Azure ağ güvenliğine genel bakış

Ağ güvenliği, ağ trafiğine denetimler uygulayarak kaynakları yetkisiz erişime veya saldırılara karşı koruma işlemi olarak tanımlanabilir. Amaç, yalnızca meşru trafiğe izin verildiğinden emin olmaktır. Azure, uygulama ve hizmet bağlantı gereksinimlerinizi desteklemek için sağlam bir ağ altyapısı içerir. Azure'da bulunan kaynaklar arasında, şirket içinde ve Azure'da barındırılan kaynaklar arasında ve İnternet ile Azure arasında ağ bağlantısı mümkündür.

Bu makale, Azure'ın ağ güvenliği alanında sunduğu bazı seçenekleri kapsar. Şu konularda bilgi edinebilirsiniz:

• Azure ağı
• Ağ erişim denetimi
• Azure Güvenlik Duvarı
• Uzaktan erişimin ve şirket içi ve dışı bağlantıların güvenliğini sağlama
• Kullanılabilirlik
• Ad çözümlemesi
• Çevre ağı (DMZ) mimarisi
• Azure DDoS koruması
• Azure Front Door
• Traffic manager
• İzleme ve tehdit algılama

Not

Web iş yükleri için, yeni ortaya çıkan DDoS saldırılarına karşı koruma sağlamak için Azure DDoS koruması ve web uygulaması güvenlik duvarı kullanmanızı kesinlikle öneririz. Bir diğer seçenek de Azure Front Door'un yanı sıra bir web uygulaması güvenlik duvarı dağıtmaktır. Azure Front Door , ağ düzeyinde DDoS saldırılarına karşı platform düzeyinde koruma sunar.

Azure ağı

Azure, sanal makinelerin bir Azure Sanal Ağ bağlı olmasını gerektirir. Sanal ağ, fiziksel Azure ağ dokusu üzerinde oluşturulmuş mantıksal bir yapıdır. Her sanal ağ diğer tüm sanal ağlardan yalıtılır. Bu, dağıtımlarınızdaki ağ trafiğinin diğer Azure müşterileri tarafından erişilebilir olmamasını sağlamaya yardımcı olur.

Daha fazla bilgi edinin:

• Sanal ağa genel bakış

Ağ erişim denetimi

Ağ erişim denetimi, sanal ağ içindeki belirli cihazlara veya alt ağlara yönelik ve bu alt ağlardan gelen bağlantıyı sınırlama işlemidir. Ağ erişim denetiminin amacı, sanal makinelerinize ve hizmetlerinize erişimi onaylanan kullanıcılar ve cihazlarla sınırlamaktır. Erişim denetimleri, sanal makinenize veya hizmetinize yönelik bağlantılara izin verme veya reddetme kararlarını temel alır.

Azure, aşağıdakiler gibi çeşitli ağ erişim denetimi türlerini destekler:

• Ağ katmanı denetimi
• Yol denetimi ve zorlamalı tünel
• Sanal ağ güvenlik gereçleri

Ağ katmanı denetimi

Herhangi bir güvenli dağıtım için ağ erişim denetiminin bir ölçüsü gerekir. Ağ erişim denetiminin amacı, sanal makine iletişimini gerekli sistemlerle kısıtlamaktır. Diğer iletişim girişimleri engellenir.

Not

Depolama Güvenlik Duvarları , Azure depolama güvenliğine genel bakış makalesinde ele alınmıştır

Ağ güvenlik kuralları (NSG)

Temel ağ düzeyinde erişim denetimine ihtiyacınız varsa (IP adresi ve TCP veya UDP protokollerine bağlı olarak), Ağ Güvenlik Gruplarını (NSG) kullanabilirsiniz. NSG temel, durum bilgisi olan bir paket filtreleme güvenlik duvarıdır ve erişimi 5 tanımlama grubu temelinde denetlemenizi sağlar. NSG'ler yönetimi basitleştirmeye ve yapılandırma hatası olasılığını azaltmaya yönelik işlevler içerir:

• Genişletilmiş güvenlik kuralları NSG kural tanımını basitleştirir ve aynı sonucu elde etmek için birden çok basit kural oluşturmak zorunda kalmadan karmaşık kurallar oluşturmanıza olanak sağlar.
• Hizmet etiketleri , Microsoft tarafından oluşturulan ve bir IP adresi grubunu temsil eden etiketlerdir. Bunlar, etikete eklemeyi tanımlayan koşulları karşılayan IP aralıklarını içerecek şekilde dinamik olarak güncelleştirilir. Örneğin, doğu bölgesindeki tüm Azure depolama için geçerli olan bir kural oluşturmak istiyorsanız Storage.EastUS kullanabilirsiniz
• Uygulama güvenlik grupları , uygulama gruplarına kaynak dağıtmanıza ve bu uygulama gruplarını kullanan kurallar oluşturarak bu kaynaklara erişimi denetlemenize olanak sağlar. Örneğin, 'Web sunucuları' uygulama grubuna dağıtılan web sunucularınız varsa, İnternet'ten 'Webservers' uygulama grubundaki tüm sistemlere 443 trafiğe izin veren bir NSG uygulayan bir kural oluşturabilirsiniz.

NSG'ler uygulama katmanı denetimi veya kimliği doğrulanmış erişim denetimleri sağlamaz.

Daha fazla bilgi edinin:

• Ağ Güvenlik Grupları

Bulut için Defender tam zamanında VM erişimi

Bulut için Microsoft Defender, uygun Azure rol tabanlı erişim denetimi azure RBAC izinlerine sahip bir kullanıcı erişim isteyene kadar VM'lerdeki NSG'leri yönetebilir ve VM erişimini kilitleyebilir. Kullanıcıya bulut için Defender başarıyla yetkilendirildiğinde, belirtilen süre boyunca seçili bağlantı noktalarına erişime izin vermek için NSG'lerde değişiklikler yapar. Süre dolduğunda NSG'ler önceki güvenli durumlarına geri yüklenir.

Daha fazla bilgi edinin:

• Tam Zamanında Bulut Erişimi için Microsoft Defender

Hizmet uç noktaları

Hizmet uç noktaları, trafiğiniz üzerinde denetim uygulamanın başka bir yoludur. Desteklenen hizmetlerle iletişimi doğrudan bağlantı üzerinden yalnızca sanal ağlarınızla sınırlayabilirsiniz. Sanal ağınızdan belirtilen Azure hizmetine gelen trafik Microsoft Azure omurga ağında kalır.

Daha fazla bilgi edinin:

• Hizmet uç noktaları

Yol denetimi ve zorlamalı tünel

Sanal ağlarınızda yönlendirme davranışını denetleme özelliği kritik önem taşır. Yönlendirme yanlış yapılandırılmışsa, sanal makinenizde barındırılan uygulamalar ve hizmetler, olası saldırganların sahip olduğu ve çalıştırdığı sistemler de dahil olmak üzere yetkisiz cihazlara bağlanabilir.

Azure ağı, sanal ağlarınızda ağ trafiği için yönlendirme davranışını özelleştirme özelliğini destekler. Bu, sanal ağınızdaki varsayılan yönlendirme tablosu girişlerini değiştirmenize olanak tanır. Yönlendirme davranışının denetimi, belirli bir cihazdan veya cihaz grubundan gelen tüm trafiğin sanal ağınıza belirli bir konum üzerinden girdiğinden veya ayrıldığından emin olmanıza yardımcı olur.

Örneğin, sanal ağınızda bir sanal ağ güvenlik gereciniz olabilir. Sanal ağınıza gelen ve sanal ağdan gelen tüm trafiğin bu sanal güvenlik gerecinden geçtiğinden emin olmak istiyorsunuz. Bunu, Azure'da Kullanıcı Tanımlı Yolları (UDR) yapılandırarak yapabilirsiniz.

Zorlamalı tünel , hizmetlerinizin internet üzerindeki cihazlara bağlantı başlatmasına izin verilmediğinden emin olmak için kullanabileceğiniz bir mekanizmadır. Bunun gelen bağlantıları kabul edip sonra bunlara yanıt vermekten farklı olduğunu unutmayın. Ön uç web sunucularının İnternet ana bilgisayarlarından gelen isteklere yanıt vermesi gerektiğinden, bu web sunucularına gelen İnternet kaynaklı trafiğe izin verilir ve web sunucularının yanıt vermesine izin verilir.

İzin vermek istemediğiniz şey, bir giden istek başlatmak için bir ön uç web sunucusudur. Bu tür istekler bir güvenlik riskini temsil edebilir çünkü bu bağlantılar kötü amaçlı yazılımları indirmek için kullanılabilir. Bu ön uç sunucularının İnternet'e giden istekleri başlatmasını istemeseniz bile, bunları şirket içi web proxy'lerinizden geçmeleri için zorlamak isteyebilirsiniz. Bu, URL filtreleme ve günlüğe kaydetme özelliğinden yararlanmanızı sağlar.

Bunun yerine, bunu önlemek için zorlamalı tünel kullanmak isteyebilirsiniz. Zorlamalı tüneli etkinleştirdiğinizde, İnternet'e yönelik tüm bağlantılar şirket içi ağ geçidiniz üzerinden zorlanır. UDR'lerden yararlanarak zorlamalı tünel yapılandırabilirsiniz.

Daha fazla bilgi edinin:

• Kullanıcı Tanımlı Yollar ve IP İletme nedir?

Sanal ağ güvenlik gereçleri

NSG'ler, UDR'ler ve zorlamalı tüneller size OSI modelinin ağ ve aktarım katmanlarında bir güvenlik düzeyi sağlarken, ağdan daha yüksek düzeylerde güvenliği de etkinleştirmek isteyebilirsiniz.

Örneğin, güvenlik gereksinimleriniz şunları içerebilir:

• Uygulamanıza erişime izin vermeden önce kimlik doğrulaması ve yetkilendirme
• İzinsiz giriş algılama ve yetkisiz erişim yanıtı
• Üst düzey protokoller için uygulama katmanı denetimi
• URL filtreleme
• Ağ düzeyinde virüsten koruma ve kötü amaçlı yazılımdan koruma
• Bot koruması
• Uygulama erişim denetimi
• Ek DDoS koruması (Azure dokusu tarafından sağlanan DDoS korumasının üzerinde)

Bir Azure iş ortağı çözümü kullanarak bu gelişmiş ağ güvenliği özelliklerine erişebilirsiniz. Azure Market ziyaret edip "güvenlik" ve "ağ güvenliği" araması yaparak en güncel Azure iş ortağı ağ güvenlik çözümlerini bulabilirsiniz.

Azure Güvenlik Duvarı

Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için tehdit koruması sağlayan bulutta yerel ve akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Yerleşik yüksek kullanılabilirliğe ve sınırsız bulut ölçeklenebilirliğine sahip, tam durum bilgisi olan bir hizmet olarak güvenlik duvarıdır. Hem doğu-batı hem de kuzey-güney trafik denetimi sağlar.

Azure Güvenlik Duvarı üç SKU ile sunulur: Standart, Premium ve Temel. Azure Güvenlik Duvarı Standard, doğrudan Microsoft Cyber Security'den L3-L7 filtreleme ve tehdit bilgileri akışları sağlar. Azure Güvenlik Duvarı Premium, belirli desenleri arayarak saldırıların hızlı algılanması için imza tabanlı IDPS'yi içeren gelişmiş özellikler sağlar. Azure Güvenlik Duvarı Basic, Standart SKU ile aynı güvenlik düzeyini sağlayan ancak gelişmiş özelliklere sahip olmayan basitleştirilmiş bir SKU'dur.

Daha fazla bilgi edinin:

• Azure Güvenlik Duvarı nedir?

Uzaktan erişimin ve şirket içi ağlar arası bağlantının güvenliğini sağlama

Azure kaynaklarınızın kurulumu, yapılandırması ve yönetiminin uzaktan yapılması gerekir. Ayrıca, şirket içinde ve Azure genel bulutunda bileşenleri olan karma BT çözümleri dağıtmak isteyebilirsiniz. Bu senaryolar güvenli uzaktan erişim gerektirir.

Azure ağı aşağıdaki güvenli uzaktan erişim senaryolarını destekler:

• Tek tek iş istasyonlarını sanal ağa bağlama
• Şirket içi ağınızı VPN ile sanal ağa bağlama
• Şirket içi ağınızı ayrılmış bir WAN bağlantısıyla sanal ağa bağlama
• Sanal ağları birbirine bağlama

Tek tek iş istasyonlarını sanal ağa bağlama

Tek tek geliştiricilerin veya operasyon personelinin Azure'daki sanal makineleri ve hizmetleri yönetmesini sağlamak isteyebilirsiniz. Örneğin, sanal ağdaki bir sanal makineye erişmeniz gerektiğini varsayalım. Ancak güvenlik ilkeniz tek tek sanal makinelere RDP veya SSH uzaktan erişimine izin vermez. Bu durumda noktadan siteye VPN bağlantısı kullanabilirsiniz.

Noktadan siteye VPN bağlantısı, kullanıcı ile sanal ağ arasında özel ve güvenli bir bağlantı kurmanızı sağlar. VPN bağlantısı kurulduğunda, kullanıcı VPN bağlantısı üzerinden sanal ağdaki herhangi bir sanal makineye RDP veya SSH yapabilir. (Bu, kullanıcının kimlik doğrulaması yapabileceğinizi ve yetkilendirildiğini varsayar.) Noktadan siteye VPN şu desteği destekler:

• Özel bir SSL tabanlı VPN protokolü olan Güvenli Yuva Tünel Protokolü (SSTP). Çoğu güvenlik duvarı TLS/SSL'nin kullandığı TCP bağlantı noktası 443'i açtığından SSL VPN çözümü güvenlik duvarlarını aşabilir. SSTP yalnızca Windows cihazlarında desteklenir. Azure, SSTP (Windows 7 ve üzeri) içeren tüm Windows sürümlerini destekler.

• IKEv2 VPN, standart tabanlı bir IPsec VPN çözümüdür. IKEv2 VPN, Mac cihazlardan (OSX sürüm 10.11 ve üzeri) bağlantı kurmak için kullanılabilir.

• OpenVPN

Daha fazla bilgi edinin:

• PowerShell kullanarak sanal ağa noktadan siteye bağlantı yapılandırma

Şirket içi ağınızı VPN ile sanal ağa bağlama

Şirket ağınızın tamamını veya bir kısmını bir sanal ağa bağlamak isteyebilirsiniz. Bu durum, kuruluşların şirket içi veri merkezini Azure'a genişlettiği karma BT senaryolarında yaygındır. Çoğu durumda, kuruluşlar Azure'da bir hizmetin parçalarını ve şirket içindeki kısımlarını barındırmaktadır. Örneğin, bir çözüm Azure'da ön uç web sunucuları ve şirket içi arka uç veritabanları içerdiğinde bunu yapabilir. Bu tür "şirket içi bağlantılar" ayrıca Azure'da bulunan kaynakların yönetimini daha güvenli hale getirir ve Active Directory etki alanı denetleyicilerini Azure'a genişletme gibi senaryoları etkinleştirir.

Bunu gerçekleştirmenin bir yolu, siteden siteye VPN kullanmaktır. Siteden siteye VPN ile noktadan siteye VPN arasındaki fark, ikincinin tek bir cihazı sanal ağa bağlamasıdır. Siteden siteye VPN, ağın tamamını (şirket içi ağınız gibi) bir sanal ağa bağlar. Sanal ağa siteden siteye VPN'ler, yüksek oranda güvenli IPsec tünel modu VPN protokollerini kullanır.

Daha fazla bilgi edinin:

• Azure portal kullanarak siteden siteye VPN bağlantısıyla Resource Manager sanal ağı oluşturma
• VPN Gateway hakkında

Şirket içi ağınızı ayrılmış bir WAN bağlantısıyla sanal ağa bağlama

Noktadan siteye ve siteden siteye VPN bağlantıları, şirket içi ve dışı bağlantıları etkinleştirmek için etkilidir. Ancak bazı kuruluşlar bunları aşağıdaki dezavantajlara sahip olarak kabul eder:

• VPN bağlantıları verileri İnternet üzerinden taşır. Bu, bu bağlantıları, verileri genel ağ üzerinden taşımayla ilgili olası güvenlik sorunlarına karşı kullanıma sunar. Ayrıca, İnternet bağlantıları için güvenilirlik ve kullanılabilirlik garanti edilemez.
• Sanal ağlara yönelik VPN bağlantıları, yaklaşık 200 Mb/sn'lik bir maksimum değer olduğundan bazı uygulamalar ve amaçlar için bant genişliğine sahip olmayabilir.

Şirket içi ve dışı bağlantıları için en yüksek güvenlik ve kullanılabilirlik düzeyine ihtiyaç duyan kuruluşlar, uzak sitelere bağlanmak için genellikle ayrılmış WAN bağlantıları kullanır. Azure, şirket içi ağınızı bir sanal ağa bağlamak için kullanabileceğiniz ayrılmış bir WAN bağlantısı kullanma olanağı sağlar. Azure ExpressRoute, Express route direct ve Express route global reach bunu sağlar.

Daha fazla bilgi edinin:

• ExpressRoute teknik genel bakış
• Doğrudan ExpressRoute
• Express route global reach

Sanal ağları birbirine bağlama

Dağıtımlarınız için birçok sanal ağ kullanmak mümkündür. Bunu yapmanızın çeşitli nedenleri vardır. Yönetimi basitleştirmek veya güvenliği artırmak isteyebilirsiniz. Kaynakları farklı sanal ağlara yerleştirme motivasyonu ne olursa olsun, ağların her birinde bulunan kaynakların birbiriyle bağlantı kurmasını istediğiniz zamanlar olabilir.

Bir seçenek, bir sanal ağdaki hizmetlerin İnternet üzerinden "geri dönerek" başka bir sanal ağdaki hizmetlere bağlanmasıdır. Bağlantı bir sanal ağ üzerinden başlar, İnternet üzerinden gider ve ardından hedef sanal ağa geri döner. Bu seçenek, İnternet tabanlı iletişimin doğasında yer alan güvenlik sorunlarıyla bağlantıyı ortaya çıkarır.

İki sanal ağ arasında bağlanan bir siteden siteye VPN oluşturmak daha iyi bir seçenek olabilir. Bu yöntem, yukarıda bahsedilen şirket içi siteler arası VPN bağlantısıyla aynı IPSec tünel modu protokollerini kullanır.

Bu yaklaşımın avantajı, VPN bağlantısının İnternet üzerinden bağlanmak yerine Azure ağ dokusu üzerinden kurulmasıdır. Bu, İnternet üzerinden bağlanan siteden siteye VPN'lere kıyasla ek bir güvenlik katmanı sağlar.

Daha fazla bilgi edinin:

• Azure Resource Manager ve PowerShell kullanarak sanal ağdan sanal ağa bağlantı yapılandırma

Sanal ağlarınızı bağlamanın bir diğer yolu da sanal ağ eşlemedir. Bu özellik, iki Azure ağını birbirine bağlayarak aralarındaki iletişimin İnternet üzerinden hiç gitmeden Microsoft omurga altyapısı üzerinden gerçekleşmesini sağlar. Sanal ağ eşlemesi, aynı bölgedeki iki sanal ağı veya Azure bölgeleri arasında iki sanal ağı birbirine bağlayabilir. NSG'ler farklı alt ağlar veya sistemler arasındaki bağlantıyı sınırlamak için kullanılabilir.

Kullanılabilirlik

Kullanılabilirlik, herhangi bir güvenlik programının önemli bir bileşenidir. Kullanıcılarınız ve sistemleriniz ağ üzerinden erişmeleri gerekenlere erişemiyorsa, hizmetin tehlikeye atıldığı düşünülebilir. Azure,aşağıdaki yüksek kullanılabilirlik mekanizmalarını destekleyen ağ teknolojilerine sahiptir:

• HTTP tabanlı yük dengeleme
• Ağ düzeyinde yük dengeleme
• Genel yük dengeleme

Yük dengeleme, bağlantıları birden çok cihaz arasında eşit olarak dağıtmak için tasarlanmış bir mekanizmadır. Yük dengelemenin hedefleri şunlardır:

• Kullanılabilirliği artırmak için. Birden çok cihazda bağlantıların yükünü dengelediğinizde, hizmetten ödün vermeden bir veya daha fazla cihaz kullanılamaz duruma gelebilir. Kalan çevrimiçi cihazlarda çalışan hizmetler, hizmetten gelen içeriği sunmaya devam edebilir.
• Performansı artırmak için. Birden çok cihazda bağlantıların yükünü dengelediğinizde, tek bir cihazın tüm işlemleri işlemesi gerekmez. Bunun yerine, içeriğe hizmet etmek için işleme ve bellek talepleri birden çok cihaza yayılır.

HTTP tabanlı yük dengeleme

Web tabanlı hizmetler çalıştıran kuruluşlar genellikle bu web hizmetlerinin önünde HTTP tabanlı yük dengeleyici olmasını ister. Bu, yeterli performans ve yüksek kullanılabilirlik düzeylerinin sağlanmasına yardımcı olur. Geleneksel, ağ tabanlı yük dengeleyiciler ağ ve aktarım katmanı protokollerini kullanır. Öte yandan HTTP tabanlı yük dengeleyiciler, HTTP protokolünün özelliklerine göre kararlar alır.

Azure Application Gateway, web tabanlı hizmetleriniz için HTTP tabanlı yük dengeleme sağlar. Application Gateway destekler:

• Tanımlama bilgisi tabanlı oturum benzinim. Bu özellik, bu yük dengeleyicinin arkasındaki sunuculardan birine kurulan bağlantıların istemci ve sunucu arasında olduğu gibi kalmasını sağlar. Bu, işlemlerin kararlılığını sağlar.
• TLS boşaltma. bir istemci yük dengeleyiciye bağlandığında, bu oturum HTTPS (TLS) protokolü kullanılarak şifrelenir. Ancak, performansı artırmak için HTTP (şifrelenmemiş) protokol kullanarak yük dengeleyici ile yük dengeleyicinin arkasındaki web sunucusu arasında bağlantı kurabilirsiniz. Yük dengeleyicinin arkasındaki web sunucuları şifrelemeyle ilgili işlemci ek yüküyle karşılaşmadığından bu durum "TLS boşaltma" olarak adlandırılır. Bu nedenle web sunucuları daha hızlı bir şekilde istekte bulunabilir.
• URL tabanlı içerik yönlendirme. Bu özellik yük dengeleyicinin bağlantıları hedef URL'ye göre nereye ileteceği konusunda karar vermesine olanak tanır. Bu, IP adreslerine göre yük dengeleme kararları veren çözümlerden çok daha fazla esneklik sağlar.

Daha fazla bilgi edinin:

• Application Gateway’e genel bakış

Ağ düzeyinde yük dengeleme

AĞ düzeyinde yük dengeleme, HTTP tabanlı yük dengelemenin aksine IP adresi ve bağlantı noktası (TCP veya UDP) numaralarına göre karar verir. Azure Load Balancer kullanarak Azure'da ağ düzeyinde yük dengelemenin avantajlarından yararlanabilirsiniz. Load Balancer bazı temel özellikleri şunlardır:

• IP adresine ve bağlantı noktası numaralarına göre ağ düzeyinde yük dengeleme.
• Tüm uygulama katmanı protokolleri için destek.
• Azure sanal makinelerine ve bulut hizmetleri rol örneklerine yük dengelemeleri.
• Hem İnternet'e yönelik (dış yük dengeleme) hem de İnternet'e yönelik olmayan (iç yük dengeleme) uygulamalar ve sanal makineler için kullanılabilir.
• Yük dengeleyicinin arkasındaki hizmetlerden herhangi birinin kullanılamaz olup olmadığını belirlemek için kullanılan uç nokta izleme.

Daha fazla bilgi edinin:

• İç yük dengeleyiciye genel bakış

Genel yük dengeleme

Bazı kuruluşlar mümkün olan en yüksek kullanılabilirlik düzeyini istiyor. Bu hedefe ulaşmanın bir yolu, uygulamaları küresel olarak dağıtılmış veri merkezlerinde barındırmaktır. Bir uygulama dünyanın her yerinde bulunan veri merkezlerinde barındırıldığında, jeopolitik bölgenin tamamının kullanılamaz duruma gelmesi ve uygulamanın çalışır durumda olması mümkündür.

Bu yük dengeleme stratejisi performans avantajları da sağlayabilir. Hizmet isteklerini, isteği yapan cihaza en yakın veri merkezine yönlendirebilirsiniz.

Azure'da, Azure Traffic Manager'ı kullanarak küresel yük dengelemenin avantajlarından yararlanabilirsiniz.

Daha fazla bilgi edinin:

• Traffic Manager nedir?

Ad çözümlemesi

Ad çözümleme, Azure'da barındırdığınız tüm hizmetler için kritik bir işlevdir. Güvenlik açısından bakıldığında, ad çözümleme işlevinin güvenliğinin aşılması, bir saldırganın sitelerinizden gelen istekleri bir saldırganın sitesine yönlendirmesine neden olabilir. Güvenli ad çözümlemesi, bulutta barındırılan tüm hizmetleriniz için bir gereksinimdir.

ele almanız gereken iki tür ad çözümlemesi vardır:

• İç ad çözümlemesi. Bu, sanal ağlarınızda, şirket içi ağlarınızda veya her ikisinde bulunan hizmetler tarafından kullanılır. İç ad çözümlemesi için kullanılan adlara İnternet üzerinden erişilemez. En iyi güvenlik için, iç ad çözümleme şemanızın dış kullanıcılar tarafından erişilebilir olmaması önemlidir.
• Dış ad çözümlemesi. Bu, şirket içi ağlarınızın ve sanal ağlarınızın dışındaki kişiler ve cihazlar tarafından kullanılır. Bunlar İnternet'e görünen ve bulut tabanlı hizmetlerinize doğrudan bağlantı sağlamak için kullanılan adlardır.

İç ad çözümlemesi için iki seçeneğiniz vardır:

• Sanal ağ DNS sunucusu. Yeni bir sanal ağ oluşturduğunuzda, sizin için bir DNS sunucusu oluşturulur. Bu DNS sunucusu, bu sanal ağda bulunan makinelerin adlarını çözümleyebilir. Bu DNS sunucusu yapılandırılamaz, Azure doku yöneticisi tarafından yönetilir ve bu nedenle ad çözümleme çözümünüzün güvenliğini sağlamaya yardımcı olabilir.
• Kendi DNS sunucunuzu getirin. Kendi seçtiğiniz bir DNS sunucusunu sanal ağınıza yerleştirme seçeneğiniz vardır. Bu DNS sunucusu, Active Directory ile tümleşik bir DNS sunucusu veya azure iş ortağı tarafından sağlanan ve Azure Market edinebileceğiniz ayrılmış bir DNS sunucusu çözümü olabilir.

Daha fazla bilgi edinin:

• Sanal ağa genel bakış
• Sanal ağ tarafından kullanılan DNS Sunucularını yönetme

Dış ad çözümlemesi için iki seçeneğiniz vardır:

• Kendi dış DNS sunucunuzu şirket içinde barındırabilirsiniz.
• Kendi dış DNS sunucunuzu bir hizmet sağlayıcısıyla barındırabilirsiniz.

Birçok büyük kuruluş kendi DNS sunucularını şirket içinde barındırmaktadır. Bunu yapabilir çünkü bunu yapmak için ağ uzmanlığına ve küresel varlığa sahiptirler.

Çoğu durumda, DNS ad çözümleme hizmetlerinizi bir hizmet sağlayıcısıyla barındırmak daha iyidir. Bu hizmet sağlayıcıları, ad çözümleme hizmetleriniz için çok yüksek kullanılabilirlik sağlamak için ağ uzmanlığına ve küresel varlığa sahiptir. Ad çözümleme hizmetleriniz başarısız olursa kimse İnternet'e yönelik hizmetlerinize erişemeyeceği için, kullanılabilirlik DNS hizmetleri için önemlidir.

Azure, Azure DNS biçiminde yüksek oranda kullanılabilir ve yüksek performanslı bir dış DNS çözümü sağlar. Bu dış ad çözümleme çözümü, dünya çapındaki Azure DNS altyapısından yararlanır. Diğer Azure hizmetlerinizle aynı kimlik bilgilerini, API'leri, araçları ve faturalamayı kullanarak etki alanınızı Azure'da barındırmanıza olanak tanır. Azure'ın bir parçası olarak, platformda yerleşik olarak bulunan güçlü güvenlik denetimlerini de devralır.

Daha fazla bilgi edinin:

• Azure DNS'ye genel bakış
• Azure DNS özel bölgeleri , özel bir DNS çözümü eklemeye gerek kalmadan otomatik olarak atanan adlar yerine Azure kaynakları için özel DNS adları yapılandırmanıza olanak tanır.

Çevre ağı mimarisi

Birçok büyük kuruluş, ağlarını segmentlere ayırmak için çevre ağları kullanır ve İnternet ile hizmetleri arasında bir arabellek bölgesi oluşturur. Ağın çevre bölümü düşük güvenlikli bir bölge olarak kabul edilir ve bu ağ kesimine yüksek değerli varlık yerleştirilmemiştir. Genellikle çevre ağı kesiminde ağ arabirimine sahip ağ güvenlik cihazlarını görürsünüz. Başka bir ağ arabirimi, İnternet'ten gelen bağlantıları kabul eden sanal makinelerin ve hizmetlerin bulunduğu bir ağa bağlanır.

Çevre ağlarını çeşitli yollarla tasarlayabilirsiniz. Bir çevre ağı dağıtma kararı ve daha sonra kullanmaya karar verirseniz kullanılacak çevre ağı türü, ağ güvenlik gereksinimlerinize bağlıdır.

Daha fazla bilgi edinin:

• Güvenlik bölgeleri için çevre ağları

Azure DDoS koruması

Dağıtılmış hizmet engelleme (DDoS) saldırıları, uygulamalarını buluta taşıyan müşterilerin karşılaştığı en büyük kullanılabilirlik ve güvenlik sorunlarından biridir. DDoS saldırısı, bir uygulamanın kaynaklarını tüketmeye çalışır ve bu da uygulamayı yasal kullanıcılar için kullanılamaz hale getirir. DDoS saldırıları internet üzerinden genel olarak erişilebilen herhangi bir uç noktasını hedefleyebilir.

DDoS Koruması özellikleri şunlardır:

• Yerel platform tümleştirmesi: Azure ile yerel olarak tümleştirilmiştir. Azure portal üzerinden yapılandırmayı içerir. DDoS Koruması kaynaklarınızı ve kaynak yapılandırmanızı anlar.
• Anahtar teslimi koruma: Basitleştirilmiş yapılandırma, DDoS Koruması etkinleştirildiği anda bir sanal ağdaki tüm kaynakları hemen korur. Müdahale veya kullanıcı tanımı gerekmez. DDoS Koruması, algılandıktan sonra saldırıyı anında ve otomatik olarak azaltır.
• Her zaman açık trafik izleme: Uygulama trafiği desenleriniz günde 24 saat, haftada 7 gün izlenerek DDoS saldırılarının göstergeleri aranıyor. Koruma ilkeleri aşıldığında azaltma gerçekleştirilir.
• Saldırı Azaltma Raporları Saldırı Azaltma Raporları, kaynaklarınıza yönelik saldırılar hakkında ayrıntılı bilgi sağlamak için toplu ağ akışı verilerini kullanır.
• Saldırı Azaltma Akış Günlükleri Saldırı Azaltma Akış Günlükleri, etkin bir DDoS saldırısı sırasında bırakılan trafiği, iletilen trafiği ve diğer saldırı verilerini neredeyse gerçek zamanlı olarak gözden geçirmenize olanak tanır.
• Uyarlamalı ayarlama: Akıllı trafik profili oluşturma, uygulamanızın zaman içindeki trafiğini öğrenir ve hizmetiniz için en uygun profili seçer ve güncelleştirir. Zaman içinde trafik değiştikçe profil ayarlanır. Katman 3-katman 7 koruması: Bir web uygulaması güvenlik duvarıyla kullanıldığında tam yığın DDoS koruması sağlar.
• Kapsamlı azaltma ölçeği: Bilinen en büyük DDoS saldırılarına karşı koruma sağlamak için küresel kapasiteyle 60'ın üzerinde farklı saldırı türü azaltılabilir.
• Saldırı ölçümleri: Her saldırının özet ölçümlerine Azure İzleyici üzerinden erişilebilir.
• Saldırı uyarısı: Uyarılar, yerleşik saldırı ölçümleri kullanılarak bir saldırının başlangıcında ve durdurulmasında ve saldırı süresi boyunca yapılandırılabilir. Uyarılar Microsoft Azure İzleyici günlükleri, Splunk, Azure Depolama, Email ve Azure portal gibi işletimsel yazılımlarınızla tümleştirilir.
• Maliyet garantisi: Belgelenmiş DDoS saldırıları için veri aktarımı ve uygulama ölçeği genişletme hizmeti kredileri.
• DDoS Hızlı yanıt verme DDoS Koruması müşterileri artık etkin bir saldırı sırasında Hızlı Yanıt ekibine erişebilir. DRR, saldırı araştırmasında, saldırı sırasında özel risk azaltmalarda ve saldırı sonrası analizde yardımcı olabilir.

Daha fazla bilgi edinin:

• DDOS korumasına genel bakış

Azure Front Door

Azure Front Door Service, web trafiğinizin genel yönlendirmesini tanımlamanızı, yönetmenizi ve izlemenizi sağlar. En iyi performans ve yüksek kullanılabilirlik için trafiğinizin yönlendirmesini iyileştirir. Azure Front Door, HTTP/HTTPS iş yükünüzü istemci IP adreslerine, ülke koduna ve http parametrelerine dayalı istismardan korumaya yönelik erişim denetimi için özel web uygulaması güvenlik duvarı (WAF) kuralları yazmanıza olanak tanır. Buna ek olarak, Front Door kötü amaçlı bot trafiğiyle mücadele etmek için hız sınırlama kuralları oluşturmanızı da sağlar; TLS boşaltma ve HTTP/HTTPS isteği başına, uygulama katmanı işlemeyi içerir.

Front Door platformlarının kendisi, Azure altyapı düzeyinde DDoS korumasıyla korunur. Daha fazla koruma için, Azure DDoS Ağ Koruması sanal ağlarınızda etkinleştirilebilir ve kaynakları otomatik ayarlama ve azaltma yoluyla ağ katmanı (TCP/UDP) saldırılarına karşı koruyabilir. Front Door bir katman 7 ters proxy'dir, yalnızca web trafiğinin arka uç sunuculardan geçmesine ve diğer trafik türlerini varsayılan olarak engellemesine izin verir.

Not

Web iş yükleri için, yeni ortaya çıkan DDoS saldırılarına karşı koruma sağlamak için Azure DDoS koruması ve web uygulaması güvenlik duvarı kullanmanızı kesinlikle öneririz. Bir diğer seçenek de Azure Front Door'un yanı sıra bir web uygulaması güvenlik duvarı dağıtmaktır. Azure Front Door , ağ düzeyinde DDoS saldırılarına karşı platform düzeyinde koruma sunar.

Daha fazla bilgi edinin:

• Tüm Azure Front Door özellikleri hakkında daha fazla bilgi için Azure Front Door'a genel bakış konusunu gözden geçirebilirsiniz

Azure Traffic manager

Azure Traffic Manager, trafiği farklı Azure bölgelerindeki hizmetlere en uygun şekilde dağıtırken yüksek kullanılabilirlik ve yanıtlama hızı sağlayan DNS tabanlı bir trafik yük dengeleyicidir. Traffic Manager, trafik yönlendirme yöntemine ve uç noktaların sistem durumuna bağlı olarak istemci isteklerini en uygun hizmet uç noktasına yönlendirmek için DNS hizmetini kullanır. Uç nokta, Azure içinde veya dışında barındırılan İnternet'e yönelik bir hizmettir. Traffic Manager bitiş noktalarını izler ve trafiği kullanılamayan uç noktalara yönlendirmez.

Daha fazla bilgi edinin:

• Azure Traffic Manager'a genel bakış

İzleme ve tehdit algılama

Azure, bu önemli alanda ağ trafiğini erken algılama, izleme ve toplama ve gözden geçirme konusunda size yardımcı olacak özellikler sağlar.

Azure Ağ İzleyicisi

Azure Ağ İzleyicisi sorun gidermenize yardımcı olabilir ve güvenlik sorunlarının belirlenmesine yardımcı olacak yepyeni bir araç kümesi sağlar.

Güvenlik Grubu Görünümü, Sanal Makineler denetimine ve güvenlik uyumluluğuna yardımcı olur. Kuruluşunuz tarafından tanımlanan temel ilkeleri vm'lerinizin her biri için geçerli kurallarla karşılaştırarak programlı denetimler gerçekleştirmek için bu özelliği kullanın. Bu, yapılandırma kaymalarını belirlemenize yardımcı olabilir.

Paket yakalama , sanal makineye gelen ve sanal makineden gelen ağ trafiğini yakalamanızı sağlar. Ağ istatistikleri toplayabilir ve uygulama sorunlarını giderebilirsiniz. Bu, ağ yetkisiz erişimlerinin araştırılmasında çok değerli olabilir. Belirli Azure uyarılarına yanıt olarak ağ yakalamaları başlatmak için bu özelliği Azure İşlevleri ile birlikte de kullanabilirsiniz.

Ağ İzleyicisi ve laboratuvarlarınızdaki bazı işlevleri test etmeye başlama hakkında daha fazla bilgi için bkz. Azure ağ izleyicisi izlemeye genel bakış.

Not

Bu hizmetin kullanılabilirliği ve durumu hakkında en güncel bildirimler için Azure güncelleştirmeleri sayfasına bakın.

Bulut için Microsoft Defender

Bulut için Microsoft Defender tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur ve Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim sağlar. Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar, aksi takdirde fark edilemeyecek tehditleri algılamaya yardımcı olur ve büyük bir güvenlik çözümleri kümesiyle çalışır.

Bulut için Defender, ağ güvenliğini iyileştirmenize ve izlemenize yardımcı olur:

• Ağ güvenliği önerileri sağlama.
• Ağ güvenlik yapılandırmanızın durumunu izleme.
• Hem uç nokta hem de ağ düzeyinde ağ tabanlı tehditler konusunda sizi uyarır.

Daha fazla bilgi edinin:

• Bulut için Microsoft Defender giriş

SANAL AĞ TAP

Azure sanal ağ TAP (Terminal Erişim Noktası), sanal makine ağ trafiğinizi bir ağ paket toplayıcısına veya analiz aracına sürekli olarak akışla aktarmanıza olanak tanır. Toplayıcı veya analiz aracı bir ağ sanal gereci iş ortağı tarafından sağlanır. Aynı veya farklı aboneliklerdeki birden çok ağ arabiriminden gelen trafiği toplamak için aynı sanal ağ TAP kaynağını kullanabilirsiniz.

Daha fazla bilgi edinin:

• Sanal ağ TAP

Günlüğe Kaydetme

Ağ düzeyinde günlüğe kaydetme, tüm ağ güvenlik senaryoları için önemli bir işlevdir. Azure'da ağ düzeyinde günlüğe kaydetme bilgilerini almak için NSG'ler için alınan bilgileri günlüğe kaydedebilirsiniz. NSG günlüğü ile aşağıdakilerden bilgi alırsınız:

• Etkinlik günlükleri. Azure aboneliklerinize gönderilen tüm işlemleri görüntülemek için bu günlükleri kullanın. Bu günlükler varsayılan olarak etkindir ve Azure portal içinde kullanılabilir. Bunlar daha önce denetim veya işlem günlükleri olarak biliniyordu.
• Olay günlükleri. Bu günlükler hangi NSG kurallarının uygulandığı hakkında bilgi sağlar.
• Sayaç günlükleri. Bu günlükler, trafiği reddetmek veya trafiğe izin vermek için her NSG kuralının kaç kez uygulandığını size bildirir.

Bu günlükleri görüntülemek ve analiz etmek için güçlü bir veri görselleştirme aracı olan Microsoft Power BI'ı da kullanabilirsiniz. Daha fazla bilgi edinin:

• Ağ Güvenlik Grupları (NSG) için Azure İzleyici günlükleri