Ağ güvenliği için en iyi Azure yöntemleri

  • Makale
  • Okumak için 14 dakika

Bu makalede, ağ güvenliğinizi geliştirmek için Azure'a yönelik en iyi yöntemler koleksiyonu ele alır. Bu en iyi yöntemler, Azure ağı deneyiminden ve kendi gibi müşterilerin deneyimlerinden türetildi.

Bu makalede her en iyi yöntem için şu açıklanmıştır:

  • En iyi yöntem nedir?
  • Bu en iyi yönteme neden olanak sağlamak istediğiniz
  • En iyi yöntem etkinleştirilenene kadar sonuç ne olabilir?
  • En iyi uygulamanın olası alternatifleri
  • En iyi yönteme olanak sağlamak için nasıl öğrenilenler

Bu en iyi yöntemler, bu makalenin yazıldığı sırada mevcut olan fikir birliğine ve Azure platformu özelliklerine ve özellik kümelerine dayalıdır. Görüşler ve teknolojiler zaman içinde değişir ve bu makale bu değişiklikleri yansıtacak şekilde düzenli olarak güncelleştirilecek.

Güçlü ağ denetimleri kullanma

Azure sanal makinelerini (VM) ve gereçlerini Azure sanal ağlarına yerleştirerek diğer ağa bağlı cihazlara babilirsiniz. Yani, ağ özellikli cihazlar arasında TCP/IP tabanlı iletişimlere izin vermek için sanal ağ arabirim kartlarını bir sanal ağa bağabilirsiniz. Bir Azure sanal ağına bağlı sanal makineler aynı sanal ağ, farklı sanal ağlar, internet veya kendi şirket içi ağlarınızı kullanarak cihazlara bağlanabilir.

Anızı ve ağın güvenliğini planlarken şunları merkezileştirmenizi öneririz:

  • ExpressRoute, sanal ağ ve alt ağ sağlama ve IP adresi gibi temel ağ işlevlerinin yönetimi.
  • ExpressRoute, sanal ağ ve alt ağ sağlama ve IP adresi gibi ağ sanal gereç işlevleri gibi ağ güvenlik öğelerinin idaresi.

Ağın ve ağ güvenliklerinin izlenmesi için ortak bir yönetim araçları kümesi kullanırsanız, her ikisinde de net görünürlük elde edin. Basit ve birleşik bir güvenlik stratejisi, insan anlayışını ve otomasyonun güvenilirliğini artırarak hataları azaltır.

Alt ağları mantıksal olarak segmentlere böl

Azure sanal ağları, şirket içi ağınız üzerinde yer alan LAN'lere benzer. Bir Azure sanal ağının ardındaki fikir, tüm Azure sanal makinelerinizi tek bir özel IP adresi alanı temel alan bir ağ oluşturmanızdır. Kullanılabilir özel IP adresi alanları A Sınıfı (10.0.0.0/8), B Sınıfı (172.16.0.0/12) ve C Sınıfı (192.168.0.0/16) aralıklarındadır.

Alt ağları mantıksal olarak segmentlere bölen en iyi yöntemler şunlardır:

En iyi yöntem: Geniş aralıklara sahip izin verme kuralları atamayın (örneğin, 0.0.0.0 ile 255.255.255.255 arasında izin ver).
Ayrıntı: Sorun giderme yordamlarının bu tür kuralların ayarlanması önerilmez veya yasaklanmaz. Bu kurallar yanlış bir güvenlik anlayışına yol açsa da, kırmızı takımlar tarafından sıklıkla bulunur ve bu kurallardan faydalanır.

En iyi yöntem: Daha büyük adres alanı alt ağlara segmentlere segmentlere alın.
Ayrıntı: Alt ağlarınızı oluşturmak için CIDRtabanlı alt ağ oluşturma ilkelerini kullanın.

En iyi yöntem: Alt ağlar arasında ağ erişim denetimleri oluşturma. Alt ağlar arasında yönlendirme otomatik olarak gerçekleşir ve yönlendirme tablolarını el ile yapılandırmanız gerekmez. Varsayılan olarak, Bir Azure sanal ağın üzerinde oluşturmakta olduğu alt ağlar arasında ağ erişim denetimi yoktur.
Ayrıntı: Azure alt ağlarına gelen istenmeyen trafiğe karşı koruma için bir ağ güvenlik grubu kullanın. Ağ güvenlik grupları, ağ trafiğine izin verme/reddetme kuralları oluşturmak için 5li gruplama yaklaşımını (kaynak IP, kaynak bağlantı noktası, hedef IP, hedef bağlantı noktası ve katman 4 protokolü) kullanan basit, durum bilgisine sahip paket inceleme cihazlarıdır. Tek bir IP adresine, birden çok IP adresine veya tüm alt ağlardan gelen ve bu adreslerden gelen trafiğe izin verir veya trafiği reddedersiniz.

Alt ağlar arasında ağ erişim denetimi için ağ güvenlik gruplarını kullanırsanız, aynı güvenlik bölgesine veya role ait kaynakları kendi alt ağlarına koyabilirsiniz.

En iyi yöntem: Basitlik ve esneklik sağlamak için küçük sanal ağlardan ve alt ağlardan kaçının.
Ayrıntı: Çoğu kuruluş başlangıçta planlanandan daha fazla kaynak ekler ve adresleri yeniden eklemek yoğun iş gücü kullanır. Küçük alt ağların kullanımı sınırlı güvenlik değeri ekler ve bir ağ güvenlik grubunu her alt ağa eşleme ek yük getirir. Büyüme esnekliğine sahip olduğundan emin olmak için alt ağları geniş bir şekilde tanımlayın.

En iyi yöntem: Uygulama Güvenlik Grupları tanımlayarak ağ güvenlik grubu kural yönetimini basitleştirin.
Ayrıntı: Gelecekte değişebilir veya birçok ağ güvenlik grubunda kullanılmaktadır olabileceğini düşünebilirsiniz IP adresleri listeleri için bir Uygulama Güvenlik Grubu tanımlayın. Başkalarının içeriklerini ve amaçlarını anlarını anlamak için Uygulama Güvenlik Gruplarını net bir şekilde anlayasınız.

Bir Sıfır Güven benimseme

Çevre tabanlı ağlar, bir ağ içindeki tüm sistemlerin güvenilir olduğu varsayımı üzerinde çalışır. Ancak günümüzün çalışanları kuruluşlarının kaynaklarına çeşitli cihazlardan ve uygulamalardan erişmektedir ve bu da çevre güvenlik denetimlerinin ilgisiz olduğunu gösterir. Yalnızca bir kaynağa erişenlere odaklanan erişim denetimi ilkeleri yeterli değildir. Güvenlik ve üretkenlik arasındaki dengeyi artırmak için güvenlik yöneticilerinin de kaynağa nasıl erişilir?

Ağlar ihlallere karşı savunmasız olabileceğinden, ağların geleneksel savunmalardan gelişmesi gerekir. Saldırgan, güvenilen sınır içindeki tek bir uç noktayı tehlikeye atarak ağı hızla genişletebilir. Sıfır Güven ağları, çevre içindeki ağ konumu temel alınarak güven kavramını ortadan kaldırıyor. Bunun Sıfır Güven, kuruluş verilerine ve kaynaklarına erişimi ağ geçidi olarak kullanmak için cihaz ve kullanıcı güveni talepleri kullanır. Yeni girişimler için, erişim Sıfır Güven güveni doğrulayan yeni yaklaşımları benimsersiniz.

En iyi yöntemler:

En iyi yöntem: Cihaz, kimlik, güvence, ağ konumu ve daha fazlasını temel alan kaynaklara Koşullu Erişim verme.
Ayrıntı: Azure AD Koşullu Erişim, gerekli koşulları temel alan otomatik erişim denetimi kararları gerçekleştirerek doğru erişim denetimlerini uygulamanıza olanak sağlar. Daha fazla bilgi için bkz. Koşullu Erişim ile Azure yönetimine erişimi yönetme.

En iyi yöntem: Bağlantı noktası erişimini yalnızca iş akışı onayı sonrasında etkinleştirin.
Ayrıntı: Azure VM'lerinize gelen trafiği kilitlemek, saldırılara maruz kalma riskini azaltmak ve gerektiğinde VM'lere bağlanmak için kolay erişim sağlamak üzere Bulut için Microsoft Defender'da tam zamanında VM erişimini kullanabilirsiniz.

En iyi yöntem: Ayrıcalıklı görevleri gerçekleştirmek için geçici izinler verin. Bu izinler sona erdikten sonra kötü amaçlı veya yetkisiz kullanıcıların erişim kazanmasını önler. Erişim yalnızca kullanıcılara ihtiyaç olduğunda ve verildi.
Ayrıntı: Ayrıcalıklı görevleri gerçekleştirme izinleri vermek için Azure AD Privileged Identity Management veya üçüncü taraf bir çözümde tam zamanında erişimi kullanın.

Sıfır Güven, ağ güvenliğinde bir sonraki gelişmedir. Siber saldırıların durumu, kuruluşları "ihlal varsay" anlayışını benimsemektedir, ancak bu yaklaşım sınırlandırmamalı. Sıfır Güven ağları kurumsal verileri ve kaynakları korurken kuruluşların çalışanların her zaman, her yerde ve herhangi bir şekilde üretken olmasını sağlayan teknolojileri kullanarak modern bir çalışma alanı oluşturmalarını sağlar.

Yönlendirme davranışını denetleme

Azure sanal ağına bir sanal makine koysanız, diğer VM'ler farklı alt ağlarda olsa bile vm aynı sanal ağ üzerinde başka bir VM'ye bağlanabilirsiniz. Varsayılan olarak etkin olan bir sistem yolları koleksiyonu bu tür iletişime izin verir. Bu varsayılan yollar, aynı sanal ağ üzerinde yer alan VM'lerin internet ile (yalnızca İnternet'e giden iletişimler için) bağlantıları başlatmasına olanak sağlar.

Varsayılan sistem yolları birçok dağıtım senaryosu için yararlı olsa da, dağıtımlarınız için yönlendirme yapılandırmasını özelleştirmek istediğiniz zamanlar vardır. Sonraki atlama adresini belirli hedeflere ulaşmak için yapılandırabilirsiniz.

Bir sanal ağ için bir güvenlik aleti dağıtırken kullanıcı tanımlı yolları yapılandırmanız önerilir. Bu konu, kritik Azure hizmet kaynaklarınızı yalnızca sanal ağlarınızı güvenlik altına almak için başlıklı sonraki bir bölümde yer almaktadır.

Not

Kullanıcı tanımlı yollar gerekli değildir ve varsayılan sistem yolları genellikle çalışır.

Sanal ağ gereçlerini kullanma

Ağ güvenlik grupları ve kullanıcı tanımlı yönlendirme, OSI modelinin ağ ve aktarım katmanlarında belirli bir ağ güvenliği ölçüsü sağlar. Ancak bazı durumlarda yığının yüksek düzeylerinde güvenliği etkinleştirmek istiyor veya etkinleştirmeniz gerekiyor. Böyle durumlarda, Azure iş ortakları tarafından sağlanan sanal ağ güvenlik gereçlerini dağıtmanız önerilir.

Azure ağ güvenlik gereçleri, ağ düzeyindeki denetimlerin sağlamalarına göre daha iyi güvenlik sağlar. Sanal ağ güvenlik gereçlerinin ağ güvenliği özellikleri şunlardır:

  • Güvenlik Duvarı
  • Izinsiz giriş algılama/izinsiz giriş önleme
  • Güvenlik açığı yönetimi
  • Uygulama denetimi
  • Ağ tabanlı anomali algılama
  • Web filtreleme
  • Virüsten Koruma
  • Botnet koruması

Kullanılabilir Azure sanal ağ güvenlik gereçlerini bulmak için, Azure Market gidin ve "güvenlik" ve "ağ güvenliği" araması yapmak.

Güvenlik bölgeleri için çevre ağları dağıtma

Çevre ağı (DMZ olarak da bilinir), varlıklarınız ve İnternet arasında ek bir güvenlik katmanı sağlayan fiziksel veya mantıksal bir ağ kesimidir. Çevre ağının kenarında yer alan özel ağ erişim denetimi cihazları, sanal ağınıza yalnızca istenen trafiğe izin verir.

Çevre ağları, Ağ erişim denetimi yönetiminizi, izlemenizi, günlüğe kaydetmenizi ve Raporlamanızı Azure sanal ağlarının sınırındaki cihazlara odaklayabilirsiniz. Çevre ağı genellikle dağıtılmış hizmet engelleme (DDoS) önleme, izinsiz giriş algılama/izinsiz giriş önleme sistemleri (IDS/IPS), güvenlik duvarı kuralları ve ilkeleri, web filtreleme, ağ kötü amaçlı yazılımdan koruma ve daha fazlasını etkinleştirebilirsiniz. Ağ güvenlik cihazları İnternet ile Azure sanal ağınız arasında yer alır ve her iki ağ üzerinde de bir arabirime sahiptir.

Bu bir çevre ağının temel tasarımı olsa da, arkadan geriye, üç girişli ve çok girişli gibi birçok farklı tasarım vardır.

Daha önce Sıfır Güven kavramını temel alarak, Azure kaynaklarınız için ağ güvenliği ve erişim denetimi düzeyini geliştirmek için tüm yüksek güvenlik dağıtımları için bir çevre ağı kullanmayı düşünmenizi öneririz. Varlıklarınız ile İnternet arasında ek bir güvenlik katmanı sağlamak için Azure'ı veya üçüncü taraf bir çözümü kullanabilirsiniz:

  • Azure yerel denetimleri. Application Gateway ' deki Azure Güvenlik duvarı ve Web uygulaması güvenlik duvarı , hizmet olarak tam durum bilgisi olan güvenlik duvarı, yerleşik yüksek kullanılabilirlik, KıSıTLANMAMıŞ bulut ölçeklenebilirliği, FQDN filtrelemesi, OWASP çekirdek kural kümeleri için destek ve basit kurulum ve yapılandırma ile temel güvenlik sağlar.
  • Üçüncü taraf teklifleri. Azure Marketi 'nde yeni nesil güvenlik duvarı (NGFW) ve bilinen güvenlik araçları ve önemli ölçüde gelişmiş ağ güvenliği düzeyleri sağlayan diğer üçüncü taraf teklifleri arayın. Yapılandırma daha karmaşık olabilir, ancak üçüncü taraf bir teklif mevcut özellikleri ve becerileri kullanmanıza izin verebilir.

Birçok kuruluş, karma BT yolunu seçti. Karma BT sayesinde, şirketin bazı bilgi varlıkları Azure 'da, diğerleri ise şirket içinde kalır. Birçok durumda, bir hizmetin bazı bileşenleri Azure 'da çalışıyor, diğer bileşenler şirket içinde kalır.

Karma BT senaryosunda, genellikle bazı şirket içi bağlantı türleri vardır. Şirketler arası bağlantı, şirketin şirket içi ağlarını Azure sanal ağlarına bağlanmasına izin verir. İki şirket içi bağlantı çözümü mevcuttur:

  • Siteden sıteye VPN. Bu, güvenilir, güvenilir ve kurulu bir teknolojidir, ancak bağlantı Internet üzerinden gerçekleşir. Bant genişliği en fazla yaklaşık 1,25 Gbps ile sınırlıdır. Siteden siteye VPN, bazı senaryolarda istenen seçenektir.
  • Azure ExpressRoute. Şirket içi bağlantınız için ExpressRoute kullanmanızı öneririz. ExpressRoute, bağlantı sağlayıcı tarafından kolaylaştırılan özel bağlantı üzerinden şirket içi ağlarınızı Microsoft bulutuna genişletmenizi sağlar. expressroute ile Azure, Microsoft 365 ve Dynamics 365 gibi Microsoft bulut hizmetleriyle bağlantı kurabilirsiniz. expressroute, şirket içi konumunuz veya Microsoft Exchange barındırma sağlayıcısı arasında adanmış bir WAN bağlantıdır. Bu bir telekomünikasyon bağlantısı olduğundan, verileriniz Internet üzerinden hareket etmez, bu nedenle internet iletişimlerinin olası risklerine maruz değildir.

ExpressRoute bağlantınızın konumu güvenlik duvarı kapasitesini, ölçeklenebilirliği, güvenilirliği ve ağ trafiği görünürlüğünü etkileyebilir. Mevcut (Şirket içi) ağlarda ExpressRoute 'un nerede sonlandırılacağına yönelik bir kimlik belirlemeniz gerekir. Seçenekleriniz şunlardır:

  • Trafiğin görünürlüğünü istiyorsanız güvenlik duvarının dışında (çevre ağı paradigma) sonlandırın, veri merkezlerini yalıtmak için mevcut bir uygulamaya devam etmeniz veya yalnızca extranet kaynaklarını yalnızca Azure 'a yerleştirmekten devam etmeniz gerekir.
  • Güvenlik duvarının içinde sonlandırın (ağ uzantısı paradigması). Bu, varsayılan önerinin. Diğer tüm durumlarda, Azure 'u n. veri merkezi olarak değerlendirmesini öneririz.

Çalışma süresini ve performansı iyileştirme

Bir hizmet kapalıysa, bilgilere erişilemez. Performans, verilerin kullanılamamasına neden olduysa, erişilemeyen verileri göz önünde bulundurun. Bir güvenlik perspektifinden, hizmetlerinizin en iyi çalışma süresine ve performansa sahip olduğundan emin olmak için her şeyi yapmanız gerekir.

Kullanılabilirliği ve performansı geliştirmek için popüler ve etkili bir yöntem yük dengedir. Yük Dengeleme, bir hizmetin parçası olan sunucular arasında ağ trafiği dağıtmaya yönelik bir yöntemdir. Örneğin, hizmetinizin bir parçası olarak ön uç web sunucularınız varsa, trafiği birden çok ön uç Web sunucunuz genelinde dağıtmak için yük dengelemeyi kullanabilirsiniz.

Bu trafik dağıtımı, Web sunucularından biri kullanılamaz hale gelirse, yük dengeleyici bu sunucuya trafik göndermeyi durdurup, yine de çevrimiçi olan sunuculara yeniden yönlendirdiğinden, bu trafiğin dağıtılması kullanılabilirliği artırır. Yük Dengeleme, isteklere hizmet veren işlemci, ağ ve bellek yükü, yük dengeli tüm sunuculara dağıtıldığı için performansa de yardımcı olur.

Hizmetleriniz için uygun olan her durumda yük dengelemeyi kullanmanızı öneririz. Aşağıdaki senaryolar hem Azure sanal ağ düzeyinde hem de genel düzeyde, her biri için Yük Dengeleme seçenekleriyle birlikte senaryolardır.

Senaryo: şunları içeren bir uygulamanız vardır:

  • Aynı kullanıcı/istemci oturumundan gelen isteklerin aynı arka uç sanal makineye ulaşmasını gerektirir. Bunun örnekleri, alışveriş sepeti uygulamaları ve web posta sunucularıdır.
  • Yalnızca güvenli bir bağlantı kabul eder, bu nedenle sunucuya şifrelenmemiş iletişim kabul edilebilir bir seçenek değildir.
  • Aynı uzun süre çalışan aynı TCP bağlantısında, farklı arka uç sunucularına yönlendirilmek veya yük dengelemesi yapmak için birden çok HTTP isteği gerektirir.

Yük Dengeleme seçeneği: http Web trafiği yük dengeleyici olan Azure Application Gatewaykullanın. Application Gateway, ağ geçidinde uçtan uca TLS şifrelemesini ve TLS sonlandırmasını destekler. Daha sonra Web sunucuları şifreleme ve şifre çözme ek yükünün yanı sıra şifrelenmemiş akış ile arka uç sunucularına akışı yapılabilir.

Senaryo: bir Azure sanal ağında bulunan sunucularınız arasında internet 'ten gelen bağlantıların yükünü dengelemenize gerek duyarsınız. Senaryolar şunlardır:

  • İnternet 'ten gelen istekleri kabul eden durum bilgisiz uygulamalar vardır.
  • Yapışkan oturumlara veya TLS yük boşaltma gerektirmeyin. Yapışkan oturumlar, sunucu benzeşimi elde etmek için uygulama yük dengelemesi ile kullanılan bir yöntemdir.

Yük Dengeleme seçeneği: daha yüksek düzeyde kullanılabilirlik sağlamak için birden çok sanal makineye gelen istekleri yayan bir dış yük dengeleyici oluşturmak için Azure Portal kullanın.

Senaryo: internet üzerinde olmayan VM 'lerden yük dengeleme bağlantıları yapmanız gerekir. çoğu durumda, yük dengeleme için kabul edilen bağlantılar SQL Server örnekleri veya iç web sunucuları gibi bir Azure sanal ağındaki cihazlar tarafından başlatılır.
Yük Dengeleme seçeneği: daha yüksek düzeyde kullanılabilirlik sağlamak için birden çok sanal makineye gelen istekleri yayan bir iç yük dengeleyici oluşturmak için Azure Portal kullanın.

Senaryo: şu şekilde genel yük dengelemeye ihtiyacınız vardır:

  • Birden çok bölgeye yaygın olarak dağıtılan ve mümkün olan en yüksek çalışma süresi düzeyini (kullanılabilirlik) gerektiren bir bulut çözümüne sahip olmak.
  • Tüm veri merkezinde kullanılamaz hale gelirse emin olmak için hizmetinizin kullanılabilir olmasını sağlamak için en yüksek çalışma süresi düzeyi gereklidir.

Yük Dengeleme seçeneği: Azure Traffic Manager kullanın. Traffic Manager, kullanıcı konumuna göre hizmetlerinize olan bağlantıların yükünü dengelemeye olanak tanır.

Örneğin, Kullanıcı, AB 'den hizmetinize bir istek yapıyorsa bağlantı, bir AB veri merkezinde bulunan hizmetlerinize yönlendirilir. Traffic Manager küresel yük dengelemenin bu bölümü, en yakın veri merkezine bağlanmak, en çok kullanılan veri merkezlerine bağlanmadan daha hızlı olduğundan performansı artırmaya yardımcı olur.

Sanal makinelere RDP/SSH erişimini devre dışı bırak

Uzak Masaüstü Protokolü (RDP) ve Secure Shell (SSH) protokolünü kullanarak Azure sanal makinelerine ulaşmak mümkündür. Bu protokoller VM'lerin uzak konumlardan yönetilmesine olanak tanır ve veri merkezi bilgi işleminde standarttır.

Bu protokolleri Internet üzerinden kullanmayla ilgili olası güvenlik sorunu, saldırganların Azure sanal makinelerine erişim kazanmak için deneme yanılma tekniklerini kullanmasına olanak sağlar. Saldırganlar erişim kazandıktan sonra VM'nizi başlangıç noktası olarak kullanıp sanal ağınızdaki diğer makinelerin gizliliğini bozabilir, hatta Azure dışındaki ağa bağlı cihazlara bile saldırabilir.

İnternet 'ten Azure sanal makinelerinize doğrudan RDP ve SSH erişimini devre dışı bırakmanızı öneririz. İnternet 'ten doğrudan RDP ve SSH erişimi devre dışı bırakıldıktan sonra, bu VM 'Lere uzaktan yönetim için erişmek üzere kullanabileceğiniz diğer seçenekleriniz vardır.

Senaryo: tek bir kullanıcının Internet üzerinden bir Azure sanal ağına bağlanmasını etkinleştirin.
Seçenek: Noktadan siteye VPN , uzaktan erişim VPN istemcisi/sunucu bağlantısı için başka bir terimdir. Noktadan siteye bağlantı kurulduktan sonra, Kullanıcı, kullanıcının Noktadan siteye VPN aracılığıyla bağlandığı Azure sanal ağ üzerinde bulunan tüm VM 'lere bağlanmak için RDP veya SSH kullanabilir. Bu, kullanıcının bu VM 'Lere erişme yetkisi olduğunu varsayar.

Kullanıcının bir VM 'ye bağlanmadan önce iki kez kimlik doğrulaması yapması gerektiğinden, Noktadan siteye VPN Direct RDP veya SSH bağlantılarından daha güvenlidir. İlk olarak, kullanıcının Noktadan siteye VPN bağlantısı kurması için kimlik doğrulaması yapması (ve yetkilendirilmesi) gerekir. İkincisi, kullanıcının RDP veya SSH oturumu kurması için kimlik doğrulaması yapması (ve yetkilendirilmesi) gerekir.

Senaryo: şirket içi ağınızdaki kullanıcıların Azure sanal ağınızdaki VM 'lere bağlanmasını etkinleştirin.
Seçenek: siteden siteye VPN , ağın tamamını Internet üzerinden başka bir ağa bağlar. Şirket içi ağınızı bir Azure sanal ağına bağlamak için siteden siteye VPN kullanabilirsiniz. Şirket içi ağınızdaki kullanıcılar, siteden siteye VPN bağlantısı üzerinden RDP veya SSH protokolünü kullanarak bağlanır. İnternet üzerinden doğrudan RDP veya SSH erişimine izin vermeniz gerekmez.

Senaryo: sıteden siteye VPN 'ye benzer işlevler sağlamak için ADANMıŞ bir WAN bağlantısı kullanın.
Seçenek: ExpressRoutekullanın. Siteden siteye VPN 'ye benzer işlevsellik sağlar. Temel farklılıklar şunlardır:

  • Adanmış WAN bağlantısı Internet 'te geçiş yapmaz.
  • Adanmış WAN bağlantıları genellikle daha kararlı olur ve daha iyi gerçekleştirilir.

Kritik Azure hizmeti kaynaklarınızı yalnızca sanal ağlarınızla güvenli hale getirin

azure paas hizmetlerine (örneğin, azure Depolama ve SQL Veritabanı), sanal ağınızdaki özel bir uç nokta üzerinden erişmek için azure özel bağlantısı 'nı kullanın. Özel uç noktalar, kritik Azure hizmeti kaynaklarınızı yalnızca sanal ağlarınızla korumanıza olanak sağlar. sanal ağınızdan Azure hizmetine giden trafik her zaman Microsoft Azure omurga ağında kalır. Azure PaaS hizmetlerini kullanmak için Sanal ağınızı genel İnternet 'e sunma işlemi artık gerekli değildir.

Azure özel bağlantısı aşağıdaki avantajları sağlar:

  • Azure hizmet kaynaklarınız Için geliştirilmiş güvenlik: Azure özel bağlantısı ile Azure hizmet kaynakları, Özel uç nokta kullanılarak sanal ağınızla korunmuş olabilir. Sanal ağdaki özel bir uç noktaya hizmet kaynaklarının güvenliğini sağlamak, kaynaklara genel İnternet erişimini tamamen kaldırarak ve yalnızca sanal ağınızdaki özel uç noktadan gelen trafiğe izin vererek geliştirilmiş güvenlik sağlar.
  • azure platformunda azure hizmet kaynaklarına özel olarak erişin: sanal ağınızı özel uç noktaları kullanarak azure 'daki hizmetlere Bağlan. Genel IP adresine gerek yoktur. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işleymeyecektir.
  • Şirket içi ve eşli ağlardan erişim: Özel uç noktaları kullanarak ExpressRoute özel eşlemesi, VPN tünelleri ve eşli sanal ağlar üzerinden Azure'da çalışan hizmetlere erişin. Hizmete ulaşmak için ExpressRoute Microsoft eşlemesini yapılandırmanız veya İnternet'i çapraz geçişe gerek yoktur. Özel Bağlantı, iş yüklerini Azure'a geçirmek için güvenli bir yol sağlar.
  • Veri sızıntısına karşı koruma: Özel uç nokta, hizmetin tamamı yerine PaaS kaynağının bir örneğiyle eşlenmiş. Tüketiciler yalnızca belirli bir kaynağa bağlanmaktadır. Hizmette başka bir kaynağa erişim engellenir. Bu mekanizma, veri sızıntısı risklerine karşı koruma sağlar.
  • Global reach: Bağlan bölgelerde çalışan hizmetlere özel olarak erişin. Tüketicinin sanal ağı A bölgesinde olabilir ve B bölgesinde yer alan hizmetlere bağlanabilirsiniz.
  • Basit ayarlama ve yönetme: Azure kaynaklarının bir IP güvenlik duvarı üzerinden güvenliğini sağlamak için sanal ağlarda ayrılmış, genel IP adreslerine ihtiyacınız yoktur. Özel uç noktaları ayarlamak için herhangi bir NAT veya ağ geçidi cihazı gerekmez. Özel uç noktalar basit bir iş akışı aracılığıyla yapılandırılır. Hizmet tarafında, Azure hizmet kaynağınıza gelen bağlantı isteklerini de kolaylıkla yönetebilirsiniz. Azure Özel Bağlantı farklı kiracılara ait tüketiciler ve hizmetler Azure Active Directory çalışır.

Özel uç noktalar ve özel uç noktaların kullanılabilir olduğu Azure hizmetleri ve bölgeleri hakkında daha fazla bilgi edinmek için bkz. Azure Özel Bağlantı.

Sonraki adımlar

Bulut çözümlerinizi Azure kullanarak tasarlar, dağıtırken ve dağıtırken daha fazla güvenlik en iyi yöntemleri için bkz. Azure güvenliğine yönelik en iyi yöntemler ve desenler.