Azure Güvenlik Duvarı Yöneticisi nedir?
Azure Güvenlik Duvarı Yöneticisi, bulut tabanlı güvenlik çevreleri için merkezi güvenlik ilkesi ve yol yönetimi sağlayan bir güvenlik yönetimi hizmetidir.
Güvenlik Duvarı Yöneticisi iki ağ mimarisi türü için güvenlik yönetimi sağlar:
Güvenli sanal merkez
Azure Sanal WAN Hub, kolayca merkez-bağlı kaynak mimarileri oluşturmanıza olanak sağlayan Microsoft tarafından yönetilen bir kaynaktır. Güvenlik ve yönlendirme ilkeleri böyle bir hub ile ilişkili olduğunda, güvenli bir sanal hub olarak adlandırılır.
Hub sanal ağı
Bu, kendi oluştur ve yönetebilirsiniz standart bir Azure sanal ağıdır. Güvenlik ilkeleri böyle bir hub ile ilişkili olduğunda, bu bir hub sanal ağı olarak adlandırılır. Şu anda yalnızca Azure Güvenlik Duvarı İlkesi de destekleni. İş yükü sunucularınızı ve hizmetlerinizi içeren bağlı sunucu sanal ağlarını eşlersiniz. Güvenlik duvarlarını tek başına sanal ağlarda da yönetebilirsiniz. Bu ağların hiçbir sıyrıtıyla eşleri yok.
Güvenli sanal merkez ve merkez sanal ağ mimarilerinin ayrıntılı bir karşılaştırması için bkz. Azure Güvenlik Duvarı Yöneticisi seçenekleri nedir?.
Azure Güvenlik Duvarı Yöneticisi özellikleri
Azure Güvenlik Duvarı Yöneticisi aşağıdaki özellikleri sunar:
Merkezi Azure Güvenlik Duvarı dağıtım ve yapılandırma
Farklı Azure bölgelerine ve aboneliklerine yayılan birden Azure Güvenlik Duvarı merkezi olarak dağıtabilirsiniz ve yapılandırabilirsiniz.
Hiyerarşik ilkeler (genel ve yerel)
Birden çok güvenli Azure Güvenlik Duvarı Yöneticisi ilkeler arasında Azure Güvenlik Duvarı merkezi olarak yönetmek için Azure Güvenlik Duvarı'ı kullanabilirsiniz. Merkezi IT ekipleriniz, kuruluş genelinde güvenlik duvarı ilkesi uygulamak için genel güvenlik duvarı ilkeleri yazar. Yerel olarak hazırlanan güvenlik duvarı ilkeleri, daha DevOps bir self servis modeline olanak sağlar.
Gelişmiş güvenlik için üçüncü taraf hizmet olarak güvenlikle tümleşiktir
Sanal ağ Azure Güvenlik Duvarı ek ağ koruması sağlamak için üçüncü taraf hizmet olarak güvenlik (SECaaS) sağlayıcılarını tümleştirebilirsiniz.
Bu özellik yalnızca güvenli sanal merkez dağıtımları ile kullanılabilir.
Sanal Ağdan İnternete (V2I) trafik filtreleme
- Giden sanal ağ trafiğini tercih ettiğiniz üçüncü taraf güvenlik sağlayıcısıyla filtrele.
- Azure'da çalışan bulut iş yükleriniz için gelişmiş kullanıcı dostu İnternet koruması kullanın.
İnternet'e dal (B2I) trafik filtreleme
İnternet senaryolarına dal için üçüncü taraf filtrelemeyi kolayca eklemek için Azure bağlantınızı ve genel dağıtımınızı kullanın.
Güvenlik iş ortağı sağlayıcıları hakkında daha fazla bilgi için bkz. Güvenlik Azure Güvenlik Duvarı Yöneticisi sağlayıcıları nedir?
Merkezi yol yönetimi
Bağlı sanal ağlarda Kullanıcı Tanımlı Yolları (UDR) el ile ayarlamak zorunda kalmadan, trafiği filtrelemek ve günlüğe kaydetmek için güvenli hub'ınıza kolayca yönlendirin.
Bu özellik yalnızca güvenli sanal merkez dağıtımları ile kullanılabilir.
Daldan Sanal Ağa (B2V), Sanal Ağdan Sanal Ağa (V2V) ve Sanal Ağdan İnternete (V2I) için Azure Güvenlik Duvarı ile yan yana, İnternete Daldan İnternete (B2I) trafik filtrelemesi için üçüncü taraf sağlayıcıları kullanabilirsiniz.
Bölge kullanılabilirliği
Azure Güvenlik Duvarı İlkeleri bölgeler arasında kullanılabilir. Örneğin, Batı ABD'da bir ilke oluşturabilir ve ilkeyi Doğu ABD.
Bilinen sorunlar
Azure Güvenlik Duvarı Yöneticisi bilinen sorunlar vardır:
| Sorun | Açıklama | Risk azaltma |
|---|---|---|
| Trafik bölme | Microsoft 365 ve Azure Genel PaaS trafiği bölme şu anda desteklenmiyor. Bu nedenle, V2I veya B2I için üçüncü taraf sağlayıcıyı seçmek tüm Azure Genel PaaS hizmetini de gönderir Microsoft 365 iş ortağı hizmeti aracılığıyla trafiği gönderir. | Hub'da trafik bölmeyi araştırma. |
| Bölge başına bir güvenli sanal merkez | Bölge başına birden fazla güvenli sanal hub'a sahip olayazabilirsiniz. | Bir bölgede birden çok sanal WAN oluşturun. |
| Temel ilkeler yerel ilkeyle aynı bölgede olmalıdır | Tüm yerel ilkelerinizi temel ilkeyle aynı bölgede oluşturun. Güvenli bir merkez üzerinde başka bir bölgeden bir bölgede oluşturulmuş bir ilkeyi yine de uygulayabilirsiniz. | Araştırılıyor |
| Güvenli sanal hub dağıtımlarında merkezler arası trafiği filtreleme | Güvenli Sanal Merkezden Güvenli Sanal Hub'a iletişim filtreleme henüz desteklenmiyor. Ancak hub'dan hub'a iletişim, özel trafik filtreleme özelliği Azure Güvenlik Duvarı etkin değilse de çalışır. | Araştırılıyor |
| Özel trafik filtreleme etkinleştirilmiş olarak daldan dala trafik | Özel trafik filtreleme etkinleştirildiğinde daldan dala trafik desteklenmiyor. | Araştırı. Daldan dala bağlantı kritik önem taşıyorsa özel trafiğin güvenliğini sağlamayın. |
| Aynı sanal WAN'ı paylaşan tüm Güvenli Sanal Hub'ların aynı kaynak grubunda olması gerekir. | Bu davranış bugün Sanal WAN Hub'ları ile uyumlu. | Güvenli Sanal Hub'ların farklı kaynak gruplarında oluşturulmuş olmasına izin vermek için birden çok Sanal WAN oluşturun. |
| Toplu IP adresi ekleme başarısız oluyor | Birden çok genel IP adresi eklersiniz güvenli merkez güvenlik duvarı başarısız olur. | Daha küçük genel IP adresi artışları ekleyin. Örneğin, aynı anda 10 ekleyin. |
| DDoS Koruması Standart, güvenli sanal merkezlerle desteklenmiyor | DDoS Koruması Standart, vWAN'lar ile tümleşik değildir. | Araştırılıyor |
| Etkinlik günlükleri tam olarak desteklenmiyor | Güvenlik duvarı ilkesi şu anda Etkinlik günlüklerini desteklememektedir. | Araştırılıyor |
| Tam olarak desteklenmiyor kuralların açıklaması | Güvenlik duvarı ilkesi, ARM dışarı aktarmada kuralların açıklamasını görüntülemez. | Araştırılıyor |
| Azure Güvenlik Duvarı Yöneticisi statik ve özel yolların üzerine yazarak sanal WAN hub'larında kapalı kalma süresine neden olur. | Özel veya statik Azure Güvenlik Duvarı Yöneticisi yapılandırılan dağıtımlarda ayarlarınızı yönetmek için Azure Güvenlik Duvarı Yöneticisi'yi kullanmamalısınız. Güvenlik Duvarı Yöneticisi güncelleştirmeleri statik veya özel yol ayarlarının üzerine yazabilirsiniz. | Statik veya özel yollar kullanıyorsanız, güvenlik ayarlarını yönetmek ve sanal ağ üzerinden yapılandırmayı önlemek için Sanal WAN Azure Güvenlik Duvarı Yöneticisi. Daha fazla bilgi için bkz. Senaryo: Azure Güvenlik Duvarı - özel. |