Azure 'da Endpoint Security için en iyi yöntemler
İlk tasarım kararı, herkese açık bir uç nokta gerekip gerekmediğini değerlendirmenizi sağlar. Bunu yaparsanız, bu mekanizmaları kullanarak koruyun.
Daha fazla bilgi için bkz. sanal ağ hizmeti uç noktaları ve Azure özel uç noktası nedir?
Web uygulaması güvenlik duvarları (WAFs)
WAFs, Web uygulamaları için temel düzeyde güvenlik sağlar. WAFS, uygulama güvenliğine bir WAFs olarak yatırım yapmış kuruluşlar için ek derinlemesine savunma azaltma sağlar.
WAFs, bir saldırganın uygulamalarda sık görülen güvenlik açıklarına karşı faydalanma riskini azaltır. WAFs, Web uygulamaları için temel düzeyde güvenlik sağlar. Saldırganlar, bir alım noktası için Web uygulamalarını kuruluşa (bir istemci uç noktasına benzer) hedefleyecek olduğundan, bu mekanizma önemli bir azalmaya yöneliktir.
Dış uygulama uç noktaları, kötü amaçlı bir amaç nedeniyle olası uygulama kapalı kalma süresinin oluşmasını engellemek amacıyla, yavaşlamaları gibi hizmet reddi (DoS) saldırıları gibi genel saldırı vektörlerine karşı korunmalıdır. Azure Güvenlik Duvarı, Application Gateway/Azure ön kapısı, WAF ve DDoS koruması standart planı gibi Azure yerel teknolojileri, gerekli koruma sağlamak için kullanılabilir (Azure DDoS koruması).
Azure Application Gateway, Web trafiğini incelemeye ve HTTP katmanındaki saldırıları algılamaya yönelik WAF özelliklerine sahiptir. Güvenli Yuva Katmanı (SSL) şifrelemesi ve şifre çözme işlemleri için bir yük dengeleyici ve HTTP (S) tam ters ara sunucusu.
Örneğin, iş yükünüz uygulama hizmeti ortamlarında (ıLB Ao) barındırılır. API 'Ler dahili olarak birleştirilir ve dış kullanıcılara sunulur. Bu dış pozlama Application Gateway kullanılarak elde edilebilir. Bu hizmet bir yük dengeleyicidir. İsteği iç API Management hizmetine iletir, bu da Ao 'da dağıtılan API 'Leri kullanır. Application Gateway, güvenli ve güvenilir giden çağrılar için bağlantı noktası 443 üzerinden de yapılandırılır.
İpucu
Yukarıdaki örneğe ilişkin tasarım konuları, Iç API 'leri dış kullanıcılara yayımlamaktaaçıklanmıştır.
azure ön kapısının ve azure Content Delivery Network (CDN) waf becerileri de vardır.
Öneri eylemleri
Azure ön kapısı, Application Gateway, Azure Güvenlik Duvarı, Azure DDOS koruması veya herhangi bir üçüncü taraf çözümü gibi uygun çözümlerle tüm genel uç noktaları koruyun.
Daha fazla bilgi edinin
- Azure Güvenlik Duvarı nedir?
- Azure DDoS Koruması Standardı’na genel bakış
- Azure ön kapı belgeleri
- Azure Application Gateway nedir?
Azure Güvenlik Duvarı
Tüm sanal ağı internet ve diğer dış konumlardan gelen kötü amaçlı olabilecek trafiğe karşı koruyun. Gelen trafiği inceler ve yalnızca geçiş için izin verilen istekleri geçirir.
Ortak bir tasarım, uygulamanın önünde bir DMZ veya çevre ağı uygulamaktır. DMZ, güvenlik duvarıyla ayrı bir alt ağ olur.
İpucu
Tasarım konuları yüksek oranda kullanılabilir NVA 'lar dağıtmabölümünde açıklanmaktadır.
Birleşik yaklaşım
Daha yüksek güvenlik istediğinizde ve sanal ağda Web ve Web 'e ait olmayan iş yüklerinin bir karışımı varsa hem Azure Güvenlik duvarını hem de Application Gateway kullanın. Bu iki hizmetin birlikte çalışması için birkaç yol vardır.
Örneğin, çıkış trafiğini filtrelemek istiyorsunuz. belirli bir Azure Depolama hesabına yönelik bağlantıya izin vermek istiyor, ancak diğerlerini değil. Tam etki alanı adı (FQDN) tabanlı filtrelerin olması gerekir. Bu durumda güvenlik duvarını çalıştırın ve paralel Application Gateway.
Diğer bir popüler tasarım, Azure Güvenlik duvarının tüm trafiği incelemesi ve Web trafiğini korumak için WAF ' i ve uygulamanın istemcinin kaynak IP adresini bilmesi gerekir. Bu durumda Application Gateway Güvenlik duvarının önüne koyun. Buna karşılık, trafiği Application Gateway ulaşmadan önce incelemek ve filtrelemek istiyorsanız WAF 'nin önüne güvenlik duvarı yerleştirebilirsiniz.
Daha fazla bilgi için bkz. sanal ağlar Için güvenlik duvarı ve Application Gateway.
Farklı bulut kaynaklarının dinamik olarak kapanması ve azaltılabileceği ağlarda kısa bir güvenlik duvarı kuralı yazmak zor olabilir. Yanlış yapılandırma risklerini algılamak için Microsoft Defender for Cloud kullanın.
Kimlik Doğrulaması
İnternet 'e yönelik hizmetler için güvenli olmayan eski protokolleri devre dışı bırakın. Eski kimlik doğrulama yöntemleri, bulutta barındırılan hizmetler için en popüler saldırı vektörlerinden arasındadır. Bu yöntemler, parolaların ötesinde diğer faktörleri desteklemez ve parola spreyi, sözlük veya deneme yanılma saldırıları için ana hedeflerdir.
DDoS saldırılarını azaltma
Dağıtılmış bir hizmet reddi (DDoS) saldırısında, sunucu sahte trafikle aşırı yüklenmiştir. DDoS saldırıları yaygındır ve çok daha fazla kaynak olabilir. Bir saldırı, erişimi tamamen engelleyebilir veya hizmetleri alabilir. Tüm iş açısından kritik Web uygulamalarının ve hizmetlerinin, iş kapalı kalma süresi yaşamadığı için, varsayılan savunanların ötesinde DDoS azaltma yaptığından emin olun.
Microsoft, kapalı kalma süresinin iş üzerinde olumsuz bir etkiye sahip olacağı tüm hizmetlerde gelişmiş korumayı benimsemenizi önerir.
DDoS korumasını nasıl uygulayabilirim?
Bazı konular aşağıda verilmiştir:
- İş yükünüzün çalıştığı altyapı düzeyinde DDoS koruması. Azure altyapısı, DDoS saldırıları için yerleşik savunma içerir.
- Ağ (katman 3) katmanında DDoS koruması. Azure, bir sanal ağda sağlanan hizmetler için ek koruma sağlar.
- Önbelleğe alma ile DDoS koruması. içerik teslim ağı (CDN), başka bir koruma katmanı ekleyebilir. ddos saldırısında, bir CDN trafiği durdurur ve arka uç sunucusuna ulaşmasını durdurur. Azure CDN yerel olarak korunuyor. Azure, özel DDoS risk azaltma platformuyla korunan popüler CDNs 'i de destekler.
- Gelişmiş DDoS koruması. Güvenlik tememenizde, anormal trafiği tespit etmek ve hizmet düşüşü gerçekleşmeden önce uygulamanızı önceden korumak için makine öğrenimi kullanan izleme teknikleriyle birlikte özellikleri göz önünde bulundurun.
örneğin, SQL Server başvuru mimarisi ile azure 'daki Windows N katmanlı uygulama , azure ddos koruma standardı 'nı kullanır, çünkü bu seçenek:
- Tehditleri algılamak için uygulamanın ağ trafiği desenlerine göre uyarlamalı ayarlama kullanır.
- %100 SLA garantisi verir.
- Uygun maliyetli olabilir. Örneğin, DDoS saldırısı sırasında ilk saldırı kümesi, sağlanan kaynakların ölçeğini azaltmasına neden olur. Bir sanal makine ölçek kümesi gibi bir kaynak için 10 makine, genel maliyetleri artırarak 100 'e büyüyebilir. Standart koruma sayesinde, Azure 'un maliyet kredisi sağladığından ölçeklendirilmiş kaynakların maliyeti konusunda endişelenmenize gerek kalmaz.
Azure DDoS koruma hizmetleri hakkında daha fazla bilgi için bkz. Azure DDoS koruması standart belgeleri.
Önerilen eylem
DDoS saldırılarına açık olan kritik iş yüklerini ve tüm iş açısından kritik Web uygulamaları ve hizmetleri için dağıtılmış hizmet reddi (DDoS) azaltmalarını etkinleştirin.
Daha fazla bilgi edinin
DDoS korumasının kullanımını gösteren başvuru mimarilerinin bir listesi için bkz. Azure DDoS koruması başvuru mimarileri.
DevOps benimseyin
Geliştiriciler kodlarını doğrudan uygulama sunucularına yayımlamaz.
Kuruluşun bu iş yükünde kod yayımlamak için bir CI/CD işlemi mi var?
Uygulamalar için sürekli tümleştirme, sürekli teslim (CI/CD) yaşam döngüsünü uygulayın. Otomatik ve geçişli CI/CD dağıtım sürecinde yardımcı olacak işlemler ve araçlar vardır.
Yayımlama yöntemlerinin güvenliği nasıl sağlanır?
Uygulama kaynakları, FTP gibi uygulama içeriğini yayımlamak için birden çok yönteme izin veren Web Dağıtımı kullanılmayan uç noktaları devre dışı bırakılmalıdır. Azure Web Apps için, SCM önerilen uç noktadır. Hassas kullanım durumları için ağ kısıtlamalarıyla ayrı olarak korunabilir.
Sonraki adım
İlgili bağlantılar
- Azure Güvenlik Duvarı
- Azure Application Gateway Azure Web uygulaması güvenlik duvarı nedir?
- Azure DDoS Koruması Standart
Ana makaleye geri dönün: ağ güvenliği
Uç nokta , dış varlıkların sizinle iletişim kurabilmesi için bir Web uygulaması tarafından sunulan bir adrestir. Uç nokta ile kötü amaçlı veya yanlışlıkla yapılan bir etkileşim, uygulamanın güvenliğini ve hatta tüm sistemi tehlikeye atabilir. Uç noktasını korumanın bir yolu, Filtre denetimlerini, aldığı ağ trafiğine (kural kümelerini tanımlama gibi) yerleştirmekten biridir. Derinlemesine savunma yaklaşımı, riskleri daha da azaltır. Birincil trafik denetimleri başarısız olursa, uç noktayı koruyan ek denetimleri ekleyin.
Bu makalede, Azure hizmetleri ve özellikleriyle Web uygulamalarını koruyabileceğiniz yol açıklanmaktadır. Ürün belgeleri için Ilgili bağlantılar ' a bakın.
Önemli noktalar
- Azure ön kapısı, Application Gateway, Azure Güvenlik Duvarı, Azure DDoS koruması ile tüm genel uç noktaları koruyun.
- Web iş yüklerini korumak için Web uygulaması güvenlik duvarını (WAF) kullanın.
- İş yükü yayımlama yöntemlerini koruyun ve kullanımda olmayan yolları kısıtlayın.
- DDoS saldırılarını azaltır. Kesinti iş açısından önemli olan kritik iş yükleri için standart koruma kullanın. ayrıca, başka bir koruma katmanı olarak CDN de düşünün.
- İlkeleri zorlamak için günlüğe kaydetme ve izleme ile sanal makinelere (proxy veya güvenlik duvarı gibi) doğrudan internet erişimini önlemeye yönelik işlemler ve yordamlar geliştirin.
- Otomatikleştirilmiş ve geçişli bir CI/CD dağıtım işlemi uygulayın.
Genel uç noktalar
Ortak uç nokta internet üzerinden trafik alır. Uç noktalar hizmeti saldırganlar tarafından kolayca erişilebilir hale getirir.
Hizmet uç noktaları ve özel bağlantı, yalnızca yetkili sanal ağlardan gelen PaaS uç noktalarına erişimi kısıtlamak, veri erişim risklerini etkili bir şekilde ve uygulama kullanılabilirliği ile ilişkili etkileri kısıtlamak için yararlanılabilir olabilir. Hizmet uç noktaları, bir PaaS hizmetine hizmet düzeyinde erişim sağlar, ancak özel bağlantı, kötü amaçlı yönetici senaryoları gibi veri geri alma risklerini azaltmak için belirli bir PaaS kaynağına doğrudan erişim sağlar.
Uygun yerlerde hizmet uç noktalarını ve özel bağlantıları yapılandırın.
Bu iş yükünün tüm genel uç noktaları korunuyor mu?