Ağ segmentasyonu için çözümler tasarlama

  • 10 dakika

Segmentasyon için Azure özellikleri

Azure'da çalışırken birçok segmentasyon seçeneğiniz vardır.

Diagram showing different segmentation options on Microsoft Azure.

  1. Abonelik: Varlıklar arasında platform destekli ayrım sağlayan üst düzey bir yapı. Şirket içindeki büyük kuruluşlar arasındaki sınırların ortaya çıkması ve farklı aboneliklerdeki kaynaklar arasındaki iletişimin açıkça sağlanması gerekir.
  2. Sanal Ağ (VNet): Özel adres alanlarında bir abonelik içinde oluşturulur. İki sanal ağ arasında varsayılan olarak trafiğe izin verilmeyen kaynakların ağ düzeyinde kapsaması sağlar. Abonelikler gibi, sanal ağlar arasındaki tüm iletişimlerin de açıkça sağlanması gerekir.
  3. Ağ Güvenlik Grupları (NSG): Bir sanal ağ içindeki kaynaklar ve ayrıca İnternet gibi dış ağlar ve diğer sanal ağlar arasındaki trafiği denetlemeye yönelik erişim denetimi mekanizmaları. NSG'ler alt ağ, VM veya vm grubu için çevre oluşturarak segmentasyon stratejinizi ayrıntılı bir düzeye taşıyabilir. Azure'da alt ağlarla olası işlemler hakkında bilgi için bkz. Alt ağlar (Azure Sanal Ağ s).
  4. Uygulama Güvenlik Grupları (ASG): NSG'lere benzer ancak bir uygulama bağlamı ile başvurulur. Bir vm kümesini bir uygulama etiketi altında gruplandırmanıza ve ardından temel alınan vm'lerin her birine uygulanan trafik kurallarını tanımlamanıza olanak tanır.
  5. Azure Güvenlik Duvarı: Bulut kaynakları, İnternet ve şirket içi arasında akan trafiği filtrelemek için sanal ağınızda veya Azure Sanal WAN hub dağıtımlarında dağıtılabilir, bulutta yerel durum bilgisi olan bir hizmet olarak güvenlik duvarı. Katman 3 ile 7. katman denetimlerini kullanarak trafiğe izin verme/reddetmeyi belirten kurallar veya ilkeler (Azure Güvenlik Duvarı veya Azure Güvenlik Duvarı Yöneticisi kullanarak) oluşturursunuz. Ayrıca, gelişmiş filtreleme ve kullanıcı koruması için trafiğin bir kısmını veya tamamını üçüncü taraf güvenlik sağlayıcıları aracılığıyla yönlendirerek hem Azure Güvenlik Duvarı hem de üçüncü tarafları kullanarak İnternet'e giden trafiği filtreleyebilirsiniz.

Segmentasyon desenleri

Azure'da bir iş yükünü ağ perspektifinden segmentlere ayırmaya yönelik bazı yaygın desenler aşağıdadır. Her desen farklı bir yalıtım ve bağlantı türü sağlar. Kuruluşunuzun gereksinimlerine göre bir desen seçin.

Desen 1: Tek sanal ağ

İş yükünün tüm bileşenleri tek bir sanal ağda bulunur. Bu düzen, bir sanal ağ birden çok bölgeye yayılamadığı için tek bir bölgede çalışıyor olmanıza uygundur.

Alt ağlar veya uygulama grupları gibi kesimlerin güvenliğini sağlamanın yaygın yolları NSG'ler ve ASG'ler kullanmaktır. Ayrıca, bu segmentasyonu zorunlu kılmak ve güvenliğini sağlamak için Azure Market veya Azure Güvenlik Duvarı bir Ağ Sanallaştırılmış Gereci (NVA) kullanabilirsiniz.

Bu görüntüde Subnet1 veritabanı iş yüküne sahiptir. Alt ağ2,web iş yüklerine sahiptir. Alt Ağ1'in yalnızca Subnet2 ile iletişim kurmasına ve Alt Ağ2'nin yalnızca İnternet ile iletişim kurmasına izin veren NSG'leri yapılandırabilirsiniz.

Diagram showing a segmentation pattern with a single virtual network.

Ayrı alt ağlara yerleştirilmiş birden çok iş yükünüz olduğu bir kullanım örneğini göz önünde bulundurun. Bir iş yükünün başka bir iş yükünün arka ucuyla iletişim kurmasını sağlayacak denetimler yerleştirebilirsiniz.

Desen 2: Eşleme ile iletişim kuran birden çok sanal ağ

Kaynaklar birden çok sanal ağa yayılır veya çoğaltılır. Sanal ağlar eşleme aracılığıyla iletişim kurabilir. Bu düzen, uygulamaları ayrı sanal ağlar halinde gruplandırmanız gerektiğinde uygundur. Veya birden çok Azure bölgesine ihtiyacınız vardır. Bir sanal ağı başka bir sanal ağa açıkça eşlemeniz gerektiğinden, bu avantajlardan biri yerleşik segmentlere ayırmadır. Sanal ağ eşlemesi geçişli değildir. 1. düzende gösterildiği gibi NSG'leri ve ASG'leri kullanarak bir sanal ağ içinde daha fazla segment oluşturabilirsiniz.

Diagram showing a segmentation pattern with multiple virtual networks.

Desen 3: Merkez-uç modelinde birden çok sanal ağ

Sanal ağ, diğer tüm sanal ağlar için belirli bir bölgede merkez olarak o bölgedeki uçlar olarak atanır. Merkez ve uçları eşleme yoluyla bağlanır. Tüm trafik, farklı bölgelerdeki diğer hub'lara ağ geçidi olarak davranabilen hub'dan geçer. Bu düzende güvenlik denetimleri, diğer sanal ağlar arasındaki trafiği ölçeklenebilir bir şekilde segmentlere ayırıp idare edebilmeleri için hub'larda ayarlanır. Bu düzenin bir avantajı, ağ topolojiniz büyüdükçe güvenlik duruşu ek yükünün artmamasıdır (yeni bölgelere genişlettiğiniz durumlar dışında).

Diagram showing a segmentation pattern with a hub and spoke topology.

Önerilen yerel seçenek Azure Güvenlik Duvarı. Bu seçenek, katman 3 ile 7. katman denetimlerini kullanarak trafik akışlarını yönetmek için hem sanal ağlarda hem de aboneliklerde çalışır. İletişim kurallarınızı tanımlayabilir ve tutarlı bir şekilde uygulayabilirsiniz. Burada bazı örnekler verilmiştir:

  • VNet 1, VNet 2 ile iletişim kuramaz, ancak VNet 3 ile iletişim kurabilir.
  • VNet 1, *.github.com dışında genel İnternet'e erişemez.

Azure Güvenlik Duvarı Yöneticisi önizlemesi ile birden çok Azure Güvenlik Duvarı ilkeleri merkezi olarak yönetebilir ve DevOps ekiplerinin yerel ilkeleri daha fazla özelleştirmesini sağlayabilirsiniz.

Desen karşılaştırması

Dikkat edilmesi gereken noktalar Desen 1 Desen 2 Desen 3
Bağlan ivity/routing: her segmentin birbiriyle nasıl iletişim kuracakları Sistem yönlendirme, herhangi bir alt ağdaki tüm iş yüklerine varsayılan bağlantı sağlar. Desen 1 ile aynı. Uç ağları arasında varsayılan bağlantı yoktur. Bağlantıyı etkinleştirmek için hub'da Azure Güvenlik Duvarı gibi bir katman 3 yönlendiricisi gerekir.
Ağ düzeyinde trafik filtreleme Trafiğe varsayılan olarak izin verilir. Trafiği filtrelemek için NSG, ASG kullanın. Desen 1 ile aynı. Uç sanal ağları arasındaki trafik varsayılan olarak reddedilir. Azure Güvenlik Duvarı yapılandırması üzerinden trafiğe izin vermek için seçili yolları açın.
Merkezi günlüğe kaydetme Sanal ağ için NSG, ASG günlükleri. Tüm sanal ağlarda NSG, ASG günlüklerini toplama. Azure Güvenlik Duvarı hub üzerinden gönderilen tüm kabul edilen/reddedilen trafiği günlüğe kaydeder. Azure İzleyici'de günlükleri görüntüleyin.
İstenmeyen açık genel uç noktalar DevOps yanlış NSG, ASG kuralları aracılığıyla yanlışlıkla genel uç noktayı açabilir. Desen 1 ile aynı. Dönüş paketi durum bilgisi olan güvenlik duvarı (asimetrik yönlendirme) üzerinden bırakılacağından, bir uçta yanlışlıkla açılan genel uç nokta erişimi etkinleştirmez.
Uygulama düzeyinde koruma NSG veya ASG yalnızca ağ katmanı desteği sağlar. Desen 1 ile aynı. Azure Güvenlik Duvarı, giden trafik ve sanal ağlar arasında HTTP/S ve MSSQL için FQDN filtrelemesini destekler.