Azure 'da trafik akışı güvenliği
Kuzey-Güney trafik
Kuzey-Güney , bir veri merkezinde dışarı ve dışarı akan trafiğe başvurur. Örneğin, bir uygulamadan arka uç hizmetine giden trafik. Bu trafik türü, genel İnternet üzerinden akış yaptığı için saldırı vektörlerine yönelik tipik bir hedeftir. Veri merkezinden gelen ve olmayan sorguların güvende olması için uygun ağ denetimlerinin yerinde olması gerekir.
Azure Kubernetes Service (AKS) kümesinde tipik bir akışı göz önünde bulundurun. Küme, HTTP isteklerinden gelen (giriş) trafiği alır. Küme, bir kapsayıcı görüntüsü çekme gibi diğer hizmetlere sorgular göndermek için giden (çıkış) trafiği de gönderebilir.
Tasarımınız, gelen trafiği güvenli hale getirmek için Application Gateway Web uygulaması güvenlik duvarını ve giden (çıkış) trafiğinin güvenliğini sağlamak için Azure Güvenlik Duvarı 'nı kullanabilir.
Doğu-Batı trafiği
Doğu-Batı trafiği, veri merkezleri arasındaki trafiği ifade eder. Bu tür bir trafik için, ağ altyapısının birkaç kaynağı birbirleriyle iletişim kurar. Bu kaynaklar sanal ağlar, bu sanal ağlardaki alt ağlar vb. olabilir. Doğu Batı trafiğinin güvenliği, iş yükü trafiğinin büyük bir bölümünü oluştursa bile aşırı göz alabilir. Altyapı güvenlik duvarlarının saldırıları engellemek için yeterli olduğu varsayılır. Ağ kaynakları arasında doğru denetimler olduğundan emin olun.
AKS kümesi örneğini bu kavrama genişleterek, Doğu Batı trafiği küme içindeki trafiktir. Örneğin, giriş denetleyicisi ve iş yükü gibi pods arasındaki iletişim. İş yükünüz birden çok uygulamadan oluşuyorsa, bu uygulamalar arasındaki iletişim bu kategoriye girer.
Kubernetes ağ ilkelerini kullanarak, Zero-Trust ilkeden başlayarak ve ardından gerektiğinde belirli iletişim yollarını açarak hangi yığınların iletişim kurabildiğini kısıtlayabilirsiniz.
İpucu
Önceki AKS örneği için kaynaklar aşağıda verilmiştir:
GitHub: Azure kubernetes Service (aks) güvenli temel başvuru uygulama.
Tasarım konuları Azure Kubernetes Service (AKS) üretim taban çizgisindeaçıklanmıştır.
Veri sızdırma
Veri sızdırma, bir iç veya dış kötü amaçlı aktörün yetkisiz bir veri aktarımı yaptığı yaygın bir saldırıya neden olur. Genellikle ağ denetimlerinin olmaması nedeniyle erişim kazanılabilir.
Ağ sanal gereci (NVA) çözümleri ve Azure Güvenlik Duvarı (desteklenen protokoller için), yalnızca özel bağlantının desteklenmediğini (Azure Güvenlik Duvarı) hizmetlere yönelik yetkili PaaS hizmetlerine erişimi kısıtlamak için ters bir ara sunucu olarak yararlanılabilir olabilir.
Veri savunma sorunlarını gidermek için Azure Güvenlik duvarını veya üçüncü taraf bir sonraki nesil güvenlik duvarını yapılandırın.
İş yükü tasarımında veri bloğunu algılayıp korumak için denetimler var mı?
Hub-kol topolojisi gibi çeşitli katmanlarda ağ iletişimini koruyabilecek bir derinlemesine savunma tasarımı seçin. Azure, katmanlı tasarımı desteklemeye yönelik çeşitli denetimler sağlar:
- Katman 3 ' ü katman 7 ' ye kullanarak trafiğe izin vermek veya reddetmek için Azure Güvenlik Duvarı 'nı kullanın.
- Trafik için sonraki atlamayı denetlemek üzere Azure sanal ağ kullanıcı tanımlı yollar (UDR) kullanın.
- Bir sanal ağ, internet ve diğer sanal ağlardaki kaynaklar arasında ağ güvenlik grupları (NSG 'ler) ile trafiği denetleme.
- Azure PrivateLink ve özel uç noktalar aracılığıyla uç noktaların güvenliğini sağlayın.
- Paket incelemesi aracılığıyla ayrıntılı düzeylerde algılama ve koruma.
- Microsoft Sentinel ve bulut için Microsoft Defender aracılığıyla saldırıları algılar ve uyarılara yanıt verin.
Önemli
Ağ denetimleri, veri alma girişimlerini engellemeye yetecek kadar yeterli değildir. Uygun kimlik denetimleri, anahtar koruması ve şifreleme ile korumayı sağlamlaştırın. Daha fazla bilgi için aşağıdaki bölümlere bakın:
Bu iş yükü için bir bulut uygulaması güvenlik Aracısı (CASB) olarak kabul edilsin mi?
CASBs, ilkeleri zorlamaya yönelik merkezi bir denetim noktası sağlar. Bunlar, tüm Microsoft ve üçüncü taraf bulut hizmetlerinde zengin görünürlük, veri yolculuğu üzerinde denetim ve gelişmiş analiz sağlar.
Daha fazla bilgi edinin
İlgili bağlantılar
- Azure Güvenlik Duvarı
- Ağ güvenlik grupları (NSG)
- Azure Application Gateway Azure Web uygulaması güvenlik duvarı nedir?
- Azure Özel Bağlantı nedir?
Ana makaleye geri dönün: ağ güvenliği
Bulut Hizmetleri, mobil cihazlar, iş istasyonları veya işbirliği platformları dahil olduğu her yerde verileri koruyun. Erişim denetimi ve şifreleme mekanizmalarını kullanmanın yanı sıra, saldırıları algılayan, izleyen ve içeren güçlü ağ denetimleri uygulayın.
Önemli noktalar
- Alt ağlar (Doğu-Batı) ve uygulama katmanları (Kuzey-Güney) arasındaki ağ trafiğini denetleme.
- Zero-Trust ilkeleriyle başlayan katmanlı bir derinlemesine savunma yaklaşımı uygulayın.
- Bir bulut uygulaması güvenlik Aracısı (CASB) kullanın.
Doğu-Batı ve Kuzey-Güney trafik
Bir iş yükünün ağ akışını analiz edilirken, Kuzey-Güney trafiğinden Doğu Batı trafik arasında ayrım yapın. Çoğu bulut mimarileri her iki türün birleşimini kullanır.
Alt ağlar arasındaki trafik, Azure bileşenleri ve iş yükünün yönettiği ve güvenliğinin sağlandığı trafik mı?