Şirket içi ağdan çok kiracılı web uygulamalarına gelişmiş güvenlik erişimi

Bu makalede, şirket içi bir ağdan veya Azure sanal ağı içinden çok kiracılı bir web uygulamasına veya işlev uygulamasına gelişmiş güvenlikli özel bağlantının nasıl ayarlanacağı gösterilmektedir. Ayrıca uygulama ve diğer Azure PaaS hizmetleri arasında genel İnternet'i kullanmadan Azure Özel Bağlantı üzerinden gelişmiş güvenlik bağlantısının nasıl ayarlanacağı da gösterilir.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

Veri akışı

• web uygulaması, Azure Uygulaması Hizmeti bölgesel sanal ağ tümleştirmesini kullanarak Azure sanal ağında temsilci alt ağ sanal ağ Tümleştirme Alt Ağı aracılığıyla Azure hizmetlerine bağlanır.

  • Sanal Ağ Tümleştirme Alt Ağı ve Özel Uç Nokta Alt Ağı ağları, farklı aboneliklerdeki ayrı sanal ağlardır. Her iki ağ da merkez-uç ağ yapılandırmasının bir parçası olarak Hub Sanal Ağ ile eşlenir. Bölgesel sanal ağ tümleştirmesi için eşlenen sanal ağların aynı Azure bölgesinde olması gerekir.

• Azure Özel Bağlantı hizmeti PaaS hizmetleri, web uygulamaları, Azure SQL veritabanı, Azure depolama hesabı ve Özel Uç Nokta Sanal Ağ Azure anahtar kasası için özel bir uç nokta ayarlar.

  Bu örnekte, bu sanal ağ yalnızca özel uç noktaların dağıtımı için ayrılmıştır. Sanal makineler (VM' ler) gibi başka hiçbir kaynak bu sanal ağda dağıtılmaz. Gelecekteki özel uç noktaları ekleme talebi, alt ağ boyutu seçildiğinde dikkate alınmıştır.

• Şirket içi ağ ve Azure sanal ağları, Siteden Siteye (S2S) VPN veya Azure ExpressRoute özel eşlemesi aracılığıyla bağlanabilir. Şirket içi ağdaki kullanıcılar uygulamaya özel olarak ve yalnızca özel ağ üzerinden güvenliği iyileştirilmiş olarak erişmektedir.

  Bu örnekte şirket içi ağ ve Azure sanal ağları ExpressRoute özel eşlemesi aracılığıyla bağlanır.

• Zaten bir Etki Alanı Adı Sistemi (DNS) çözümü bulunan bir şirket içi ağ için, şirket içi DNS çözümü, isteği Dns Özel Çözümleyici hizmetinin Azure'da dağıtılan gelen uç noktasına ileden koşullu iletici aracılığıyla DNS trafiğini bir Azure özel DNS kaydına (örneğin, azurewebsites.net) iletecek şekilde yapılandırılır. DNS Özel Çözümleyicisi, Azure DNS'yi sorgular ve Azure Özel DNS sanal ağ bağlantısı hakkında bilgi alır. Ardından çözüm, sanal ağa bağlı özel DNS bölgesi tarafından gerçekleştirilir.

  Özel DNS bölgeleri de aynı abonelikte dağıtılırÖzel Uç Nokta Sanal Ağ.

  Bu örnekte, şirket içi ağdaki 192.168.0.254 IP adresindeki bir DNS ileticisi makinesi, tüm DNS çözümleme isteklerini ana bilgisayar adına azurewebsites.net DNS Özel Çözümleyici hizmetinin Azure'daki 10.0.0.132 adresindeki gelen uç noktasına iletir. Ardından istekler, sanal ağa bağlı Azure Özel DNS bölgesi aracılığıyla IP adresi 168.63.129.16 olan Azure tarafından sağlanan DNS hizmeti tarafından çözümlenir.

  Dns iletme kural kümesi kullanarak Azure'dan şirket içi, diğer bulut sağlayıcılarına veya dış DNS sunucularına koşullu iletme adı çözümlemesini etkinleştirmek için giden uç nokta gereklidir.

  Bu senaryo için DNS iletme kural kümesi yapılandırmak gerekli değildir.

  Bu app service yapılandırması mevcut olmalıdır:

  Anahtar	Değer
  WEBSITE_DNS_SERVER	168.63.129.16

• Sanal ağlar tüm Azure özel DNS bölgelerine bağlanır.

  • Özel uç noktaları olan sanal ağ, özel DNS bölgelerine otomatik olarak bağlanır. Diğer sanal ağları ayrı olarak bağlamanız gerekir.

• Web uygulaması, Azure Güvenlik Duvarı aracılığıyla Özel Uç Nokta Sanal Ağ PaaS hizmetlerinin özel uç noktalarıyla iletişim kurar.

• Azure Güvenlik Duvarı uygulama kuralları, Sanal Ağ Tümleştirme Alt Ağı ile PaaS kaynaklarının özel uç noktaları arasında iletişime izin verecek şekilde yapılandırılır. Hedef tam etki alanı adları (FQDN'ler) şunlardır:

  • *.azurewebsites.net
  • *.database.windows.net
  • *.core.windows.net
  • *.vaultcore.azure.net

• Azure SQL, Azure Depolama Hesabı ve Azure Key Vault için güvenlik duvarı ve sanal ağ yapılandırması yalnızca Sanal Ağ Tümleştirme Alt Ağından gelen trafiğe izin verir. Yapılandırma, başka bir sanal ağ veya genel İnternet ile iletişime izin vermez.

Bileşenler

• Azure Uygulaması Hizmeti web uygulamalarını ve işlev uygulamalarını barındırarak altyapıyı yönetmenize gerek kalmadan otomatik ölçeklendirme ve yüksek kullanılabilirlik sağlar.
• Azure SQL Veritabanı ilişkisel verileri, uzamsal verileri, JSON'ı ve XML'yi destekleyen genel amaçlı bir ilişkisel veritabanı yönetilen hizmetidir.
• Azure Depolama hesabı, Http veya HTTPS üzerinden dünyanın her yerinden erişilebilen Azure Depolama verileri için benzersiz bir ad alanı sağlar. Bloblar, dosya paylaşımları, kuyruklar, tablolar ve diskler gibi tüm Azure Depolama veri nesnelerini içerir.
• Azure Key Vault , API anahtarlarını, parolaları, sertifikaları, şifreleme anahtarlarını veya bulut uygulamaları ve hizmetleri tarafından kullanılan diğer gizli dizileri güvenli bir şekilde depolamaya ve bunlara erişmeye yönelik bir hizmettir.
• Azure Sanal Ağ, Azure'daki özel ağlar için temel yapı taşıdır. VM'ler gibi Azure kaynakları sanal ağlar aracılığıyla birbirleriyle, internetle ve şirket içi ağlarla güvenli bir şekilde iletişim kurabilir.
• Azure Özel Bağlantı, Azure Depolama ve SQL Veritabanı gibi Azure PaaS hizmetlerine ya da müşteri veya iş ortağı hizmetlerine bağlanmak için sanal ağda özel bir uç nokta sağlar.
• Azure ExpressRoute özel eşlemesi, şirket içi ağları özel bir bağlantı üzerinden Microsoft bulutuna genişletir. Ayrıca, Azure ExpressRoute kullanmak yerine şirket içi ile Azure ağı arasında Siteden Siteye VPN de kurabilirsiniz.
• Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarını korumaya yardımcı olan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir.
• Özel DNS Bölgesi, sanal ağdaki etki alanı adlarını yönetmek ve çözümlemek için güvenilir ve güvenli bir DNS hizmeti sağlar.
• DNS Özel Çözümleyicisi, VM tabanlı DNS sunucuları dağıtmadan azure DNS özel bölgelerinin şirket içi ortamdan (veya tersi) sorgulanmasına olanak tanır.

Alternatifler

Özel bağlantı için alternatif bir yaklaşım, web uygulamasını yalıtılmış bir ortamda barındırmak için App Service Ortamı kullanmaktır. Veritabanı için sanal ağda Azure SQL Yönetilen Örneği yerel olarak dağıtabilirsiniz, böylece sanal ağ tümleştirmesine veya özel uç noktalara ihtiyacınız olmaz. Tek kiracılı yalıtılmış dağıtım ve diğer özellikler sağladığından bu teklifler genellikle daha pahalıdır.

bir App Service Ortamı varsa ancak SQL Yönetilen Örneği kullanmıyorsanız, Azure SQL veritabanına özel bağlantı için özel uç nokta kullanmaya devam edebilirsiniz. Zaten SQL Yönetilen Örneği sahipseniz ancak çok kiracılı App Service kullanıyorsanız, SQL Yönetilen Örneği özel adresine bağlanmak için bölgesel sanal ağ tümleştirmesini kullanmaya devam edebilirsiniz.

Key Vault veya Depolama gibi diğer bazı Azure hizmetlerinde, Web Apps'ten son derece güvenli ve özel bağlantılar için özel uç noktaları kullanmanın alternatifi yoktur.

Olası kullanım örnekleri

• Çok kiracılı bir web uygulamasına veya işlev uygulamasına şirket içi ağdan veya Azure sanal ağlarından özel uç noktası üzerinden geliştirilmiş güvenlikle özel olarak erişin.
• Bir web uygulamasından veya işlev uygulamasından Hizmet olarak Azure platformu (PaaS) tekliflerine Bağlan:
  • Başka bir web uygulaması
  • SQL Veritabanı
  • Azure Depolama
  • Key Vault
  • Gelen bağlantı için Azure özel uç noktalarını destekleyen diğer tüm hizmetler

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Web uygulamanız için Özel Uç Nokta'nın kullanılması şunları sağlar:

• Özel uç noktayı yapılandırarak web uygulamanızın güvenliğini sağlamaya yardımcı olun ve genel kullanıma açıkları ortadan kaldırır.
• VPN veya ExpressRoute özel eşlemesi kullanarak sanal ağa bağlanan şirket içi ağlardan Web Apps'e yönelik geliştirilmiş güvenlikle Bağlan. Web uygulamasına gelen bağlantılara şirket içi ağdan veya yalnızca Azure sanal ağı içinden izin verilir.
• Sanal ağınızdan veri sızdırmaktan kaçının.

İsteğe bağlı olarak Azure Web Uygulaması Güvenlik Duvarı ile Azure Uygulaması lication Gateway veya Azure Front Door gibi bir hizmetle uygulamanın önüne geçerek web uygulamasına gelen bağlantının güvenliğini daha da geliştirebilirsiniz. Web uygulamanız için Özel Uç Nokta'yı etkinleştirdiğinizde, web uygulamasının erişim kısıtlamaları yapılandırması değerlendirilmez.

Bu senaryo ayrıca bir App Service web uygulamasından veritabanı, Depolama veya Key Vault gibi aşağı akış bağımlılığına giden bağlantının güvenliğini de artırır.

Uygulama yönlendirmeyi tüm trafiği veya yalnızca özel trafiği (RFC1918 trafik olarak da bilinir) sanal ağınıza yönlendirecek şekilde yapılandırabilirsiniz. Bu davranışı, Tümünü Yönlendir ayarını kullanarak yapılandırabilirsiniz. Tümünü Yönlendir devre dışı bırakılırsa, web uygulaması yalnızca özel trafiği sanal ağınıza yönlendirir. Genel adreslere giden trafiği engellemek için Tümünü Yönlendir ayarını sanal ağa etkinleştirin. Sanal ağınızdaki veya İnternet'teki kaynaklara giden trafiği engellemek için bir ağ güvenlik grubu da kullanabilirsiniz. Tümünü Yönlendir etkinleştirilmediğinde NSG'ler yalnızca RFC1918 trafiğe uygulanır.

Bu örnekte, web uygulamasının sanal ağda olmayan herhangi bir hizmetle iletişim kurması gerekmez, bu nedenle Tümünü Yönlendir etkinleştirilir.

Bu senaryoda dikkat edilmesi gereken önemli bir güvenlik noktası, PaaS kaynakları için güvenlik duvarı yapılandırmasıdır.

Güvenlik duvarı seçeneklerini SQL Veritabanı

Özel bağlantı kullanmadan, yalnızca belirtilen IP adresi aralıklarından gelen trafiğe izin veren güvenlik duvarı kuralları ekleyebilirsiniz. Bir diğer yaklaşım da Azure hizmetlerinin sunucuya erişmesine izin vermektir. Bu yaklaşım, güvenlik duvarını yalnızca Azure içinden gelen trafiğe izin verecek şekilde kilitler. Ancak bu trafik tüm Azure bölgelerini ve diğer müşterileri içerir.

Ayrıca, yalnızca uygulamanızın giden IP adreslerinin veritabanına erişmesine izin vermek için daha kısıtlayıcı bir güvenlik duvarı kuralı ekleyebilirsiniz. Ancak App Service çok kiracılı bir hizmet olduğundan, bu IP adresleri ile paylaşılır ve aynı giden IP adreslerini kullanan aynı dağıtım damgasındaki diğer müşterilerin trafiğine izin verir.

Sanal ağ üzerinden özel bağlantı kullanılması, başkalarının veritabanına erişmesini önlemeye yardımcı olmak için şu güvenlik duvarı seçeneklerini sağlar:

• Bu örnekte yalnızca Sanal Ağ Tümleştirmesi, Sanal Ağ Tümleştirme Alt Ağı tarafından temsilci olarak atanan bölgesel alt ağdan gelen trafiğe izin veren bir sanal ağ kuralı oluşturun. Veritabanının bu alt ağdan gelen trafiği tanımlayabilmesi için temsilci alt ağın Microsoft.Sql için yapılandırılmış bir hizmet uç noktası olması gerekir.
• Güvenlik duvarını genel ağ erişimini reddedecek şekilde yapılandırın. Bunu yapmak diğer tüm güvenlik duvarı kurallarını kapatır ve veritabanını yalnızca özel uç noktası üzerinden erişilebilir hale getirir.

Genel ağ erişimini reddetme seçeneği en güvenli yapılandırmadır. Ancak bu seçeneği kullanırsanız, veritabanı erişimi yalnızca özel uç noktayı barındıran sanal ağ üzerinden mümkündür. Veritabanına bağlanmak için web uygulaması dışındaki her şeyin sanal ağa doğrudan bağlantısı olmalıdır.

Örneğin, yerel makinelerde SQL Server Management Studio'dan (SSMS) gelen dağıtımlar veya acil el ile bağlantılar, sanal ağa VPN veya ExpressRoute bağlantısı dışında veritabanına ulaşamaz. Ayrıca sanal ağdaki bir VM'ye uzaktan bağlanabilir ve oradan SSMS kullanabilirsiniz. Olağanüstü durumlarda, genel ağ erişimine geçici olarak izin verebilir ve diğer yapılandırma seçeneklerini kullanarak riski azaltabilirsiniz.

Hesap ve Key Vault güvenlik duvarı seçeneklerini Depolama

Depolama hesapların ve anahtar kasalarının İnternet'ten erişilebilen genel bir uç noktası vardır. Depolama hesabınız ve anahtar kasanız için özel uç noktalar da oluşturabilirsiniz. Bunu yaptığınızda, bu hizmetlere sanal ağınızdan özel bir IP adresi atanır ve özel bir bağlantı üzerinden sanal ağınızla ilgili hizmet arasındaki tüm trafiğin güvenliğini sağlamanıza yardımcı olur.

Özel uç nokta oluşturduğunuzda, Sanal Ağ Tümleştirme Alt Ağı hizmete özel olarak ve özel bir bağlantı üzerinden gelişmiş güvenlikle erişebilir. Ancak depolama hesabına ve anahtar kasasına diğer Azure sanal ağlarından erişmeye devam edebilirsiniz. Başka bir sanal ağdan erişimi engellemek için bu temsilci alt ağın hizmet uç noktasını oluşturun.

Kullanılabilirlik

App Service, Azure SQL Veritabanı, Azure Depolama ve Azure Key Vault için Özel Bağlantı desteği tüm genel bölgelerde kullanılabilir. Diğer bölgelerdeki kullanılabilirliği denetlemek için bkz. Azure Özel Bağlantı kullanılabilirlik

Özel Bağlantı mimariye başka bir bileşen ve kullanılabilirlik konuları da ekler. Özel Bağlantı hizmetinin yüksek kullanılabilirlik SLA'sı vardır. Çözümün tamamının bileşik SLA'sını hesaplarken bu SLA'yı dikkate almanız gerekir.

Ölçeklenebilirlik

PaaS hizmetlerinin Azure Özel Bağlantı merkez-uç ağ mimarilerinde Azure Özel DNS bölgeleriyle tümleştirme hakkında bilgi için bkz. uygun ölçekte Özel Bağlantı ve DNS tümleştirmesi.

Global eşleme

Sanal ağ üzerinden bağlanabilen herhangi bir Azure bölgesindeki tüm hizmetler, örneğin merkez-uç topolojilerindeki sanal ağ eşlemesi aracılığıyla PaaS hizmetlerinin özel uç noktalarına ulaşabilir. Ancak, App Service bölgesel sanal ağ tümleştirmesi için eşlenen sanal ağların aynı Azure bölgesinde bulunması gerekir.

Genel eşleme desteğinin olmaması, bu çözümü App Service'ten başka bir Azure bölgesindeki bir veritabanına veya başka bir özel uç noktaya bölgeler arası bağlantı için kullanamamanızı sağlar. Örneğin, bu çözüm, web uygulamasının bir bölgede etkin kaldığı ancak başka bir bölgedeki yük devretme veritabanına bağlanması gereken kısmi yük devretmeyi desteklemek için çok bölgeli bir dağıtımda çalışmaz. Ancak bu durum için başka çözümler de mevcuttur.

Web Apps'i başka bir bölgedeki bir sanal ağa bağlamanız gerekiyorsa ağ geçidi için gerekli sanal ağ tümleştirmesini ayarlayabilirsiniz. Sınırlama, ağ geçidi için gerekli sanal ağ tümleştirmesinin Azure ExpressRoute'a bağlı bir sanal ağ ile kullanılamayabilmesidir.

Günlüğe kaydetme ve izleme

Azure Özel Bağlantı ile tümleştirilmiştirAzure İzleyici, verilerin akıp akmadığını görmenizi sağlar.

Ayrıca Azure Ağ İzleyicisi'daki bağlantı sorunlarını giderme hizmetini kullanarak sanal ağdaki bir VM'den Özel Uç Nokta kaynağının FQDN'sine bağlantıyı izleyebilirsiniz.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Temel, Standart, Premium v2, Premium v3, Yalıtılmış v2 App Service ve Azure İşlevleri Premium planlarında desteklenen fiyatlandırma katmanlarında App Service bölgesel Sanal Ağ Tümleştirmesi için ek maliyet yoktur.

Özel uç nokta, Temel, Standart, Premium v2, Premium v3 ve Yalıtılmış v2 App Service planlarında barındırılan kapsayıcılı veya kapsayıcılı olmayan Windows web uygulamaları ve Linux web uygulamaları için ve ayrıca premium plana dağıtılan işlev uygulamaları için kullanılabilir.

PaaS hizmetleri için özel uç noktaları etkinleştiren Azure Özel Bağlantı hizmeti, saatlik ücretin yanı sıra bant genişliği için premium ücrete bağlı olarak ilişkili bir maliyete sahiptir. Ayrıntılar için Özel Bağlantı fiyatlandırma sayfasına bakın. İstemci sanal ağından merkez sanal ağındaki Azure Güvenlik Duvarı Bağlan ücret uygulanır. Merkez sanal ağındaki Azure Güvenlik Duvarı eşlenmiş bir sanal ağdaki özel uç noktalara yapılan bağlantılar için ücretlendirilemezsiniz.

Azure Özel DNS bölgesi maliyetleri, Azure'da barındırılan DNS bölgesi sayısına ve alınan DNS sorgularının sayısına bağlıdır.

Bu senaryoyu çalıştırmanın maliyetini keşfetmek için bkz . Azure fiyatlandırma hesaplayıcısı tahmini. Bu makalede açıklanan tüm hizmetler, küçük ölçekli bir uygulama için makul varsayılan değerlerle önceden yapılandırılmıştır. Kullanım örneğinizde fiyatlandırmanın nasıl değişeceğini görmek için, uygun değişkenleri beklenen kullanımınızla eşleşecek şekilde değiştirin.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunan tarafından yazılmıştır.

Asıl yazar:

• Ankit Singhal | Bulut Çözümü Mimarı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• Özel uç noktaları kullanarak Azure İşlevleri bir Azure sanal ağıyla tümleştirme hakkında adım adım yönergelere bakın.
• Çeşitli ağ topolojilerindeki özel uç noktaları hedefleyen trafiği incelemek için Azure Güvenlik Duvarı uygulama kurallarını yapılandırma adımlarına bakın.
• App Service'e yönelik gelen ve giden senaryoları ve bu durumda hangi özelliklerin kullanılacağı hakkında daha fazla bilgi için bkz. App Service ağ özelliklerine genel bakış.
• Azure Web Apps için özel uç noktalar hakkında daha fazla bilgi için bkz . Azure Web Apps için Özel Uç Noktaları Kullanma.
• Çok kiracılı web uygulamalarını Azure Sanal Ağ ile tümleştirme hakkında daha fazla bilgi için bkz. Uygulamanızı Azure sanal ağıyla tümleştirme.
• Bazı PaaS hizmetlerinin FQDN'leri otomatik olarak genel IP adresine çözümlenebilir. Özel uç noktaya bağlanmak için DNS yapılandırmasını geçersiz kılma hakkında bilgi için bkz . Azure Özel Uç Nokta DNS yapılandırması.

İlgili kaynaklar

• Azure SQL Veritabanı web uygulaması özel bağlantısı
• Öğretici: Özel uç noktaları kullanarak Azure İşlevleri Azure sanal ağıyla tümleştirme
• Öğretici: Özel site erişimi Azure İşlevleri oluşturma
• App Service ve Azure İşlevleri için Key Vault başvurularını kullanma