Ağ bağlantısını güvenli hale getirmek için Azure hizmetleri
Bir sanal ağ içindeki iletişimin güvenliğini sağlamak için trafiği inceleme kuralları ayarlayın. Ardından, belirli kaynaklardan gelen veya giden trafiğe izin verin veya reddedin ve belirtilen hedeflere yönlendirin.
Kural kümesini gözden geçirin ve gerekli hizmetlerin istem dışı olarak engellenmediğinden emin olun.
Alt ağlar arasındaki trafik için önerilen yol ağ güvenlik grupları (NSG)ile yapılır. Her NSG 'de, tek IP adresi, birden çok IP adresi veya tüm alt ağlardan gelen trafiği denetleyen kuralları tanımlayın.
NSG 'ler uygulamayı yalıtmak ve korumak için kullanılıyorsa, gerekli hizmetlerin istem dışı olarak engellenmediğinden emin olmak için kural kümesi incelenmeli veya beklenenden daha fazla izin verilen erişime izin verilir. Azure Güvenlik Duvarı (ve güvenlik duvarı Yöneticisi), güvenlik duvarı ilkelerini merkezileştirmek ve yönetmek için kullanılabilir.
Diğer bir yöntem ise, kuralları temel alan gelen (giriş) ve giden (çıkış) trafiği ve filtreleri denetleyen ağ sanal gereçlerini (NVA 'lar) kullanmaktır.
Güvenlik sınırı ilkesi zorlaması, denetimi ve incelemesi için NVA 'lar aracılığıyla ağ trafiğini nasıl yönlendirirsiniz?
Azure, şirket içi ve internet kaynakları arasındaki trafik için sonraki atlamayı denetlemek üzere Kullanıcı tanımlı yollar (UDR) kullanın. Rotalar Sanal Gereç, sanal ağ geçidi, sanal ağ veya internet 'e uygulanabilir.
Örneğin, bir genel yük dengeleyiciden gelen giriş trafiğini incelemeniz gerekir. Tek yönlü bir alt ağda, yalnızca belirli ölçütler karşılanıyorsa trafiğe izin veren bir NVA barındırmanız olur. Bu trafik, bu trafiği arka uç hizmetlerine yönlendiren bir iç yük dengeleyici barındıran alt ağa gönderilir.
Çıkış trafiği için NVA 'lar de kullanabilirsiniz. Örneğin, tüm iş yükü trafiği UDR 'yi başka bir alt ağa kullanarak yönlendirilir. Bu alt ağda, istekleri NVA 'ya (veya bir NVA 'lar kümesine) dağıtan bir iç yük dengeleyici vardır. Bu NVA 'lar, genel IP adreslerini kullanarak İnternet 'e doğrudan trafik sağlar.
İpucu
Yukarıdaki örnek için kaynaklar aşağıda verilmiştir:
GitHub: ağ sanal cihazları için otomatik yük devretme.
Tasarım konuları yüksek oranda kullanılabilir NVA 'lar dağıtmabölümünde açıklanmaktadır.
Azure Güvenlik Duvarı bir NVA işlevi görebilir. Azure, üçüncü taraf ağ cihaz sağlayıcılarını destekler. Azure Marketi 'nde kullanılabilir.
Bu iş yükünün alma ve giden trafiği hakkında nasıl öngörüler elde edersiniz?
Genel bir kural olarak, ağ trafiği günlüklerini yapılandırın ve toplayın. NSG 'ler kullanıyorsanız, performans ve güvenliği izlemek için NSG akış günlüklerini yakalayın ve çözümleyin. NSG akış günlükleri, Trafik Analizi uygulamanın iç ve dış trafik akışları hakkında öngörüler elde etmesine olanak tanır.
Ağ perimetrelerini tanımlama hakkında bilgi için bkz. ağ kesimleme.
VNet ve alt ağ işleme büyümesi mi?
Genellikle, tasarım malzemeleri olarak daha fazla ağ kaynağı eklersiniz. Çoğu kuruluş, ağlara başlangıçta planlandığından daha fazla kaynak eklemeye son ekler. Ek kaynaklara uyum sağlamak için yeniden düzenleme, işçiliği yoğun bir işlemdir. Çok fazla sayıda küçük alt ağ oluşturma ve sonra ağ erişim denetimlerini (güvenlik grupları gibi) eşlemeye çalışırken sınırlı bir güvenlik değeri vardır.
Alt ağlarınızı, aynı protokolleri kullanan roller ve işlevlere göre planlayın. Bu şekilde, ağ düzeyinde erişim denetimleri uygulayan güvenlik gruplarında değişiklik yapmadan alt ağa kaynak ekleyebilirsiniz.
0.0.0.0-255.255.255.255 gelen ve giden trafiğe izin veren tüm açık kuralları kullanmayın. En az ayrıcalıklı bir yaklaşım kullanın ve yalnızca ilgili protokollere izin verin. Alt ağdaki genel saldırı yüzeyini düşürür. Bu tür bir kural güvenlik sağlamadığı için, tüm açık kurallar yanlış bir güvenlik hissi sağlar.
Özel durum yalnızca ağ günlüğü amaçları için güvenlik gruplarını kullanmak istediğinizde kullanılır.
Sanal ağları ve alt ağları büyüme için tasarlayın. Alt ağları, bu roller ve işlevler için ortak protokoller kullanan ortak rollere ve işlevlere göre planlamanızı öneririz. Bu, ağ düzeyinde erişim denetimleri uygulayan güvenlik gruplarında değişiklik yapmadan alt ağa kaynak eklemenize olanak tanır.
Önerilen Eylemler
NSG 'yi kullanın veya VNET içindeki trafiği korumak ve denetlemek için Azure Güvenlik Duvarı 'nı kullanmayı düşünün.
Daha fazla bilgi edinin
- Azure Güvenlik Duvarı belgeleri
- Sanal ağ alt ağ güvenliği tasarlama
- Azure dağıtımınız için bir IP adresleme düzeni tasarlama
- Ağ güvenlik grupları
Internet Edge trafiği
İş yükünü tasarlarken Internet trafiği için güvenliği göz önünde bulundurun. İş yükünün veya bölümlerinin genel IP adreslerinden erişilebilir olması gerekiyor mu? Yetkisiz erişimi engellemek için hangi erişim düzeyi verilmelidir?
Internet Edge trafiği ( Kuzey-Güney trafiğiolarak da bilinir), iş yükü ve internet tarafından kullanılan kaynaklar arasındaki ağ bağlantısını temsil eder. Internet Edge stratejisi, internet 'ten tehditleri algılamaları veya engelletmeye yönelik birçok saldırının azaltılması için tasarlanmalıdır. Güvenlik denetimleri ve izleme sağlayan iki birincil seçenek vardır:
- Azure Güvenlik Duvarı ve Web uygulaması güvenlik duvarı (WAF) gibi Azure çözümleri.
Azure, bireysel hizmetlere erişimi kısıtlamak için ağ çözümleri sağlar. Uygulama hizmetlerine yetkisiz aktörler tarafından erişilmesini engellemek için IP filtreleme, güvenlik duvarı kuralları birleşimi gibi birden çok güvenlik düzeyi kullanın.
- Ağ sanal araçları (NVA 'lar). Azure Güvenlik duvarını veya Azure Marketi 'nde bulunan üçüncü taraf çözümlerini kullanabilirsiniz.
Azure Güvenlik Özellikleri, yaygın saldırılar, kolayca yapılandırılması ve ölçeklendirilmesi için yeterlidir. Üçüncü taraf çözümler genellikle gelişmiş özelliklere sahiptir, ancak doku denetleyicileri ile iyi tümleşiyorlarsa, yapılandırılması zor olabilir. Azure seçenekleri, bir maliyet perspektifinden iş ortağı çözümlerinden daha ucuz olur.
Çerçeve bilgilerini içeren HTTP başlıkları (,) gibi uygulama platformunu X-Powered-ByX-ASPNET-VERSION kullanan bilgiler, uygulamanın saldırı vektörlerini eşlerken kötü amaçlı aktörler tarafından yaygın olarak kullanılır.
HTTP üstbilgileri, hata iletileri ve Web sitesi altbilgileri uygulama platformu hakkında bilgi içermemelidir. Azure CDN, barındırma platformunu son kullanıcılardan ayırmak için kullanılabilir. Azure API Management, HTTP üstbilgilerini değiştirmenize ve hassas bilgileri kaldırmanıza imkan tanıyan dönüştürme ilkeleri sunar.
Önerilen eylem
iş yüküyle ilgili platform ayrıntısı görünürlüğünü sınırlamak için CDN kullanmayı göz önünde bulundurun.
Daha fazla bilgi edinin
Arka uç hizmetleriyle iletişim
Çoğu iş yükü, birkaç hizmetin her katmana hizmet verebildiği birden çok katmanda oluşur. Yaygın katman örnekleri şunlardır. Web ön uçları, İş süreçleriniz, raporlama ve analiz, arka uç altyapısı vb.
Uygulama kaynaklarını (FTP, Web Dağıtımı gibi) yayımlamak için birden çok yöntem kullanılmasına izin veren uygulama kaynakları kullanılmayan uç noktaları devre dışı bırakılmalıdır. Azure Web Apps için, SCM önerilen uç noktadır ve hassas senaryolar için ağ kısıtlamalarıyla ayrı olarak korunabilir.
Genel giriş noktaları, olası bir uzlaşma vektörünü temsil ettiğinden, herhangi bir iş yüküne genel erişim bozacağından onaylanmış ve planlanmalıdır. Genel IP 'lerden herhangi bir arka uç hizmetine erişim izni verirken, izin verilen IP 'lerin aralığını sınırlamak bu hizmetin saldırı yüzeyini önemli ölçüde azaltabilir. Örneğin, Azure ön kapısı kullanıyorsanız, arka uç katmanlarını yalnızca ön kapı IP 'lerine izin verecek şekilde sınırlayabilirsiniz. ya da bir iş ortağı API 'nizi kullanıyorsa, erişimi yalnızca aday genel IP 'leri ile sınırlayın.
Birden çok uygulama katmanı arasında trafik akışını nasıl yapılandırırsınız?
Farklı öğeler veya iş yükü içindeki katmanlar için ayrı adres alanları ayırmak üzere Azure sanal ağ alt ağını kullanın. Ardından, bu Katmanlar arasındaki trafik akışlarını denetlemek ve erişimi kısıtlamak için farklı erişim ilkeleri tanımlayın. Bu kısıtlamaları, IP filtrelemesi veya güvenlik duvarı kuralları aracılığıyla uygulayabilirsiniz.
Arka uç altyapısına erişimi kısıtlamanız gerekiyor mu?
Arka uç hizmetlerine erişimi, App Services IP kısıtlamalarına veya Azure ön kapısına sahip en düşük bir genel IP adresleri kümesiyle sınırlayın.
Web uygulamaları genellikle bir ortak giriş noktasına sahiptir ve sonraki API 'Leri ve veritabanı sunucularını Internet üzerinden kullanıma sunmaz. Yalnızca ihtiyacı olan ve yalnızca gerçekten ihtiyacı olan en az SAYıDA genel IP adresi kümesini kullanıma sunun. Örneğin, Azure ön kapısı gibi ağ geçidi Hizmetleri kullanılırken, erişimi yalnızca bir ön kapı IP adresi kümesiyle kısıtlamak ve altyapıyı tamamen kilitlemek mümkündür.
Önerilen eylem
- Uygulama yayımlama yöntemlerini kısıtla ve koru.
Daha fazla bilgi edinin
- Azure App Service erişim kısıtlamalarını ayarlama
- Azure ön kapı belgeleri
- Uygulamanızı FTP/S kullanarak Azure App Service dağıtma
Azure PaaS hizmetleriyle bağlantı
İş yükünün genellikle diğer Azure hizmetleriyle iletişim kurması gerekir. Örneğin, Azure Key Vault parolaları alması gerekebilir. Genel internet üzerinden bağlantı yapmaktan kaçının.
İş yükü Azure PaaS hizmetlerine erişmek için güvenli yollar kullanıyor mu?
PaaS hizmetlerine erişmenin yaygın yaklaşımları hizmet uç noktaları veya özel bağlantılardır. Her iki yaklaşım da PaaS uç noktalarına erişimi yalnızca yetkili sanal ağlardan kısıtlar, veri izinsiz giriş risklerini ve uygulama kullanılabilirliğine ilişkin etkileri etkili bir şekilde etkiler.
Hizmet uç noktaları ile, VNet üzerinde genel bir IP adresi gerekmeden PaaS uç noktasına ulaşabildiğiniz için iletişim yolu güvenlidir. Çoğu PaaS hizmeti, hizmet uç noktaları üzerinden iletişimi destekler. Genel kullanıma sunulan hizmetlerin bir listesi için bkz. sanal ağ hizmeti uç noktaları.
Başka bir mekanizma Azure özel bağlantısı aracılığıyla yapılır. Özel Uç Nokta, sanal ağınızdaki bir özel IP adresini kullanır ve bu sayede hizmeti sanal ağınıza getirir. Ayrıntılar için bkz. Azure özel bağlantısı nedir?.
Hizmet uç noktaları, bir PaaS hizmetine hizmet düzeyinde erişim sağlar, ancak özel bağlantı, kötü amaçlı yönetici erişimi gibi veri kaybı riskini azaltmak için belirli bir PaaS kaynağına doğrudan erişim sağlar. Özel bağlantı ücretli bir hizmettir ve işlenen gelen ve giden veriler için ölçümleri vardır. Özel uç noktalar da ücretlendirilir.
Özel bağlantının kullanılamadığı Azure PaaS hizmetlerinin giden trafiğini nasıl kontrol edersiniz?
Yalnızca özel bağlantının desteklenmediği hizmetlere yönelik yetkili PaaS hizmetlerine erişimi kısıtlamak için NVA 'lar ve Azure Güvenlik Duvarı 'nı (desteklenen protokoller için) ters bir ara sunucu olarak kullanın. Veri savunma kaygılarına karşı korumak için Azure Güvenlik Duvarı 'nı kullanın.
Şirket içinden buluta bağlantı
Karma bir mimaride, iş yükü kısmen şirket içinde ve kısmen Azure 'da çalışır. Şirket içi veri merkezinden Azure sanal ağı 'nı girerek trafiği denetleyen güvenlik denetimlerine sahip olun.
Şirketler arası bağlantı kurma
Şirket içi ağlara çapraz şirket içi bağlantı kurmak için Azure ExpressRoute 'u kullanın. Bu hizmet, üçüncü taraf bir bağlantı sağlayıcısı aracılığıyla özel, adanmış bir bağlantı kullanır. Bu özel bağlantı, şirket içi ağınızı Azure'a genişletir. Bu şekilde, şirket içi şirket bilgi varlıklarına erişim potansiyeli olma olasılığını azaltabilirsiniz.
VM 'Lere nasıl erişirsiniz?
Azure savunma kullanarak sanal makinelerinize oturum açın ve yalnızca özel IP adresleriyle SSH ve RDP kullanarak genel İnternet pozlamasını önleyin. Ayrıca, VM 'lere RDP/SSH erişimini devre dışı bırakabilir ve VPN, ExpressRoute kullanarak uzaktan yönetim için bu sanal makinelere erişebilirsiniz.
Bulut veya şirket içi VM 'Ler etkileşimli oturum açma işlemleri gerçekleştirebilecek kullanıcılar için doğrudan internet bağlantısına sahip mi?
Saldırganlar açık yönetim bağlantı noktaları için ortak bulut IP aralıklarını sürekli tarar ve ortak parolalar ve bilinen düzeltme eki yüklenmemiş güvenlik açıkları gibi düşük maliyetli saldırıları dener. İlkeleri zorlamak için günlüğe kaydetme ve izleme özellikli VM 'Lere doğrudan internet erişimini önlemeye yönelik işlemler ve yordamlar geliştirin.
İnternet trafiği nasıl yönlendirilir?
İnternet trafiğinin nasıl yönlendirilileceğine karar verin. Şirket içi güvenlik cihazlarını ( Zorlamalı tünelolarak da bilinir) kullanabilir veya bulut tabanlı ağ güvenlik cihazlarıyla bağlantıya izin verebilirsiniz.
Üretim kuruluşu için, bulut kaynaklarının Internet uç stratejiniztarafından tanımlanan bulut ağ güvenliği cihazları aracılığıyla doğrudan Internet isteğine yanıt vermesini ve yanıt vermesini sağlar. Bu yaklaşım, Azure veri merkezleri, kuruluşunuzun bir parçası olan nth veri merkezi paradigmına uyar. Yük, gecikme süresi ve maliyet ekleyen atlamaları kaldırdığından, bir kuruluş dağıtımı için daha iyi ölçeklendirme yapar.
Diğer bir seçenek de siteden siteye VPN aracılığıyla tüm giden internet trafiğini Şirket içinden tünele zorlamaktır. Ya da, şirketler arası WAN bağlantısı kullanın. Ağ güvenlik ekipleri, internet trafiği için daha fazla güvenliğe ve görünürlüğe sahiptir. Buluttaki kaynaklarınız internet 'ten gelen isteklere yanıt vermeye çalıştığında bile, yanıtlar tünel zorlamalı olarak yapılır. Bu seçenek, bir veri merkezi genişletme kullanım örneğine uyar ve hızlı bir kavram kanıtı için iyi çalışabilir, ancak artan trafik yükü, gecikme süresi ve maliyet nedeniyle kötü bir şekilde ölçeklendirilebiliyor. Bu nedenlerden dolayı Zorlamalı tünelkullanmaktan kaçınmanızı öneririz.
Sonraki adım
İlgili bağlantılar
Trafik için sonraki atlamayı denetleme hakkında daha fazla bilgi için bkz. Azure sanal ağ kullanıcı tanımlı yollar (UDR).
Web uygulaması güvenlik duvarları hakkında daha fazla bilgi için bkz. Application Gateway WAF.
Azure Marketi 'ndeki ağ gereçleri hakkında daha fazla bilgi için bkz. ağ araçları.
Şirketler arası bağlantı hakkında daha fazla bilgi için bkz. Azure siteden sıteye VPN veya ExpressRoute.
Uzaktan Yönetim için bu sanal makinelere erişmek üzere VPN/ExpressRoute kullanma hakkında daha fazla bilgi için bkz. Azure sanal MAKINELERINE RDP/SSH erişimini devre dışı bırakma.
Ana makaleye geri dönün: ağ güvenliği
Genellikle bir bulut mimarisinin iş yükünün ve destekleyici bileşenlerinin dış varlıklara erişmesi gerekecektir. Bu varlıklar şirket içi, ana sanal ağ dışındaki cihazlar veya diğer Azure kaynakları olabilir. Bu bağlantılar, şirket içinde internet veya ağ üzerinden olabilir.
Önemli noktalar
- Ağ kısıtlamalarıyla ve IP güvenlik duvarıyla, herkese açık olmayan hizmetleri koruyun.
- VNet içindeki trafiği korumak ve denetlemek için ağ güvenlik grupları (NSG 'ler) veya Azure Güvenlik Duvarı 'nı kullanın.
- Azure PaaS hizmetlerine erişmek için hizmet uç noktalarını veya özel bağlantıyı kullanın.
- Veri savunma saldırılarına karşı korumak için Azure Güvenlik Duvarı 'nı kullanın.
- Arka uç hizmetlerine erişimi, yalnızca gerçekten ihtiyaç duyulan hizmetleri en az bir genel IP adresi kümesine kısıtlayın.
- Temel güvenlik ihtiyaçları için üçüncü taraf çözümler üzerinde Azure denetimlerini kullanın. Yapılandırma ve ölçeklendirme kolaylıyız.
- Farklı uygulama katmanları arasındaki iş yükü türüne ve denetim akışına göre erişim ilkeleri tanımlayın.
Ağ kesimleri arasında bağlantı
Bir iş yükü tasarlarken, genellikle iş yüküne sahip olan özel bir adres alanında bir Azure sanal ağı (VNet) sağlamaya başlayacaksınız. İki sanal ağ arasında varsayılan olarak hiçbir trafiğe izin verilmez. Bir gereksinim varsa, iletişim yollarını açıkça tanımlayın. Sanal ağları birbirine bağlamayı bir şekilde sanal ağ eşlemesi.
Önemli bir boyut, VNet 'teki VM 'Leri koruyor. VM 'lerdeki ağ arabirimleri, diğer VM 'Ler, internet ve şirket içi ağlarla iletişim kurmasına izin verir. VNet (ve alt ağ) içindeki VM 'lerde trafiği denetlemek için uygulama güvenlik grupları 'nı (ASGs)kullanın. Bir uygulama etiketi altında bir VM kümesini gruplandırabilir ve trafik kurallarını tanımlayabilirsiniz. Bu kurallar, temel alınan tüm VM 'lere uygulanır.
VNet, iş gereksinimlerine göre alt ağlara bölünmüştür. Daha büyük ağ alanı içinde gelen ağ trafiğine veya giden ağ trafiğine izin veren veya reddeden uygun ağ güvenliği denetimleri sağlar.
Ayrıca, koruma için özel IP adresleriyle VM 'Ler sağlayabilirsiniz. Azure IP adresinden yararlanarak, gelen trafiği, nasıl ve nerede sanal ağa nasıl çevrileyeceğini öğrenin.
İyi bir Azure IP adresleme düzeni esneklik, büyüme olanağı ve şirket içi ağlarla tümleştirme sağlar. Bu düzen dağıtılan kaynaklarda iletişimin çalışmasını güvence altına alır, sistemlerin genel kullanıma açılmasını en aza indirir ve kuruluşa ağı için esneklik verir. Düzgün tasarlanmamışsa, sistemler iletişim kuramayabilir ve durumu düzeltmek için ek bir çalışma yapılması gerekir.
İş yükü VNet içindeki trafiği nasıl yalıtabilir ve koruyabilirsiniz?