Azure üretim ağı

Azure üretim ağının kullanıcıları hem kendi Azure uygulamalarına erişen dış müşterileri hem de üretim ağını yöneten iç Azure desteği personelini içerir. Bu makalede, Azure üretim ağıyla bağlantı kurmak için güvenlik erişim yöntemleri ve koruma mekanizmaları ele alınmaktadır.

İnternet yönlendirme ve hataya dayanıklılık

Birden çok birincil ve ikincil DNS sunucusu kümesiyle birlikte genel olarak yedekli iç ve dış Azure Etki Alanı Adı Hizmeti (DNS) altyapısı hataya dayanıklılık sağlar. Aynı zamanda, dağıtılmış hizmet reddi (DDoS) saldırılarını önlemek ve Azure DNS hizmetlerinin bütünlüğünü korumak için NetScaler gibi ek Azure ağ güvenlik denetimleri kullanılır.

Azure DNS sunucuları birden çok veri merkezi tesisinde bulunur. Azure DNS uygulaması, Azure müşteri etki alanı adlarını genel olarak çözümlemek için ikincil ve birincil DNS sunucuları hiyerarşisini içerir. Etki alanı adları genellikle müşterinin hizmeti için sanal IP (VIP) adresini sarmalayan bir CloudApp.net adresine çözümleniyor. Azure'a özgü olan ve kiracı çevirisinin dahili ayrılmış IP (DIP) adresine karşılık gelen VIP, söz konusu VIP'nin sorumlu olduğu Microsoft yük dengeleyiciler tarafından gerçekleştirilir.

Azure, ABD içindeki coğrafi olarak dağıtılmış Azure veri merkezlerinde barındırılır ve sağlam, ölçeklenebilir mimari standartları uygulayan en son teknoloji yönlendirme platformları üzerine kurulmuştur. Dikkate değer özellikler şunlardır:

• Çok protokollü Etiket Değiştirme (MPLS) tabanlı trafik mühendisliği, kesinti olması durumunda verimli bağlantı kullanımı ve düzgün bir şekilde hizmet düşüşü sağlar.
• Ağlar "artı bir" (N+1) yedeklilik mimarileriyle veya daha iyisiyle uygulanır.
• Harici olarak, veri merkezleri, özellikleri birden çok eşleme noktasında küresel olarak 1.200'den fazla internet servis sağlayıcısına yedekli olarak bağlayan ayrılmış, yüksek bant genişliğine sahip ağ devreleri tarafından sunulur. Bu bağlantı saniyede 2.000 gigabayttan (GBps) fazla uç kapasitesi sağlar.

Microsoft, veri merkezleri arasındaki kendi ağ bağlantı hatlarına sahip olduğundan, bu öznitelikler Azure teklifinin geleneksel üçüncü taraf İnternet hizmet sağlayıcılarına gerek kalmadan yüzde 99,9'un üzerinde ağ kullanılabilirliği elde etmelerine yardımcı olur.

Üretim ağına ve ilişkili güvenlik duvarlarına bağlantı

Azure ağ İnternet trafiği akışı ilkesi, trafiği ABD içindeki en yakın bölgesel veri merkezinde bulunan Azure üretim ağına yönlendirir. Azure üretim veri merkezleri tutarlı ağ mimarisini ve donanımlarını koruduğundan, aşağıdaki trafik akışı açıklaması tüm veri merkezlerine tutarlı bir şekilde uygulanır.

Azure için İnternet trafiği en yakın veri merkezine yönlendirildikten sonra erişim yönlendiricilerine bir bağlantı kurulur. Bu erişim yönlendiricileri, Azure düğümleri ile müşteri tarafından örneklenmiş VM'ler arasındaki trafiği yalıtmaya hizmet eder. Erişim ve uç konumlardaki ağ altyapısı cihazları, giriş ve çıkış filtrelerinin uygulandığı sınır noktalarıdır. Bu yönlendiriciler, istenmeyen ağ trafiğini filtrelemek ve gerekirse trafik hızı sınırlarını uygulamak için katmanlı erişim denetimi listesi (ACL) aracılığıyla yapılandırılır. ACL tarafından izin verilen trafik yük dengeleyicilere yönlendirilir. Dağıtım yönlendiricileri yalnızca Microsoft onaylı IP adreslerine izin verecek, kimlik sahtekarlığına karşı koruma sağlayacak ve ACL'leri kullanan TCP bağlantıları oluşturacak şekilde tasarlanmıştır.

Dış yük dengeleme cihazları, İnternet'ten yönlendirilebilen IP'lerden Azure iç IP'lerine ağ adresi çevirisi (NAT) gerçekleştirmek için erişim yönlendiricilerinin arkasında bulunur. Cihazlar ayrıca paketleri geçerli üretim iç IP'lerine ve bağlantı noktalarına yönlendirir ve iç üretim ağ adres alanını açığa çıkarmak için bir koruma mekanizması görevi görür.

Varsayılan olarak Microsoft, oturum açma ve bundan sonra tüm trafik dahil olmak üzere müşterilerin web tarayıcılarına iletilen tüm trafik için Köprü Metni Aktarım Protokolü Güvenli (HTTPS) uygular. TLS v1.2 kullanımı, trafiğin akması için güvenli bir tünel sağlar. Erişim ve çekirdek yönlendiricilerdeki ACL'ler, trafiğin kaynağının beklenenle tutarlı olmasını sağlar.

Geleneksel güvenlik mimarisiyle karşılaştırıldığında bu mimarideki önemli bir ayrım, ayrılmış donanım güvenlik duvarları, özelleştirilmiş yetkisiz erişim algılama veya önleme cihazları ya da Azure üretim ortamına bağlantı yapılmadan önce normalde beklenen diğer güvenlik gereçleri olmamasıdır. Müşteriler genellikle bu donanım güvenlik duvarı cihazlarını Azure ağında bekler; ancak hiçbiri Azure'da çalıştırılır. Neredeyse yalnızca bu güvenlik özellikleri, güvenlik duvarı özellikleri de dahil olmak üzere güçlü, çok katmanlı güvenlik mekanizmaları sağlamak için Azure ortamını çalıştıran yazılımda yerleşik olarak bulunur. Buna ek olarak, sınırın kapsamı ve kritik güvenlik cihazlarının ilişkili yayılması, önceki çizimde gösterildiği gibi, Azure çalıştıran yazılım tarafından yönetildiğinden yönetilip envanterin alınması daha kolaydır.

Temel güvenlik ve güvenlik duvarı özellikleri

Azure, temel Güvenlik Yetkilendirmesi sınırını korumak için genellikle geleneksel bir ortamda beklenen güvenlik özelliklerini zorunlu kılmak için çeşitli düzeylerde güçlü yazılım güvenliği ve güvenlik duvarı özellikleri uygular.

Azure güvenlik özellikleri

Azure, üretim ağı içinde konak tabanlı yazılım güvenlik duvarları uygular. Temel Azure ortamında çeşitli temel güvenlik ve güvenlik duvarı özellikleri bulunur. Bu güvenlik özellikleri, Azure ortamındaki derinlemesine savunma stratejisini yansıtır. Azure'daki müşteri verileri aşağıdaki güvenlik duvarları tarafından korunur:

Hiper yönetici güvenlik duvarı (paket filtresi):Bu güvenlik duvarı hiper yöneticide uygulanır ve doku denetleyicisi (FC) aracısı tarafından yapılandırılır. Bu güvenlik duvarı, VM içinde çalışan kiracıyı yetkisiz erişime karşı korur. Varsayılan olarak, bir VM oluşturulduğunda tüm trafik engellenir ve ardından FC aracısı, yetkili trafiğe izin vermek için filtreye kurallar ve özel durumlar ekler.

Burada iki kural kategorisi programlanmıştır:

• Makine yapılandırması veya altyapı kuralları: Varsayılan olarak tüm iletişim engellenir. Vm'nin Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) iletişimlerini ve DNS bilgilerini gönderip almasına ve FC kümesi ve işletim sistemi Etkinleştirme sunucusundaki diğer VM'lere "genel" İnternet giden trafiği göndermesine olanak sağlayan özel durumlar vardır. VM'lerin izin verilen giden hedef listesi Azure yönlendirici alt ağlarını ve diğer Microsoft özelliklerini içermediğinden, kurallar onlar için bir savunma katmanı görevi görür.
• Rol yapılandırma dosyası kuralları: Gelen ACL'leri kiracıların hizmet modeline göre tanımlar. Örneğin, bir kiracının belirli bir VM'de 80 numaralı bağlantı noktasında web ön ucu varsa, 80 numaralı bağlantı noktası tüm IP adreslerine açılır. VM'nin çalışan bir çalışan rolü varsa, çalışan rolü yalnızca aynı kiracıdaki VM'ye açılır.

Yerel ana bilgisayar güvenlik duvarı: Azure Service Fabric ve Azure Depolama, hiper yöneticisi olmayan yerel bir işletim sisteminde çalışır ve bu nedenle Windows Güvenlik Duvarı önceki iki kural kümesiyle yapılandırılır.

Konak güvenlik duvarı: Konak güvenlik duvarı, hiper yöneticiyi çalıştıran konak bölümünü korur. Kurallar, yalnızca FC ve atlama kutularının belirli bir bağlantı noktasındaki konak bölümüyle konuşmasına izin verecek şekilde programlanmıştır. Diğer özel durumlar DHCP yanıtına ve DNS yanıtlarına izin vermektir. Azure, konak bölümü için güvenlik duvarı kuralları şablonunu içeren bir makine yapılandırma dosyası kullanır. Vm'lerin konak bileşenleri, kablo sunucusu ve meta veri sunucusuyla belirli protokol/bağlantı noktaları üzerinden iletişim kurmasına olanak tanıyan bir konak güvenlik duvarı özel durumu da vardır.

Konuk güvenlik duvarı: Konuk işletim sisteminin, müşteri VM'leri ve depolamadaki müşteriler tarafından yapılandırılabilen Windows Güvenlik Duvarı parçası.

Azure özelliklerinde yerleşik olarak bulunan ek güvenlik özellikleri şunlardır:

• IP'lerden gelen IP adresleri atanmış altyapı bileşenleri. İnternet'te bulunan bir saldırgan, Microsoft'a ulaşamayacağından bu adreslere giden trafiği ele alamaz. İnternet ağ geçidi yönlendiricileri, yalnızca iç adreslere adreslenen paketleri filtrelediğinden üretim ağına girmez. VIP'lere yönlendirilen trafiği kabul eden bileşenler yük dengeleyicilerdir.

• Tüm iç düğümlerde uygulanan güvenlik duvarlarının belirli bir senaryo için dikkate alınması gereken üç temel güvenlik mimarisi vardır:

  • Güvenlik duvarları yük dengeleyicinin arkasına yerleştirilir ve paketleri her yerden kabul eder. Bu paketler dışarıdan kullanıma sunulmak üzere tasarlanmıştır ve geleneksel bir çevre güvenlik duvarındaki açık bağlantı noktalarına karşılık gelir.
  • Güvenlik duvarları yalnızca sınırlı bir adres kümesinden gelen paketleri kabul eder. Bu husus, DDoS saldırılarına karşı derinlemesine savunma stratejisinin bir parçasıdır. Bu tür bağlantılar kriptografik olarak doğrulanır.
  • Güvenlik duvarlarına yalnızca belirli iç düğümlerden erişilebilir. Yalnızca tümü Azure ağındaki DIP'ler olan kaynak IP adreslerinin listelenmiş bir listesinden paketleri kabul ederler. Örneğin, şirket ağına yönelik bir saldırı istekleri bu adreslere yönlendirebilir, ancak paketin kaynak adresi Azure ağındaki numaralandırılmış listede yer almadığı sürece saldırılar engellenir.
    • Çevredeki erişim yönlendiricisi, yapılandırılmış statik yolları nedeniyle Azure ağının içindeki bir adrese yönlendirilen giden paketleri engeller.

Sonraki adımlar

Microsoft'un Azure altyapısının güvenliğini sağlamak için neler yaptığı hakkında daha fazla bilgi edinmek için bkz:

• Azure tesisleri, şirket içi ve fiziksel güvenlik
• Azure altyapısı kullanılabilirliği
• Azure bilgi sistemi bileşenleri ve sınırları
• Azure ağ mimarisi
• veritabanı güvenlik özelliklerini Azure SQL
• Azure üretim operasyonları ve yönetimi
• Azure altyapı izleme
• Azure altyapı bütünlüğü
• Azure müşteri veri koruması