlendirme tablolarını sürdürme yönetim yükünden kaçınabilirsiniz. Yönlendirme sunucusu, sanal WAN ve hub ve bağlı bileşen türevlerini birleştirir:

• Rota sunucusu ile, müşteriler hub sanal ağlarını yönetir. Sonuç olarak, hub sanal ağını bir DNS özel bölgesine bağlayabilirsiniz.
• Rota sunucusu, sanal WAN 'ın IP adresi önekleriyle ilgili olduğu sınırlamanın aynısına sahiptir. Yalnızca önek sanal ağ önekinden kısaysa bir bağlı ağa rotalar ekleyebilirsiniz. Bu sınırlama nedeniyle, Application Gateway ve hedef Web sunucusunun farklı sanal ağlarda olması gerekir.

Aşağıdaki diyagramda, yönlendirme sunucusu dinamik yönlendirmeyi basitleşmesi durumunda paket akışı gösterilmektedir. Şu noktalara göz önünde edin:

• Yönlendirme sunucusu şu anda, yolları Sınır Ağ Geçidi Protokolü (BGP) üzerinden göndermek için yollar oluşturan cihazı gerektirir. Azure güvenlik duvarı Premium BGP 'yi desteklemediğinden, bunun yerine bir üçüncü taraf ağ sanal gereci (nva) kullanın.
• Hub 'daki NVA 'nın işlevselliği, uygulamanızın DNS ihtiyacı olup olmadığını belirler.

1. Şirket içi istemci, sanal ağ geçidine bağlanır.
2. Ağ Geçidi, istemci paketlerini Application Gateway 'e iletir.
3. Application Gateway paketleri inceler. İnceleme başarılı olursa Application Gateway alt ağı paketleri bir NVA 'ya iletir.
4. NVA, paylaşılan hizmetler sanal ağındaki bir DNS sunucusundan DNS çözümlemesi ister.
5. DNS sunucusu çözüm isteğini yanıtlar.
6. NVA, paketler üzerinde güvenlik denetimleri çalıştırır. Testleri geçirirseniz, NVA paketleri uygulama VM 'sine iletir.
7. VM yanıt verir ve hedef IP adresini Application Gateway olarak ayarlar. Application Gateway alt ağı, paketleri NVA 'ya yönlendirir.
8. NVA paketleri Application Gateway 'e iletir.
9. Application Gateway paketleri sanal ağ geçidine gönderir.
10. Ağ Geçidi istemcisini yanıtlar.

Sanal WAN 'da olduğu gibi, yönlendirme sunucusu kullandığınızda yönlendirmeyi değiştirmeniz gerekebilir. 0.0.0.0/0 yolunu tanıdıysanız, Application Gateway alt ağına yayabilirsiniz. Ancak Application Gateway bu rotayı desteklemez. Bu durumda, Application Gateway alt ağı için bir yol tablosu yapılandırın. 0.0.0.0/0 için bir yol ve bu tabloda bir sonraki atlama türü ekleyin Internet .

Sonraki adımlar

• Sıfır güveni olan ağları güvenli hale getirme
• Sanal ağ trafiğini yönlendirme
• Uygulama ağ geçidi nasıl kullanılır?

İlgili kaynaklar

• Ağ düzeyinde bölümlemeye sahip iş yüklerinin güvenliğini sağlama ve bu iş yüklerini yönetme
• Güvenli hibrit ağ uygulama
• Azure'da merkez-uç ağ topolojisi
• Merkez-Azure sanal WAN ile bağlı ağ topolojisi