Azure'da ağ segmentasyon desenlerini uygulama

  • Makale
  • Okumak için 7 dakika

Bu makalede segmentler oluşturan ve tek tek hizmetlere erişimi kısıtlayan bazı Azure ağ özellikleri vurgulanır.

Önemli

Ağ segmentasyon stratejinizi kurumsal segmentasyon modeliyle hizalar. Bu, farklı teknik ekipler (ağ, kimlik, uygulamalar vb.) ile ilgili karışıklığı ve zorlukları azaltır. Her takım, kendi segmentasyon ve temsilcilik modellerini geliştirmeli ve bu modeller birbirine uygun değildir.

Önemli noktalar

  • Ağ ayak izinize yazılım tanımlı çevreler oluşturun ve aralarındaki iletişim yollarının güvenliğini sağlama.
  • Tam bir sıfır güven segmentasyonu stratejisi kurma.
  • Kuruluşta yer alan teknik ekipleri eski uygulamalar için mikro segmentasyon stratejilerine uygun şekilde hizalar.
  • Azure Sanal Ağları (VNet'ler) özel adres alanları içinde oluşturulur. Varsayılan olarak, iki sanal ağ arasında trafiğe izin verilmez. Yolları yalnızca gerçekten gerekli olduğunda açın.
  • Sanal ağ içindeki kaynaklar arasındaki iletişimin güvenliğini sağlamak için Ağ Güvenlik Gruplarını (NSG) kullanın.
  • İş yükünü çalıştıran temel VM'ler için trafik kuralları tanımlamak üzere Uygulama Güvenlik Grupları'nın (ASG) kullanın.
  • Bulut Azure Güvenlik Duvarı, İnternet ve şirket içi arasında akan trafiği filtrelemek için Azure Güvenlik Duvarı'ı kullanın.
  • Birden çok bölgede faaliyete ihtiyacınız yoksa kaynakları tek bir sanal ağ içinde yer alan bir sanal ağ olarak kullanabilirsiniz.
  • Birden çok bölgede olmak gerekirse, eşleme aracılığıyla birbirine bağlı birden çok sanal ağa sahip olun.
  • Gelişmiş yapılandırmalar için merkez-spoke topolojisi kullanın. Bir VNet, diğer tüm VNet'ler için belirtilen bölgede merkez olarak o bölgede bir merkez olarak belirlenmiştir.

Segmentasyon nedir?

Çeşitli Azure hizmetlerini ve özelliklerini kullanarak ağ ayak izinize yazılım tanımlı çevreler oluşturabilirsiniz. Bir iş yükü (veya verilen iş yükünün parçaları) ayrı segmentlere yerleştirilse, iletişim yollarının güvenliğini sağlamak için bu segmentlerden/segmentlere giden trafiği kontrol edin. Bir segmentin güvenliği tehlikeye girerse, etkiyi daha iyi bir şekilde içerebilir ve ağın geri kalanına yayılmasını önleyebilirsiniz. Bu strateji, Microsoft tarafından yayımlanan ve birinci sınıf güvenlik Sıfır Güven kuruluşa getirmeyi hedefleyen temel güvenlik modeli ilkesiyle uyumludur.

Önerilen eylemler

Aşağıdakiler dahil olmak üzere kanıtlanmış yaklaşımları bir karışımını içeren bir risk savunma stratejisi oluşturun:

  • Mevcut ağ güvenlik denetimleri ve uygulamaları
  • Azure'da kullanılabilen yerel güvenlik denetimleri
  • Sıfır güven yaklaşımları

Daha fazla bilgi edinin

Segmentasyon stratejisi oluşturma hakkında daha fazla bilgi için bkz. Enterprise segmentasyon stratejisi.

Segmentlere bölen Azure özellikleri

Azure'da işlemde birçok segmentasyon seçeneğine sahip oluruz.

Kaynak Akış Çizelgesi

  1. Abonelik:Varlıklar arasında platform destekli ayrım sağlayan üst düzey bir yapıdır. Bir şirket içindeki büyük kuruluşlar arasındaki sınırları aşmaya yöneliktir ve farklı aboneliklerde bulunan kaynaklar arasındaki iletişimin açıkça sağlanması gerekir.

  2. Sanal Ağ (VNet'ler):Özel adres alanları içinde bir abonelik içinde oluşturulur. İki sanal ağ arasında varsayılan olarak trafiğe izin verilmiyor olan kaynakların ağ düzeyinde içermesi sağlar. Abonelikler gibi, sanal ağlar arasındaki tüm iletişimlerin de açıkça sağlanması gerekir.

  3. Ağ Güvenlik Grupları (NSG):Bir sanal ağ içindeki kaynaklar arasındaki trafiğin yanı sıra internet, diğer sanal ağlar gibi dış ağlarla trafiği denetlemek için bir erişim denetimi mekanizmaları. NSG'ler bir alt ağ, vm veya vm grubu için çevre oluşturarak segmentasyon stratejinizi ayrıntılı bir düzeye üst düzeye çıkarabilirsiniz. Azure'da alt ağlarla ilgili olası işlemler hakkında bilgi için bkz. Alt ağlar (Azure Sanal Ağları).

  4. Uygulama Güvenlik Grupları (ASG'ler):NSG'lere benzer, ancak bir uygulama bağlamıyla başvurulmaktadır. Bir dizi VM'i bir uygulama etiketi altında gruplayarak temel alınan VM'lere uygulanan trafik kurallarını tanımlamaya olanak sağlar.

  5. Azure Güvenlik Duvarı:Bulut kaynakları, internet ve şirket içi arasında akan trafiği filtrelemek için sanal ağınıza veya Azure Sanal WAN hub dağıtımlarına dağıtılabilir, hizmet olarak buluta özel durum bilgisi olan güvenlik duvarı. Katman 3 ile katman 7 Azure Güvenlik Duvarı izin Azure Güvenlik Duvarı Yöneticisi trafiği belirterek kurallar veya ilkeler (Azure Güvenlik Duvarı veya Azure Güvenlik Duvarı Yöneticisi kullanarak)oluşturursanız. Ayrıca, trafiğin bir veya hepsini gelişmiş filtreleme kullanıcı koruması için üçüncü taraf güvenlik sağlayıcıları aracılığıyla yönlendirerek hem İnternet'e Azure Güvenlik Duvarı hem de üçüncü taraf trafiği & filtreleyabilirsiniz.

Segmentasyon desenleri

Azure'da bir iş yükünü ağ perspektifinden segmentlere bölen bazı yaygın desenler burada vemektedir. Her desen farklı türde yalıtım ve bağlantı sağlar. Kuruluşun ihtiyaçlarına göre bir desen seçin.

Desen 1: Tek sanal ağ

İş yükünün tüm bileşenleri tek bir sanal ağ içinde yer alan. Bir sanal ağ birden çok bölgeye yayılamayaya sahip olduğundan bu düzen tek bir bölgede çalışmanız için uygundur.

Alt ağlar veya uygulama grupları gibi kesimlerin güvenliğini sağlamanın yaygın yolları NSG'ler ve ASG'ler kullanmaktır. Ayrıca, bu segmentasyonu uygulamak ve güvenli hale Azure Market veya Azure Güvenlik Duvarı Ağ Sanallaştırılmış Aleti (NVA) kullanabilirsiniz.

Bu görüntüde Subnet1 veritabanı iş yüküne sahip. Subnet2'de web iş yükleri vardır. Subnet1'in yalnızca Subnet2 ve Subnet2 ile iletişim kurmasına izin verecek NSG'leri yalnızca İnternet ile iletişim kurarak yapılandırabilirsiniz.

Tek Sanal Ağ

Ayrı alt ağlara yerleştirilen birden çok iş yükünüz olduğu bir kullanım durumu düşünün. Bir iş yükünün başka bir iş yükünün arka ucuyla iletişim kurmasına izin verecek denetimler abilirsiniz.

Desen 2: Eşleme ile iletişim kuran birden çok sanal ağ

Kaynaklar birden çok sanal ağ içinde yayılır veya çoğaltılır. VNet'ler eşleme aracılığıyla iletişim kurabilir. Bu düzen, uygulamaları ayrı sanal ağlarda grupla ihtiyacınız olduğunda uygundur. Veya birden çok Azure bölgesi gerekir. Bir avantajı, bir sanal ağı açıkça başka bir sanal ağ ile eşlemek zorunda olduğunuz için yerleşik kesimlemedir. Sanal ağ eşlemesi geçişli değildir. Desen 1'de gösterildiği gibi NSG'leri ve ASG'leri kullanarak bir sanal ağ içinde daha fazla segmente böle siniz.

Birden Çok Sanal Ağ

Desen 3: Merkez-bağlı-bağlı modelde birden çok sanal ağ

Bir VNet, diğer tüm VNet'ler için belirtilen bölgede merkez olarak o bölgede bir merkez olarak belirlenmiştir. Merkez ve bağlı olan merkezler eşleme aracılığıyla bağlanır. Tüm trafik, farklı bölgelerdeki diğer hub'lara ağ geçidi olarak davranacak şekilde merkezden geçer. Bu düzende güvenlik denetimleri, diğer sanal ağların arasındaki trafiği ölçeklenebilir bir şekilde segmentlere bölecek ve yönetecek şekilde merkezlerde ayarlanır. Bu düzenin bir avantajı, ağ topolojiniz büyüdükçe güvenlik duruşu ek yükü artmamaktadır (yeni bölgelere genişletilenler hariç).

Merkez-uç topolojisi

Önerilen yerel seçenek Azure Güvenlik Duvarı. Bu seçenek, katman 3 ile katman 7 denetimlerini kullanarak trafik akışlarını yönetmek için hem sanal ağlarda hem de aboneliklerde çalışır. İletişim kurallarınızı tanımlayabilir ve tutarlı bir şekilde uygulayabilirsiniz. İşte bazı örnekler:

  • VNet 1, VNet 2 ile iletişim kuramaz, ancak VNet 3 ile iletişim kurabilir.
  • VNet 1, *.github.com dışında genel İnternet'e erişe github.com.

Önizleme Azure Güvenlik Duvarı Yöneticisi, birden çok Azure Güvenlik Duvarı'nda ilkeleri merkezi olarak yönetebilir ve DevOps ekiplerin yerel ilkeleri daha fazla özelleştirmesini sebilirsiniz.

İpucu

Merkez-bağlı-bağlı-bağlı kaynak topolojisinde kaynak sağlamayı gösteren bazı kaynaklar aşağıda ve açık ve açık bir şekilde ve açık bir şekilde ve hatta topolojide yer alan kaynaklardan bazılarıdır:

GitHub logoGitHub: Merkez-Bağlı Topoloji Korumalı Alanı.

Tasarım konuları Azure'da Merkez-bağlı ağ topolojisi altında açıklanmıştır.

Desen karşılaştırması

Dikkat edilmesi gerekenler Desen 1 Desen 2 Desen 3
Bağlantı/yönlendirme: Her segmentin birbirleriyle nasıl iletişim kuracakları Sistem yönlendirme, herhangi bir alt ağdaki herhangi bir iş yüküne varsayılan bağlantı sağlar. Bir desenli 1. Bağlı ağlar arasında varsayılan bağlantı yok. Bağlantıyı etkinleştirmek için hub 'daki Azure Güvenlik Duvarı gibi bir katman 3 yönlendiricisi gereklidir.
Ağ düzeyinde trafik filtreleme Varsayılan olarak trafiğe izin verilir. Trafiği filtrelemek için NSG, ASG kullanın. Bir desenli 1. Bağlı olan sanal ağlar arasındaki trafik varsayılan olarak reddedilir. Azure Güvenlik duvarı yapılandırması üzerinden trafiğe izin vermek için seçili yolları açın.
Merkezi günlük kaydı NSG, sanal ağ için ASG günlükleri. Tüm sanal ağlarda toplam NSG, ASG günlükleri. Azure Güvenlik Duvarı, hub aracılığıyla gönderilen tüm kabul edilen/reddedilen trafiği günlüğe kaydeder. Günlükleri Azure Izleyici 'de görüntüleyin.
İstenmeden açık genel uç noktalar DevOps, yanlışlıkla hatalı nsg, asg kuralları aracılığıyla ortak bir uç nokta açabilir. Bir desenli 1. Dönüş paketi durum bilgisi olmayan güvenlik duvarıyla (asimetrik yönlendirme) atıldığı için, yanlışlıkla bir bağlı durumda ortak uç nokta, erişimi etkinleştirmez.
Uygulama düzeyi koruması NSG veya ASG yalnızca ağ katmanı desteği sağlar. Bir desenli 1. Azure Güvenlik Duvarı, giden trafik ve sanal ağlar için HTTP/S ve MSSQL için FQDN filtrelemeyi destekler.

Sonraki adım

Ağ bağlantılarının güvenliğini sağlama

Ana makaleye geri dön: ağ güvenliği

Birleşik bir kurumsal segmentasyon stratejisi, teknik takımlara ağ, uygulamalar, kimlik ve diğer erişim denetimleri kullanarak erişimi sürekli olarak segmentlere ayırmak üzere rehberlik eder. Perimeters 'ı tanımlayarak ağınızın parmak izine göre segmentlerinizi oluşturun. Segmentlemeye yönelik başlıca nedenler şunlardır:

  • (Veya destek) iş yükü işlemlerinin bir parçası olan ilişkili varlıkları gruplandırma özelliği.
  • Kaynakların yalıtımı.
  • Kuruluş tarafından ayarlanan idare ilkeleri.

Güvenlik açığı 'nın önerilen siber güvenlik anlayış olduğunu ve bir saldırganın, bilgi sistemlerini korumanın önemli olduğunu varsayın . Bir saldırganın iş yükü içindeki çeşitli noktalarda bir kanthold elde edebilmesini ve daha fazla genişletmeyi azaltmak için denetimler kurmasını sağlar.

Ağ denetimleri, perimeters arasındaki etkileşimleri güvenli hale getirebilirsiniz. Bu yaklaşım güvenlik duruşunu güçlendirin ve bir ihlale riskleri içerebilir çünkü denetimler, saldırganların tüm iş yüküne erişim kazanmalarını algılayabilir, içerebilir ve durdurabilir.

Bir ortamdaki saldırı vektörlerine kapsama çok önemlidir. Ancak, bulut ortamlarında etkili olması için geleneksel yaklaşımlar yetersiz olabilir ve güvenlik kuruluşları kendi yöntemlerini geliştirmeleri gerekebilir.

Geleneksel segmentasyon yaklaşımları, genellikle iş kullanım örnekleri ve uygulama iş yükleri ile uyum sağlamak üzere bir yöntemde geliştirildikleri için hedeflerine ulaşamazlar. Genellikle bu, geniş güvenlik duvarı özel durumları gerektiren karmaşıklığa neden olur.

Gelişen en iyi uygulama önerisi, Kullanıcı, cihaz ve uygulama kimliklerine bağlı olarak sıfır güven stratejisi benimsemelidir. Kaynak ve hedef IP adresi, protokoller ve bağlantı noktası numaraları gibi öğeleri temel alan ağ erişim denetimlerinin aksine, sıfır güven erişim zamanındaerişim denetimini uygular ve doğrular. Bu, tüm dağıtım, ağ veya alt ağ için bir tahmini oyun oynatma gereksinimini ortadan kaldırır; yalnızca hedef kaynağın gerekli erişim denetimlerini sağlaması gerekir.

  • Azure ağ güvenlik grupları, Azure sanal ağları, alt ağları ve internet arasında temel katman 3 ve 4 erişim denetimleri için kullanılabilir.
  • Azure Web uygulaması güvenlik duvarı ve Azure Güvenlik Duvarı, uygulama katmanı desteği gerektiren daha gelişmiş ağ erişim denetimleri için kullanılabilir.
  • Yerel yönetici parolası çözümü (LAPS) veya bir üçüncü taraf Privileged Access Management, güçlü yerel yönetici parolaları ve bunlara tam zamanında erişim ayarlayabilir.

Kuruluş ağ kesimlemesini nasıl uygular?