Azure Sanal WAN dağıtımına Sıfır Güven ilkeleri uygulama
Modern bulut, mobil cihazlar ve diğer uç noktalar evrimle birlikte, yalnızca kurumsal güvenlik duvarlarına ve çevre ağlarına güvenmek artık yeterli değildir. Uçtan uca bir Sıfır Güven stratejisi, güvenlik ihlallerinin kaçınılmaz olduğunu varsayar. Bu, her isteğin kontrolsüz bir ağdan geliyormuş gibi doğrulanması gerektiği anlamına gelir. Ağ iletişimi, altyapı, uygulamalar ve verileri bağlamak ve korumak için Sıfır Güven önemli bir rol oynar. Sıfır Güven modelinde ağlarınızın güvenliğini sağlama konusunda üç temel hedef vardır:
- Saldırılar gerçekleşmeden önce işlemeye hazır olun.
- Hasarın kapsamını ve ne kadar hızlı yayıldığını en aza indirin.
- Bulut ayak izinizi tehlikeye atma zorluğunu artırın.
Azure Sanal WAN, sanal ağlarda (VNet), dal sitelerinde, SaaS ve PaaS uygulamalarında ve kullanıcılarda genel olarak dağıtılmış bulut iş yükü kümeleri arasında yaygın, her yerden herhangi bir bağlantıya olanak tanıyarak genel bir geçiş ağı mimarisine olanak tanır. Azure Sanal WAN'da Sıfır Güven yaklaşımını benimsemek, omurganızın güvenli ve korumalı olduğundan emin olmak için kritik öneme sahiptir.
Bu makalede, azure Sanal WAN dağıtımına aşağıdaki yollarla Sıfır Güven ilkelerini uygulama adımları sağlanır:
| Sıfır Güven ilkesi | Tanım | Met by |
|---|---|---|
| Açıkça doğrula | Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. | Tüm kullanılabilir verilere göre risk ve tehditleri doğrulamak için Aktarım Katmanı Güvenliği (TLS) denetimiyle Azure Güvenlik Duvarı kullanın. Koşullu Erişim denetimleri, farklı veri noktaları tarafından kimlik doğrulaması ve yetkilendirme sağlamaya yöneliktir ve Azure Güvenlik Duvarı kullanıcı kimlik doğrulaması gerçekleştirmez. |
| En az ayrıcalıklı erişim kullan | Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. | Kullanıcı erişimi, Azure ağ altyapısı dağıtımlarının kapsamı dışındadır. Privileged Access Management, Koşullu Erişim ve diğer denetimler gibi Kimlik yapı çözümlerini kullanmak, bu ilkeyi sunmanın yoludur. |
| İhlal varsay | Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın. | Trafik her Azure Sanal WAN hub'ına tümleştirilmiş güvenlik duvarı üzerinden yönlendirilmediği sürece her uç sanal asına diğer uç sanal ağlarına erişim yoktur. Güvenlik duvarı varsayılan olarak reddet olarak ayarlanır ve yalnızca belirtilen kuralların izin verdiği trafiğe izin verir. Bir uygulamanın/iş yükünün güvenliğinin aşılması veya ihlal edilmesi durumunda, trafik denetimi Azure Güvenlik Duvarı ve yalnızca izin verilen trafiği iletme nedeniyle yayılma yeteneği sınırlıdır. Yalnızca aynı iş yükündeki kaynaklar aynı uygulamada ihlale maruz kalıyor. |
Azure IaaS ortamında Sıfır Güven ilkelerini uygulama hakkında daha fazla bilgi için bkz. Azure altyapısına Sıfır Güven ilkeleri uygulama genel bakış.
Sıfır Güven sektörle ilgili bir tartışma için bkz. NIST Özel Yayın 800-207.
Azure Sanal WAN
Azure Sanal WAN birçok farklı ağ iletişimi, güvenlik ve yönlendirme işlevini tek bir operasyonel arabirimde bir araya getiren bir ağ hizmetidir. Ana özelliklerden bazıları şunlardır:
- Gelişmiş yönlendirme özellikleri
- Merkezdeki Azure Güvenlik Duvarı veya desteklenen Ağ Sanal Gereçleri (NVA' lar) aracılığıyla güvenlik "kabloda tampon" tümleştirmesi
- Şifrelenmiş ExpressRoute
Azure Sanal WAN için Sıfır Güven bir yaklaşım, daha önce listelenen Sıfır Güven ilke tablosundan çeşitli temel hizmetlerin ve bileşenlerin yapılandırılmasını gerektirir. Adımların ve eylemlerin listesi aşağıdadır:
- Her Sanal WAN hub'ına Azure Güvenlik Duvarı veya desteklenen Yeni Nesil Güvenlik Duvarı (NGFW) NVA'ları dağıtın.
- Tüm trafiği denetim için merkezlerdeki güvenlik gereçlerine göndererek Sıfır Güven bir ortam oluşturmak için sanal ağlar arası ve şirket içi dal yönlendirmesini yapılandırın. Bilinen tehditler için filtreleme ve koruma sağlamak üzere yönlendirmeyi yapılandırın.
- Uçlardaki hiçbir kaynağın İnternet'e doğrudan erişimi olmadığından emin olun.
- Giriş/çıkış mikro çevre stratejisiyle birlikte uç ağlarında uygulama mikro segmentasyonu sağlayın.
- Ağ güvenlik olayları için gözlemlenebilirlik sağlayın.
Referans mimarisi
Aşağıdaki diyagramda, yaygın olarak dağıtılan bir ortamı ve azure Sanal WAN Sıfır Güven ilkelerinin nasıl uygulanacağını gösteren ortak bir başvuru mimarisi gösterilmektedir.
Azure Sanal WAN, Temel ve Standart türlerde dağıtılabilir. azure Sanal WAN için Azure Güvenlik Duvarı veya NGFW ile Sıfır Güven ilkeleri uygulamak için Standart tür gerekir.
Güvenli hub'lara sahip Azure Sanal WAN başvuru mimarisi şunları içerir:
- Tek bir mantıksal Sanal WAN.
- Bölge başına bir tane olan iki güvenli sanal hub.
- Her hub'da dağıtılan Azure Güvenlik Duvarı Premium örneği.
- En az bir Azure Güvenlik Duvarı Premium ilkesi.
- Noktadan siteye (P2S) ve siteden siteye (S2S) VPN ve ExpressRoute ağ geçitleri.
- P2S, S2S ve ExpressRoute bağlantılı dallar.
- Özel DNS VM'leri veya Azure DNS Özel Çözümleyicisi, Active Directory Etki Alanı Hizmetleri [AD DS] etki alanı denetleyicileri, Azure Bastion ve diğer paylaşılan kaynaklar gibi bir Sanal WAN hub'ına dağıtılemeyen temel altyapı kaynaklarını içeren paylaşılan hizmetler sanal ağı.
- gerekirse Azure Uygulaması lication Gateway, Azure web uygulaması güvenlik duvarı (WAF) ve Özel Uç Noktalar ile iş yükü sanal ağları.
Azure Sanal WAN, yerel Azure Güvenlik Duvarı alternatif olarak hub'larında sınırlı sayıda üçüncü taraf güvenlik duvarının tümleştirilmesini destekler. Bu makalede yalnızca Azure Güvenlik Duvarı açıklanmaktadır. Başvuru mimarisinde VNet-Shared Services uçlarında bulunanlar, dağıtabileceğiniz şeylere yalnızca bir örnektir. Microsoft, Azure Sanal WAN hub'larını yönetir ve Azure Güvenlik Duvarı ve desteklenen NVA'ların açıkça izin verdiklerinden başka hiçbir şey yükleyemezsiniz.
Bu başvuru mimarisi, Sanal WAN ağ topolojisi için Bulut Benimseme Çerçevesi makalede açıklanan mimari ilkeleriyle uyumlu hale gelir.
Yönlendirme Güvenliği
Şirket içi ortamın yol yayma ve yalıtımının güvenliğini sağlamak, yönetilmesi gereken kritik bir güvenlik öğesidir.
Trafik segmentasyonu dışında yönlendirme güvenliği, herhangi bir ağ güvenliği tasarımının kritik bir parçasıdır. Yönlendirme protokolleri, Azure dahil olmak üzere çoğu ağın ayrılmaz bir parçasıdır. Altyapınızı, yanlış yapılandırmalar veya kötü amaçlı saldırılar gibi yönlendirme protokollerine karşı doğal risklerden korumanız gerekir. VPN veya ExpressRoute için kullanılan BGP protokolü, ağınızı istenmeyen yönlendirme değişikliklerine karşı korumak için çok zengin olasılıklar sunar ve bu da çok belirli yolların veya çok geniş yolların tanıtımını içerebilir.
Ağınızı korumanın en iyi yolu, azuredan ağınıza yalnızca izin verilen ön eklerin yayıldığından emin olmak için şirket içi cihazlarınızı uygun yol ilkeleri ve yol haritalarıyla yapılandırmaktır. Örneğin, şunları yapabilirsiniz:
Çok genel gelen ön ekleri engelleyin.
Yanlış yapılandırma nedeniyle Azure, 0.0.0.0/0 veya 10.0.0.0/8 gibi genel ön ekler göndermeye başlarsa, aksi takdirde şirket içi ağınızda kalabilecek trafiği çekiyor olabilir.
Çok özel gelen ön ekleri engelleyin.
Belirli durumlarda Azure'dan bazı uzun IPv4 ön ekleri alabilirsiniz (ağ ön eki uzunluğu 30 ile 32 arasında), genellikle diğer daha az belirli ön eklere dahil edilir ve bu nedenle gerekli değildir. Bu ön eklerin bırakılması, şirket içi yönlendirme tablolarınızın gereksiz ölçüde büyümesini önler.
Geçiş ağı olarak Azure kullanmıyorsanız Azure'da olmayan gelen ön eklerini engelleyin.
Şirket içi konumlarınız (örneğin ExpressRoute Global Reach gibi teknolojilerle) arasında trafik taşımak için Azure kullanmıyorsanız, Azure'dan tanıtılan şirket içi ön ek bir yönlendirme döngüsünü gösterir. Yalnızca şirket içi yönlendiricilerinizde Azure ön eklerinin alınması sizi bu tür yönlendirme döngülerinden korur.
Şirket içi olmayan giden ön eklerini engelleyin.
Azure bölgeleri arasında geçiş için şirket içi ağınızı kullanmıyorsanız, şirket içinde kullanmadığınız ön ekleri Azure'a tanıtmamalısınız. Aksi takdirde, özellikle çoğu yönlendiricideki eBGP uygulamalarının tercih edilen olmayan bağlantılarda tüm ön ekleri yeniden tanıtması göz önünde bulundurulduğunda yönlendirme döngüleri oluşturma riskiyle karşılaşırsınız. Bu, eBGP çoklu yolunu yapılandırmadığınız sürece Azure ön eklerini Azure'a geri göndermenin etkisine sahiptir.
Mantıksal mimari
Azure Sanal WAN, bir hub'ın içinde kullanıma sunulan merkezlerden ve hizmetlerden oluşan bir koleksiyondur. İstediğiniz kadar Sanal WAN dağıtabilirsiniz. Sanal WAN hub'ında VPN, ExpressRoute, Azure Güvenlik Duvarı veya üçüncü taraf tümleşik NVA gibi birden çok hizmet vardır.
Aşağıdaki diyagramda, Bulut Benimseme Çerçevesi gösterildiği gibi azure Sanal WAN dağıtımı için Azure altyapısının mantıksal mimarisi gösterilmektedir.
Kaynakların çoğu bağlantı aboneliğinin içinde yer alır. Tüm Sanal WAN kaynaklarını, birden çok bölgeye dağıtım yaparken de dahil olmak üzere bağlantı aboneliğindeki tek bir kaynak grubuna dağıtırsınız. Azure sanal ağ uçları giriş bölgesi aboneliklerindedir. devralma ve hiyerarşi Azure Güvenlik Duvarı ilkesi kullanıyorsanız, üst ilke ve alt ilke aynı bölgede bulunmalıdır. Yine de bir bölgede oluşturduğunuz bir ilkeyi başka bir bölgeden güvenli bir hub'a uygulayabilirsiniz.
Bu makalede neler var?
Bu makalede, azure Sanal WAN başvuru mimarisinde Sıfır Güven ilkelerini uygulama adımları adım adım izlenmektedir.
| Adımlar | Görev | Sıfır Güven ilkeler uygulandı |
|---|---|---|
| 1 | Azure Güvenlik Duvarı ilkesi oluşturun. | Açıkça doğrula İhlal varsay |
| 2 | Azure Sanal WAN hub'larınızı güvenli hub'lara dönüştürün. | Açıkça doğrula İhlal varsay |
| 3 | Trafiğinizin güvenliğini sağlayın. | Açıkça doğrula İhlal varsay |
| 4 | Uç sanal ağlarınızın güvenliğini sağlayın. | İhlal varsay |
| 5 | Şifreleme kullanımınızı gözden geçirin. | İhlal varsay |
| 6 | P2S kullanıcılarınızın güvenliğini sağlayın. | İhlal varsay |
| 7 | İzlemeyi, denetimi ve yönetimi yapılandırın. | İhlal varsay |
1. ve 2. Adımları sırayla yapmanız gerekir. Diğer adımlar herhangi bir sırayla yapılabilir.
1. Adım: Azure Güvenlik Duvarı ilkesi oluşturma
Klasik merkez-uç mimarisindeki tek başına Azure Güvenlik Duvarı dağıtımları için Azure Güvenlik Duvarı Manager'da en az bir Azure ilkesi oluşturulup Azure Sanal WAN hub'larıyla ilişkilendirilmelidir. Bu ilkenin herhangi bir hub dönüştürülmeden önce oluşturulması ve kullanıma sunulması gerekir. İlke tanımlandıktan sonra, 2. Adımda Azure Güvenlik Duvarı örneklerine uygulanır.
Azure Güvenlik Duvarı ilkeleri üst-alt hiyerarşisinde düzenlenebilir. Klasik merkez-uç senaryosu veya yönetilen Azure Sanal WAN için trafiğe izin vermek veya trafiği reddetmek için ORTAK BT genelinde güvenlik kuralları kümesine sahip bir kök ilke tanımlamanız gerekir. Ardından, her hub için devralma yoluyla hub'a özgü kuralları uygulamak için bir alt ilke tanımlanabilir. Bu adım isteğe bağlıdır. Her hub'a uygulanması gereken kurallar aynıysa, tek bir ilke uygulanabilir.
Sıfır Güven için Premium Azure Güvenlik Duvarı ilkesi gereklidir ve aşağıdaki ayarları içermelidir:
DNS Ara Sunucusu – Azure Güvenlik Duvarı paylaşılan hizmet uçlarında veya şirket içinde bulunan gerçek DNS'yi koruyan uç sanal ağları için özel bir DNS sunucusu olarak yapılandırmanız gerekir. Azure güvenlik duvarları bir DNS Ara Sunucusu görevi görür, UDP bağlantı noktası 53'te dinler ve DNS isteklerini ilke ayarlarında belirtilen DNS sunucularına iletir. Her uç için, Sanal WAN Hub'ında Azure Güvenlik Duvarı iç IP adresine işaret eden sanal ağ düzeyinde bir DNS sunucusu yapılandırmanız gerekir. Uçlardan ve dallardan özel DNS'ye ağ erişimi vermemelisiniz.
Bu senaryolar için TLS incelemesi etkinleştirilmelidir:
Azure'da barındırılan bir iç istemciden İnternet'e gönderilen kötü amaçlı trafiğe karşı koruma sağlamak için giden TLS İncelemesi .
Azure iş yüklerinizi Azure içinden gönderilen olası kötü amaçlı trafiklerden koruyan, şirket içi dallara veya Sanal WAN uçlar arasında giden veya giden trafiği dahil etmek için Doğu-Batı TLS İncelemesi.
İzinsiz giriş algılama ve önleme sistemi (IDPS), "Uyarı ve Reddetme" modunda etkinleştirilmelidir.
Tehdit Bilgileri "Uyarı ve Reddetme" modunda etkinleştirilmelidir.
İlke oluşturma işleminin bir parçası olarak, yalnızca açıkça izin verilen trafik için ağ akışlarını etkinleştirmek için gerekli Hedef Ağ Adresi Çevirisi (DNAT) kurallarını, ağ kurallarını ve uygulama kurallarını oluşturmanız gerekir. Seçili hedefler için TLS incelemesini etkinleştirmek için, ilgili uygulama kuralında "TLS inceleme" ayarı etkinleştirilmelidir. Kural Koleksiyonları'nda kurallar oluştururken en kısıtlayıcı "Hedef" ve "Hedef Türü" kullanmanız gerekir.
2. Adım: Azure Sanal WAN hub'larınızı güvenli hub'lara dönüştürme
Azure Sanal WAN için Sıfır Güven yaklaşımın temelinde Güvenli Sanal WAN hub (güvenli merkez) kavramı yer alır. Güvenli merkez, tümleşik Azure Güvenlik Duvarı sahip bir Azure Sanal WAN hub'dır. Üçüncü taraflardan desteklenen güvenlik gereçlerinin kullanımı, Azure Güvenlik Duvarı alternatif olarak desteklenir ancak bu makalede açıklanmaktadır. Tüm Kuzey-Güney, Doğu-Batı ve İnternet'e bağlı trafiği denetlemek için bu sanal gereçleri kullanabilirsiniz.
Sıfır Güven için Azure Güvenlik Duvarı Premium kullanmanızı ve bunu 1. Adımda açıklanan Premium İlkesi ile yapılandırmanızı öneririz.
Not
DDoS Koruması'nın kullanımı güvenli bir hub ile desteklenmez .
Daha fazla bilgi için bkz. Sanal WAN hub'ına Azure Güvenlik Duvarı yükleme.
3. Adım: Trafiğinizin güvenliğini sağlama
Tüm Azure Sanal WAN hub'larınızı güvenli hub'lara yükselttikten sonra, Sıfır Güven ilkeleri için Yönlendirme Amacı ve İlkeleri yapılandırmanız gerekir. Bu yapılandırma, her merkezdeki Azure Güvenlik Duvarı aynı merkezdeki ve uzak merkezlerdeki uçlar ve dallar arasındaki trafiği çekmesine ve incelemesine olanak tanır. İlkelerinizi, Azure Güvenlik Duvarı veya üçüncü taraf NVA'nız aracılığıyla hem "İnternet trafiği" hem de "Özel trafik" gönderecek şekilde yapılandırmanız gerekir. "Hub'lar arası" seçeneği de etkinleştirilmelidir. Aşağıda bir örnek verilmiştir.
"Özel Trafik" yönlendirme ilkesi etkinleştirildiğinde, merkezler arası trafik de dahil olmak üzere Sanal WAN Hub'ına gelen ve giden sanal ağ trafiği, ilkede belirtilen sonraki atlama Azure Güvenlik Duvarı veya NVA'ya iletilir. Rol Tabanlı Erişim Denetimi (RBAC) ayrıcalıklarına sahip kullanıcılar uç sanal ağlar için Sanal WAN yol programlamasını geçersiz kılabilir ve merkez güvenlik duvarını atlamak için özel bir Kullanıcı Tanımlı Yol (UDR) ile ilişkilendirebilir. Bu güvenlik açığını önlemek için, UDR'leri uç sanal ağ alt ağlarına atamaya yönelik RBAC izinleri merkezi ağ yöneticileriyle kısıtlanmalı ve uç sanal ağlarının giriş bölgesi sahiplerine devredilmemelidir. Bir UDR'yi bir sanal ağ veya alt ağ ile ilişkilendirmek için, kullanıcının "Microsoft.Network/routeTables/join/action" eylemi veya izniyle Ağ Katılımcısı rolüne veya özel rolüne sahip olması gerekir.
Not
Bu makalede, Azure Güvenlik Duvarı öncelikli olarak hem İnternet trafiği hem de özel trafik denetimi için dikkate alınmalıdır. İnternet trafiği için üçüncü taraf, desteklenen bir güvenlik NVA'sı veya üçüncü taraf Bir Hizmet Olarak Güvenlik (SECaaS) sağlayıcısı kullanılabilir. Özel trafik için, üçüncü taraf tarafından desteklenen güvenlik NVA'ları Azure Güvenlik Duvarı alternatif olarak kullanılabilir.
Not
Azure Sanal WAN'daki Özel Yönlendirme Tabloları Yönlendirme Amacı ve İlkeleri ile birlikte kullanılamaz ve güvenlik seçeneği olarak değerlendirilmemelidir.
4. Adım: Uç sanal ağlarınızın güvenliğini sağlama
Her Azure Sanal WAN hub'ına sanal ağ eşlemesi ile bağlı bir veya daha fazla sanal ağ olabilir. Bulut Benimseme Çerçevesi giriş bölgesi modeline bağlı olarak her sanal ağ, bir kuruluşu destekleyen bir giriş bölgesi iş yükü, uygulamalar ve hizmetler içerir. Azure Sanal WAN bağlantıyı, yol yayma ve ilişkilendirmeyi, giden ve gelen yönlendirmeyi yönetir, ancak sanal ağ içi güvenliği etkilemez. Sıfır Güven ilkeleri,Uç sanal ağına ve sanal makineler ve depolama gibi kaynak türüne bağlı olarak diğer makalelere Sıfır Güven ilkeleri uygulayın. Aşağıdaki öğeleri göz önünde bulundurun:
Mikro segmentasyon: Azure Sanal WAN giden trafiği çekse ve filtrelese bile, sanal ağ içi akışları düzenlemek için ağ güvenlik gruplarının (NSG' ler) ve uygulama güvenlik gruplarının (ASG' ler) kullanılması önerilir.
Yerel DMZ: Azure Sanal WAN Hub'ında merkezi güvenlik duvarında oluşturulan bir DNAT kuralı http veya https olmayan gelen trafiğe filtre uygulamalı ve izin vermelidir. Gelen http veya https trafiği yerel bir Azure Uygulaması lication Gateway ve ilişkili Web Uygulaması Güvenlik Duvarı tarafından yönetilmelidir.
Azure Sanal WAN güvenli sanal hub'ları henüz Azure DDoS Korumasını desteklemese de uç sanal ağlarda İnternet'e yönelik uç noktaları korumak için DDoS kullanımı mümkündür ve kesinlikle önerilir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Yöneticisi bilinen sorunları ve Hub sanal ağı ile güvenli sanal hub karşılaştırması.
Gelişmiş tehdit algılama ve koruma: Bkz. Uç sanal ağına Sıfır Güven ilkeleri uygulama. Uç içindeki öğeler Bulut için Microsoft Defender gibi tehdit koruma araçlarıyla korunmalıdır.
Azure Sanal WAN'daki hub kilitlendiğinden ve Azure tarafından yönetildiğinden, özel bileşenler orada yüklenemez veya etkinleştirilemiyor. Normalde merkezin içinde, klasik merkez-uç modelinde dağıtılan bazı kaynakların, paylaşılan kaynak ağları işlevi gören bir veya daha fazla uçta yerleştirilmesi gerekir. Örneğin:
- Azure Bastion:Azure Bastion, Azure Sanal WAN destekler, ancak merkez Azure tarafından kısıtlandığından ve yönetildiğinden uç sanal ağında dağıtılması gerekir. Azure Bastion uçlarından kullanıcılar diğer sanal ağlardaki kaynaklara ulaşabilir, ancak Azure Bastion Standart SKU'su ile ip tabanlı bağlantı olmasını gerektirir.
- Özel DNS sunucuları: DNS sunucusu yazılımı herhangi bir sanal makineye yüklenebilir ve Azure Sanal WAN'deki tüm uçlar için DNS sunucusu olarak görev yapabilir. DNS sunucusu, diğer tüm uçlara doğrudan hizmet veren bir uç sanal aya veya Sanal WAN hub'ına tümleştirilmiş Azure Güvenlik Duvarı tarafından sunulan DNS Ara Sunucusu özelliği aracılığıyla yüklenmelidir.
- Azure Özel DNS Çözümleyicisi:Azure Özel DNS Çözümleyicisi dağıtımı, Sanal WAN hub'larına bağlı uç sanal ağlarından birinde desteklenir. Sanal WAN hub'ına tümleştirilmiş Azure Güvenlik Duvarı, DNS Ara Sunucusu özelliğini etkinleştirdiğinizde bu kaynağı özel DNS olarak kullanabilir.
- Özel Uç Noktalar: Bu kaynak türü Sanal WAN ile uyumludur ancak bir uç sanal ağ içinde dağıtılmalıdır. Bu, tümleşik Azure Güvenlik Duvarı akışa izin veriyorsa, aynı Sanal WAN bağlı diğer tüm sanal ağlara veya dallara bağlantı sağlar. bir Sanal WAN hub'ına tümleştirilmiş Azure Güvenlik Duvarı kullanarak Özel Uç Noktalara yönelik trafiğin güvenliğini sağlama yönergeleri, Azure Sanal WAN'de özel uç noktalara yönelik trafiğin güvenliğini sağlama bölümünde bulunabilir.
- Azure Özel DNS Bölgesi (bağlantılar): Bu tür bir kaynak bir sanal ağ içinde yaşamıyor ancak düzgün çalışması için bunlara bağlı olması gerekiyor. Özel DNS Bölgeleri Sanal WAN hub'lara bağlanamaz. Bunun yerine, özel DNS sunucuları veya Azure Özel DNS Çözümleyicisi içeren uç sanal ağında (önerilir) veya doğrudan bu bölgedeki DNS kayıtlarını gerektiren uç sanal ağlarına bağlı olmalıdır.
5. Adım: Şifrelemenizi gözden geçirme
Azure Sanal WAN, Microsoft ağına giren trafik için kendi ağ geçitleri aracılığıyla bazı trafik şifreleme özellikleri sağlar. Mümkün olduğunda ağ geçidi türüne göre şifreleme etkinleştirilmelidir. Aşağıdaki varsayılan şifreleme davranışını göz önünde bulundurun:
Sanal WAN S2S VPN ağ geçidi kullanılırken şifreleme sağlarIPsec/IKE (IKEv1 ve IKEv2) VPN bağlantısı.
Sanal WAN P2S VPN ağ geçidi, OpenVPN veya IPsec/IKE (IKEv2) üzerinden kullanıcı VPN bağlantısı kullanılırken şifreleme sağlar.
Sanal WAN ExpressRoute ağ geçidi şifreleme sağlamaz, bu nedenle tek başına ExpressRoute ile ilgili dikkat edilmesi gerekenler geçerlidir.
Yalnızca ExpressRoute Direct'in üzerinde sağlanan ExpressRoute bağlantı hatları için, uç yönlendiricilerinizle Microsoft'un uç yönlendiricileri arasındaki bağlantıların güvenliğini sağlamak için platform tarafından sağlanan MACsec şifrelemesini kullanmak mümkündür.
Şifreleme, bir Azure ExpressRoute bağlantı hattının özel eşlemesi üzerinden şirket içi ağınızdan Azure'a bir IPsec/IKE VPN bağlantısı kullanılarak oluşturulabilir. Yönlendirme Amacı ve İlkeleri artık Şifrelenmiş ExpressRoute'ta açıklandığı gibi ek yapılandırma adımlarıyla bu yapılandırmayı destekliyor.
Sanal WAN hub'ına tümleştirilmiş üçüncü taraf Yazılım Tanımlı WAN (SD-WAN) cihazları ve NVA'lar için, belirli şifreleme özellikleri satıcının belgelerine göre doğrulanmalı ve yapılandırılmalıdır.
Trafik Ağ geçitlerinden biri veya SD-WAN/NVA aracılığıyla Azure ağ altyapısına girdikten sonra, ağ şifrelemesi sağlayan belirli bir Sanal WAN hizmeti veya özelliği yoktur. Hub ile sanal ağı ve hub-hub arasındaki trafik şifrelenmemişse, gerekirse uygulama düzeyinde şifreleme kullanmanız gerekir.
Not
Sanal WAN uçları Azure VPN Gateway kullanılarak sanal ağdan sanal ağa şifrelemeyi desteklemez çünkü Sanal WAN hub uzak ağ geçidini kullanmak için bir uç gereklidir.
6. Adım: P2S kullanıcılarınızın güvenliğini sağlama
Azure Sanal WAN birçok farklı ağ iletişimi, güvenlik ve yönlendirme işlevini tek bir operasyonel arabirimde bir araya getiren bir ağ hizmetidir. Kullanıcı kimliği açısından bakıldığında, Sanal WAN olan tek dokunma noktası, bir kullanıcı P2S VPN'sine izin vermek için kullanılan kimlik doğrulama yöntemidir. Çeşitli kimlik doğrulama yöntemleri mevcuttur, ancak Microsoft Entra kimlik doğrulamasının genel Sıfır Güven ilkelerine uymanızı öneririz. Microsoft Entra Id ile Multi-Factor Authentication (MFA) gerektirebilir ve Koşullu Erişim istemci cihazlarına ve kullanıcı kimliklerine Sıfır Güven ilkeleri uygulayabilir.
Not
Microsoft Entra kimlik doğrulaması yalnızca OpenVPN protokolü bağlantıları için desteklenen ve Azure VPN İstemcisi gerektiren OpenVPN protokollerini kullanan ağ geçitleri için kullanılabilir.
Azure Sanal WAN ve Azure Güvenlik Duvarı, kullanıcı hesabı veya grup adlarına göre trafik yönlendirme ve filtreleme sağlamaz, ancak farklı kullanıcı gruplarına farklı IP adresi havuzları atamak mümkündür. Ardından, kullanıcıları veya grupları kendilerine atanan P2S IP adresi havuzuna göre kısıtlamak için tümleşik Azure Güvenlik Duvarı kurallar tanımlayabilirsiniz.
P2S kullanıcılarınızı ağ erişim gereksinimlerine göre farklı gruplara ayırırsanız, bunları ağ düzeyinde ayırmanızı ve iç ağın yalnızca bir alt kümesine erişebildiklerinden emin olmalarını öneririz. Azure Sanal WAN için birden çok IP adresi havuzu oluşturabilirsiniz. Daha fazla bilgi için bkz . P2S Kullanıcı VPN'leri için kullanıcı gruplarını ve IP adresi havuzlarını yapılandırma.
7. Adım: İzleme, denetim ve yönetimi yapılandırma
Azure Sanal WAN, Azure İzleyici ile kapsamlı izleme ve tanılama özellikleri sağlar. Sanal WAN için Azure İzleyici Analizler adlı Azure portalında odaklanmış, önceden oluşturulmuş bir izleme panosu kullanılarak ek ayrıntılar ve topoloji elde edilebilir. Bu izleme araçları güvenliğe özgü değildir. Her Sanal WAN hub'ına dağıtılan Azure Güvenlik Duvarı, Sıfır Güven ve güvenlik izleme için tümleştirme noktası sağlar. Sanal WAN dışındaki Azure Güvenlik Duvarı aynı Azure Güvenlik Duvarı için Tanılama ve günlük kaydı yapılandırmanız gerekir.
Azure Güvenlik Duvarı, Sıfır Güven ilkelerinin güvenliğini ve doğru uygulanmasını sağlamak için kullanmanız gereken aşağıdaki izleme araçlarını sağlar:
Azure Güvenlik Duvarı İlke Analizi, Azure Güvenlik Duvarı içgörüler, merkezi görünürlük ve denetim sağlar. Güvenlik, iç altyapıyı korumak için uygun güvenlik duvarı kurallarının yerinde ve etkili olmasını gerektirir. Azure Portal, güvenlik duvarı altyapısı IDPS ve Tehdit Bilgileri özellikleri tarafından oluşturulan "Olası Kötü Amaçlı Kaynaklar" hakkındaki ayrıntıları özetler.
Azure Güvenlik Duvarı Çalışma Kitabı, Azure Güvenlik Duvarı veri analizi için esnek bir tuval sağlar. Azure Güvenlik Duvarı olaylar hakkında içgörüler elde edebilir, uygulamanız ve ağ kuralları hakkında bilgi edinebilir ve URL'ler, bağlantı noktaları ve adresler arasındaki güvenlik duvarı etkinliklerine ilişkin istatistikleri görebilirsiniz. Güvenlik duvarı kurallarını gözden geçirmek ve iyileştirmek için IDPS Günlük İstatistiklerini düzenli aralıklarla gözden geçirmenizi ve Araştırma sekmesinde reddedilen trafiği, kaynak ve hedef akışları ve Tehdit Bilgileri raporunu denetlemenizi kesinlikle öneririz.
Azure Güvenlik Duvarı ayrıca Bulut için Microsoft Defender ve Microsoft Sentinel ile tümleşir. Her iki aracı da doğru yapılandırmanızı ve bunları aşağıdaki yollarla Sıfır Güven için etkin bir şekilde kullanmanızı kesinlikle öneririz:
- Bulut için Microsoft Defender tümleştirmesi sayesinde, Azure'daki farklı bölgelere yayılmış tüm sanal ağlarda ve Sanal Hub'larda Azure Ağ Güvenliği de dahil olmak üzere ağ altyapısının ve ağ güvenliğinin tüm durumunu tek bir yerde görselleştirebilirsiniz. Tek bir bakışta Azure Güvenlik Duvarı sayısını, güvenlik duvarı ilkelerini ve Azure Güvenlik Duvarı dağıtıldığı Azure bölgelerini görebilirsiniz.
- Sorunsuz Azure Güvenlik Duvarı tümleştirmesi için bir Microsoft Sentinel çözümü tehdit algılama ve önleme sağlar. Dağıtıldıktan sonra çözüm, Microsoft Sentinel'in üzerinde yerleşik özelleştirilebilir tehdit algılamaya olanak tanır. Çözüm bir çalışma kitabı, algılamalar, tehdit avcılığı sorguları ve playbook'ları da içerir.
Yöneticiler için eğitim
Aşağıdaki eğitim modülleri ekibinize Azure Sanal WAN dağıtımınıza Sıfır Güven ilkeleri uygulamak için gereken becerilere yardımcı olur.
Azure Sanal WAN'a giriş
| Eğitim | Azure Sanal WAN'a giriş |
|---|---|
|
Yazılım tanımlı Azure Sanal WAN ağ hizmetlerini kullanarak geniş alan ağı (WAN) oluşturmayı açıklayın. |
Azure Güvenlik Duvarı giriş
| Eğitim | Azure Güvenlik Duvarı giriş |
|---|---|
|
Azure Güvenlik Duvarı Azure Güvenlik Duvarı özellikleri, kuralları, dağıtım seçenekleri ve Azure Güvenlik Duvarı Yöneticisi ile yönetim dahil olmak üzere Azure sanal ağ kaynaklarını nasıl koruyup korumadığı açıklanmaktadır. |
Azure Güvenlik Duvarı Yöneticisi'ne giriş
| Eğitim | Azure Güvenlik Duvarı Yöneticisi'ne giriş |
|---|---|
|
Bulut tabanlı güvenlik çevreleriniz için merkezi güvenlik ilkesi ve yönlendirme yönetimi sağlamak üzere Azure Güvenlik Duvarı Yöneticisi'ni kullanıp kullanamayacağınızı açıklayın. Azure Güvenlik Duvarı Yöneticisi'nin bulut çevrelerinizin güvenliğini sağlamaya yardımcı olup olmayacağını değerlendirin. |
Ağ güvenliğini tasarlama ve uygulama
| Eğitim | Ağ güvenliğini tasarlama ve uygulama |
|---|---|
|
Azure DDoS, Ağ Güvenlik Grupları, Azure Güvenlik Duvarı ve Web Uygulaması Güvenlik Duvarı gibi ağ güvenlik çözümleri tasarlamayı ve uygulamayı öğreneceksiniz. |
Azure'da güvenlik hakkında daha fazla eğitim için Microsoft kataloğundaki şu kaynaklara bakın:
Azure'da güvenlik
Sonraki Adımlar
Azure'a Sıfır Güven ilkeleri uygulamak için şu ek makalelere bakın:
- Azure IaaS'ye genel bakış
- Azure Sanal Masaüstü
- Amazon Web Services'da IaaS uygulamaları
- Microsoft Sentinel ve Microsoft Defender XDR
Başvurular
Bu makalede bahsedilen çeşitli hizmetler ve teknolojiler hakkında bilgi edinmek için bu bağlantılara bakın.
Azure Sanal WAN
- Azure Sanal WAN genel bakış
- Sanal WAN hub yönlendirme ilkelerini yapılandırma
- Sanal WAN hub'ına Azure Güvenlik Duvarı yükleme
- Güvenli sanal hub nedir?
- Sanal WAN hub yönlendirme ilkelerini yapılandırma
- Öğretici: Azure Güvenlik Duvarı Manager kullanarak sanal hub'ınızın güvenliğini sağlama
- Öğretici: Azure PowerShell kullanarak sanal hub'ınızın güvenliğini sağlama
- Sanal WAN arasında özel bağlantı hizmeti paylaşma
- P2S istemcileri için uç sanal ağlarındaki kaynaklara güvenli erişimi yönetme
Güvenlik temelleri
İyi Tasarlanmış Çerçeve gözden geçirmesi
Azure güvenliği
- Azure güvenliğine giriş
- Sıfır Güven uygulama kılavuzu
- Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik hizmetleriyle ilk savunma katmanını oluşturma
- Microsoft Siber Güvenlik Başvuru Mimarileri
Teknik çizimler
Bu makalede kullanılan çizimleri indirebilirsiniz. Bu çizimleri kendi kullanımınız için değiştirmek için Visio dosyasını kullanın.
Ek teknik çizimler için buraya tıklayın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin