Güvenli hibrit ağ uygulama

Güvenlik Duvarı

Load Balancer

Sanal Makineler

Sanal Ağ

Bu başvuru mimarisi, şirket içi bir ağı Azure’a genişleten güvenli bir karma ağı gösterir. Mimari, şirket içi ağ ile Azure sanal ağı arasındaçevre ağı olarak da adlandırılan bir DMZ'ye sahiptir. Tüm gelen ve giden trafik Azure Güvenlik Duvarı.

Bu mimarinin bir Visio dosyasını indirin.

Başvuru dağıtımı

Bu dağıtım iki kaynak grubu oluşturur; birincisinde sahte bir şirket içi ağ, ikincisinde merkez-bağlı ağ kümesi yer alır. Sahte şirket içi ağ ve merkez ağı, siteden siteye bağlantı oluşturmak için Azure Sanal Ağ geçitleri kullanılarak bağlanır. Bu yapılandırma, şirket içi veri merkezinizi Azure'a bağlamanıza çok benzer.

Bu dağıtımın tamamlanması 45 dakika kadar sürebilir. Önerilen dağıtım yöntemi aşağıda bulunan portal seçeneğini kullanıyor.

Aşağıdaki düğmeyi kullanarak uygulamayı kullanarak başvuru Azure portal.

Azure CLI kullanarak iki kaynak grubu ve güvenli ağ başvuru mimarisi dağıtmak için aşağıdaki komutu çalıştırın.

İstendiğinde, yönetici kullanıcı adı ve parolası için değerleri girin. Bu değerler, dahil edilen sanal makinelerde oturum açmak için kullanılır.

az deployment sub create --location eastus \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

PowerShell kullanarak iki kaynak grubu ve güvenli ağ başvuru mimarisi dağıtmak için aşağıdaki komutu çalıştırın.

İstendiğinde, yönetici kullanıcı adı ve parolası için değerleri girin. Bu değerler, dahil edilen sanal makinelerde oturum açmak için kullanılır.

New-AzSubscriptionDeployment -Location eastus `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

Dağıtım tamamlandıktan sonra, yeni oluşturulan bağlantı kaynaklarına bakarak siteden siteye bağlantıyı doğrulayın. Bağlantı Azure portal'i arayın ve her bağlantının durumunu not edin.

Bağlantıların durumunu gösteren ekran görüntüsü.

Spoke ağın içinde bulunan IIS örneğine sahte on-prem ağın içinde yer alan sanal makineden erişilebilir. Sanal makineye dahil edilen konak Azure Bastion bir bağlantı oluşturun, bir web tarayıcısı açın ve uygulamanın ağ yük dengeleyici adresine gidin.

Ayrıntılı bilgi ve ek dağıtım seçenekleri için bkz. Bu çözümü dağıtmak için kullanılan ARM Şablonları.

Güvenli Karma Ağ

Uygulama alanları

Bu mimari, VPN Gateway ya da ExpressRoute bağlantısı kullanarak şirket içi veri merkezinize bir bağlantı gerektirir. Bu mimarinin tipik kullanımları şunlardır:

İş uygulamalarının kısmen şirket içi, kısmen de Azure’da çalıştığı hibrit uygulamalar.
Şirket içi veri merkezinden Azure sanal ağına giren trafik üzerinde ayrıntılı denetim gerektiren altyapı.
Giden trafiği denetlemesi gereken uygulamalar. Bu genellikle birçok ticari sisteme ait bir yasal gerekliliktir ve özel bilgilerin kamuya bildirilmesini önlemeye yardımcı olabilir.

Mimari

Mimari aşağıdaki bileşenlerden oluşur.

Şirket içi ağı. Bir kuruluşta uygulanan özel bir yerel alan ağı.
Azure sanal ağı. Sanal ağ, uygulamayı ve Azure'da çalışan diğer kaynakları barındırr.
Ağ geçidi. Ağ geçidi, şirket içi ağ ile sanal ağ arasındaki yönlendiriciler arasında bağlantı sağlar. Ağ geçidi kendi alt ağın içine yerleştirilir.
Azure Güvenlik Duvarı. Azure Güvenlik Duvarı, hizmet olarak yönetilen bir güvenlik duvarıdır. Güvenlik duvarı örneği kendi alt ağın içine yerleştirilir.
Sanal ağ yolları. Sanal ağ yolları, Azure sanal ağı içindeki IP trafiği akışını tanımlar. Yukarıda gösterilen diyagramda, kullanıcı tanımlı iki yol tablosu vardır.
- Ağ geçidi alt ağın içinde web katmanı alt ağın (10.0.1.0/24) gönderdiği trafik, Azure Güvenlik Duvarı gönderilir.
- Web katmanı alt ağın kendi adres alanı için Azure güvenlik duvarına işaret etmek üzere bir yol yoktur, çünkü web katmanı örnekleri sanal ağ üzerinden değil, doğrudan birbirleriyle iletişim Azure Güvenlik Duvarı.
Not

VPN bağlantınız gereksinimlerine bağlı olarak, trafiği şirket Sınır Ağ Geçidi Protokolü yönlendirme kurallarını uygulamak için Sınır Ağ Geçidi Protokolü (BGP) yollarını yapılandırabilirsiniz.
Ağ güvenlik grupları. Sanal ağ içindeki ağ trafiğini kısıtlamak için güvenlik gruplarını kullanın. Örneğin, bu başvuru mimarisiyle sağlanan dağıtımda, web katmanı alt ağı şirket içi ağdan ve sanal ağdan TCP trafiğine izin verir; iş katmanı web katmanından gelen trafiğe, veri katmanı ise iş katmanından gelen trafiğe izin verir.
Bastion. Azure Bastion vm'leri doğrudan İnternet'te açığa çıkarmadan SSH veya uzak masaüstü protokolü (RDP) aracılığıyla sanal ağ üzerinde oturum açmanızı sağlar. Sanal ağ içinde VM'leri yönetmek için Bastion kullanın.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Erişim denetimi önerileri

Uygulamanıza kaynakları yönetmek için Azure rol tabanlı erişim denetimi (Azure RBAC) kullanın. Aşağıdaki özel rolleri oluşturmayı düşünün:

Uygulama için altyapıyı yönetme, uygulama bileşenlerini dağıtma ve VM’leri izleyip yeniden başlatma izinlerine sahip bir DevOps rolü.
Ağ kaynaklarını yönetip izlemek için merkezi bir BT yöneticisi rolü.
Güvenlik duvarı gibi güvenli ağ kaynaklarını yönetmek için bir güvenlik IT yöneticisi rolü.

Güvenlik DevOps ve IT yöneticisi rollerinin güvenlik duvarı kaynaklarına erişimi olması gerekir. Bu, güvenlik BT yöneticisi rolüyle sınırlı olmalıdır.

Kaynak grubu önerileri

VM'ler, sanal ağlar ve yük dengeciler gibi Azure kaynakları, birlikte kaynak grupları halinde gruplamayla kolayca yönetilebilir. Erişimi kısıtlamak için her kaynak grubuna Azure rolleri attayın.

Aşağıdaki kaynak gruplarını oluşturmanızı öneririz:

Şirket içi ağa bağlanmak için sanal ağı (VM'ler hariç), NSG'leri ve ağ geçidi kaynaklarını içeren bir kaynak grubu. Merkezi BT yöneticisi rolünü bu kaynak grubuna atayın.
Ağ geçidi alt ağı için sanal Azure Güvenlik Duvarı ve kullanıcı tanımlı yolları içeren bir kaynak grubu. Güvenlik BT yöneticisi rolünü bu kaynak grubuna atayın.
Yük dengeleyicisi ve VM’leri içeren her uygulama katmanı için ayrı kaynak grubu. Bu kaynak grubunun her katman için alt ağ içermemesi gerektiğini unutmayın. DevOps rolünü bu kaynak grubuna atayın.

Ağ önerileri

İnternet'den gelen trafiği kabul etmek için, İnternet'e bir Hedef Ağ Adresi Çevirisi (DNAT) Azure Güvenlik Duvarı.

Hedef adres = Güvenlik duvarı örneğinin Genel IP adresi.
Çevrilmiş adres = Sanal ağ içindeki özel IP adresi.

Örnek dağıtım, 80 bağlantı noktası için İnternet trafiğini web katmanı yük dengeleyiciye yönlendirer.

Siteden siteye VPN tünelini kullanarak şirket içi ağınız üzerinden tüm giden İnternet trafiğini zorlamalı tünel ve ağ adresi çevirisi (NAT) kullanarak İnternet'e yönlendirin. Bu, veri katmanınızda depolanmış olan gizli bilgilerin yanlışlıkla sızdırılmasını önler ve giden tüm trafiğin incelenip denetlenmesini sağlar.

İnternet trafiğini uygulama katmanlarından tamamen engellemeyebilirsiniz çünkü bu katmanlar VM tanılama günlüğü, VM uzantılarını indirme ve diğer işlevler gibi genel IP adreslerini kullanan Azure PaaS hizmetlerini kullanır. Azure tanılama ayrıca bileşenlerin bir Azure Depolama hesabına okuyup yazabilmesini gerektirir.

Giden internet trafiğinin doğru şekilde zorlamalı tünel oluşturulduğunu doğrulayın. Şirket içi sunucuda yönlendirme ve uzaktan erişim hizmetiyle VPN bağlantısı kullanıyorsanız WireSharkgibi bir araç kullanın.

SSL sonlandırma için Application Gateway veya Azure Front Door kullanmayı göz önünde bulundurabilirsiniz.

Ölçeklenebilirlik konusunda dikkat edilmesi gerekenler

Ağ geçidi SKUS'larının bant VPN Gateway için bkz.. Daha yüksek bant genişlikleri için, bir ExpressRoute ağ geçidine yükseltmeyi düşünün. ExpressRoute, bir VPN bağlantısından daha düşük gecikme süresi ile en fazla 10 Gb/sn bant genişliği sağlar.

Azure ağ geçitlerinin ölçeklenebilirliği hakkında daha fazla bilgi için, Azure ve şirket içi VPN ile karma ağ mimarisi uygulama ve Azure ExpressRoute ile karma ağ mimarisi uygulama konularındaki ölçeklenebilirlik değerlendirme bölümüne bakın.

Kullanılabilirlik konusunda dikkat edilmesi gerekenler

Sanal ağ ile şirket içi ağ arasında bağlantı sağlamak için Azure ExpressRoute kullanıyorsanız, ExpressRoute bağlantısı kullanılamaz hale gelirse Yük devretme sağlamak için BIR VPN ağ geçidi yapılandırın .

VPN ve ExpressRoute bağlantılarının kullanılabilirliğini koruma hakkında belirli bilgiler için, Azure ve şirket içi VPN ile karma ağ mimarisi uygulama ve Azure ExpressRoute ile karma ağ mimarisi uygulama konularındaki kullanılabilirlik değerlendirmelerine bakın.

Yönetilebilirlik konusunda dikkat edilmesi gerekenler

Şirket içi ağınızdan Azure 'a ağ geçidi bağlantısı kapalıysa Azure sanal ağındaki VM 'Lere Azure savunma aracılığıyla erişmeye devam edebilirsiniz.

Başvuru mimarisindeki her katmanın alt ağı, NSG kuralları tarafından korunur. Windows VM’lerinde uzak masaüstü protokolü (RDP) erişimi için 3389 numaralı bağlantı noktasını veya Linux VM’lerinde Secure Shell (SSH) erişimi için 22 numaralı bağlantı noktasını açacak bir kural oluşturmanız gerekebilir. Diğer yönetim ve izleme araçları, ek bağlantı noktalarını açacak kurallar gerektirebilir.

Şirket içi veri merkezi ve Azure arasında bağlantı sağlamak için ExpressRoute kullanıyorsanız, bağlantı sorunlarını izleyip bu sorunları gidermek için Azure Connectivity Toolkit (AzureCT) kullanın.

Azure ve şirket ıçı VPN ile karma ağ mimarisi uygulamamakalesindeki VPN ve ExpressRoute bağlantılarını izleme ve yönetme hakkında daha fazla bilgi bulabilirsiniz.

Güvenlik konuları

Bu başvuru mimarisi, birden çok güvenlik düzeyi uygular.

Tüm şirket içi kullanıcı isteklerini Azure Güvenlik Duvarı üzerinden yönlendirme

Ağ geçidi alt ağındaki Kullanıcı tanımlı yol, Şirket içinden alınanlardan farklı tüm Kullanıcı isteklerini engeller. Yol, izin verilen istekleri güvenlik duvarına geçirir ve güvenlik duvarı kuralları tarafından izin veriliyorsa bu istekler uygulamaya geçirilir. Başka yollar ekleyebilirsiniz, ancak güvenlik duvarını yanlışlıkla atmayın veya yönetim alt ağına yönelik yönetim trafiğini engellediğinizden emin olabilirsiniz.

Uygulama katmanları arasında trafiği engellemek/geçirmek için NSG’leri kullanma

Katmanlar arasındaki trafik, NSG'ler kullanılarak kısıtlandırılır. İş katmanı, web katmanından kaynaklanmayan tüm trafiği ve veri katmanı ise, iş katmanından kaynaklanmayan tüm trafiği engeller. Bu katmanlara daha geniş erişim sağlamak için NSG kurallarını genişletmeye ihtiyaç duyuyorsanız, bu gereksinimleri güvenlik risklerine karşı değerlendirin. Gelen her yeni patika, yanlışlıkla veya kasıtlı olarak yapılan veri sızıntısı ya da uygulama hasarı fırsatlarını temsil eder.

DevOps erişimi

DevOps her katmanda gerçekleştirebileceği işlemleri kısıtlamak için Azure RBAC kullanın. İzin verirken, en düşük öncelik ilkesini kullanın. Tüm yapılandırma değişikliklerinin planlı olduğundan emin olmak için yönetim işlemlerinin tümünü günlüğe kaydedin ve normal denetimler gerçekleştirin.

Maliyetle ilgili konular

Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın. diğer konular, Microsoft Azure Well-Architected Framework 'ünmaliyet bölümünde açıklanmaktadır.

Bu mimaride kullanılan hizmetlere ilişkin maliyet konuları aşağıda verilmiştir.

Azure Güvenlik Duvarı

Bu mimaride, Azure Güvenlik Duvarı, ağ geçidinin alt ağı ile uygulama katmanının çalıştırıldığı alt ağ arasındaki trafiği denetlemek için sanal ağda dağıtılır. Bu şekilde, birden çok iş yükü tarafından tüketilen paylaşılan bir çözüm olarak kullanıldığı için Azure Güvenlik Duvarı uygun maliyetli bir çözümdür. Azure Güvenlik Duvarı fiyatlandırma modelleri şunlardır:

Dağıtım saati başına sabit ücret.
Otomatik ölçeklendirmeyi desteklemek için GB başına işlenen veri.

Ağ sanal gereçlerine kıyasla (NVA 'lar), Azure Güvenlik Duvarı ile% 30-50 ' e kadar tasarruf edebilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı vs NVA.

Azure Bastion

Azure savunma, sanal makinede ortak IP yapılandırmasına gerek kalmadan sanal makinenize RDP ve SSH üzerinden güvenli bir şekilde bağlanır.

Savunma faturalandırması, bir sıçrama kutusu olarak yapılandırılmış temel, düşük düzey bir sanal makineyle karşılaştırılabilir. Savunma bir geçiş kutusuyla karşılaştırılırken, savunma, yerleşik güvenlik özelliklerini ve depolama ve ayrı bir sunucunun yönetilmesi için ek maliyetler olmadan daha uygun maliyetli bir maliyettir.

Azure Sanal Ağ

Azure Sanal Ağ ücretsizdir. Her aboneliğin, tüm bölgelerde en çok 50 sanal ağ oluşturmasına izin verilir. Bir sanal ağın sınırları içinde oluşan tüm trafik ücretsizdir. Bu nedenle, aynı VNET 'te bulunan iki VM birbirleriyle konuşuyor ise ücret alınmaz.

İç yük dengeleyici

Aynı sanal ağda bulunan sanal makineler arasındaki temel yük dengeleme ücretsizdir.

Bu mimaride, iç yük dengeleyiciler bir sanal ağ içindeki trafiğin yükünü dengelemek için kullanılır.

Sonraki adımlar

Yüksek oranda kullanılabilir karma ağ mimarisi uygulamayı öğrenin.
Azure ile ağ güvenliğini yönetme hakkında daha fazla bilgi için bkz. Microsoft bulut hizmetleri ve ağ güvenliği.
Azure'da kaynakları koruma hakkında ayrıntılı bilgi için bkz. Microsoft Azure güvenliğini kullanmaya başlama.
Azure Gateway bağlantılarının güvenliğini sağlama hakkında daha fazla bilgi için bkz. Azure ve şirket ıçı VPN ile karma ağ mimarisi uygulama ve Azure ExpressRoute ile karma ağ mimarisi uygulama.