Azure Güvenlik Duvarı nedir? Bu gönderide, yakın zamanda başlatılan yeni Azure Güvenlik Duvarı’nın neler yapabileceğini ve şu anda yapamadığını açıklayacağım.
Azure’daki Güvenlik Duvarı Seçenekleri
Ağ yığınının taşıma (Katman 4) ve uygulama (Katman-7) katmanlarında ağ güvenliği için Azure’da güvenlik duvarı seçeneklerinde sıkıntı yoktur.
Temel bileşen, TCP / UDP trafiği için izin ver / reddetme filtresi sağlayan ücretsiz ağ güvenlik grubudur (NSG). NSG ilkeleri, tasarladığınız sanal ağ mimarisi ne olursa olsun, düşük düzey bir sabit filtre sunarak dağıtılır. NSG’lere ek olarak.
- Azure Web Uygulaması Güvenlik Duvarı (WAF): Layer-7’deki HTTP / S trafiğini korumak için web uygulama ağ geçidi (WAG) için ek bir eklenti.
- Ağ Sanallaştırma Araçları (NVA’lar): Güvenlik duvarı yazılımı ile Linux sanal makineleri olarak kullanılan üçüncü taraf cihazlar, sanal bir ağın kenarında Layer-4 ve Layer-7 güvenliğini ve yönlendirme temelli mikro segmentasyon mimarileri arasında makineler sağlayabilir tablolar.
Azure, üçüncü taraf NVA’ya bir alternatif sunmuyor, ancak bu, henüz üretim için hazır olmayan yeni bir önizleme sürümü ile değişmeye başlıyor.
Azure Güvenlik Duvarı
Azure Firewall, Azure’da, NSG’lerin sunduğu özelliklerin ötesinde ek güvenlik sağlamak için sanal ağın kenarında oturan yeni bir önizleme ağ güvenliği özelliğidir.
- Yüksek kullanılabilirlik (HA): NVA’larla olduğu gibi yüksek kullanılabilirlik için birden çok örneği dağıtmanız gerekmez. Cihaz dahili HA’ya sahiptir.
- Bulut ölçeklenebilirliği: NVA’ların sayısını ölçeklendirmenin ve bunları dengelemenin bir başka nedeni, iş hacmi ölçeğini artırmaktır. Azure Firewall, çıktı ve bant genişliği gereksinimlerinizi karşılayacak şekilde ölçeklenir.
- FQDN filtreleme: Ağınızdan erişilebilen harici URL’lerin tam nitelikli alan adlarının bir listesini (joker karakterler kullanabilirsiniz) tanımlarsınız. Bu yaklaşım, veri sızıntısını sınırlandıracak ve kötü amaçlı yazılım tarafından uzaktan kontrolü engelleyecektir. Bu, “kuralların nereye koyulacağı” kümesidir.
- Ağ filtreleme kuralları: Kaynak, hedef, protokol ve bağlantı noktası temelli kurallar, sanal ağınızı hangi tür trafiğin bırakabileceğini sınırlar. Bu “kurallar” kümesidir.
- Giden SNAT desteği: Azure güvenlik duvarı standart katmanlı bir genel IP adresiyle konuşlandırılmıştır. Sanal ağı terk eden tüm trafik, bu adresi kullanarak İnternet’te tanımlanır.
- Azure Monitörü: Tüm olaylar Azure Monitor’deizlenebilir ve bir depolama hesabı, olay merkezi (harici sistemler) veya Log Analytics (OMS) olarak arşivlenebilir.
Azure Güvenlik Duvarı Ne Yapamaz?
Azure Güvenlik Duvarı’nı ilk duyduğum şey NVA’ların yerini alacağını düşündüm. Anlaşılacağı gibi, Azure Firewall bugün önizleme sürümünde ne olduğuna göre, bunu yapmaz. Ancak şu anki önizleme sürümü çok erken ve Microsoft’un yavaş yavaş, bir grup zaten olmayan özellikleri yuvarlamak yerine, doğru bir şekilde almak için Azure Güvenlik Duvarı’nı geliştirdiğini düşünüyorum. Yani, ne yaptığını anlıyorum.
Bugün Azure Güvenlik Duvarı, bir ağı gelen tehditlere karşı korumak için bir çözüm değildir. Gelen trafik için NAT kurallarını ayarlayamazsınız. İç uygulamaları yayınlamak için kurallara veya filtrelere sahip değildir. Bugün, Azure Firewall yalnızca giden trafiği önemsiyor.
Ayrıca, bilinen bir dizi sorunlar var
- Azure Güvenlik Duvarı’nın alt ağındaki ağ güvenlik grupları
- Azure Güvenlik Merkezi’nde tam zamanında VM erişimi
- VNet peering kullanarak hub ve sözlü mimariler desteklenmez
- Azure Güvenlik Duvarı’nın genel IP adresi aracılığıyla TCP / UDP protokolleri SNAT ile desteklenmez
Azure Güvenlik Duvarı erken bir önizleme ve üretim için hazır değil. Ancak, Azure Firewall’un geleceği sizi ilgilendiriyorsa , önizlemeye kaydolmanız , bir test ortamında dağıtmanız ve gelişmesi için geri bildirimlerinizi Microsoft ile paylaşmanız gerekmektedir.
Bu yardımcı oldu mu?
0 / 0