Azure İyi Tasarlanmış Çerçeve incelemesi - Azure Güvenlik Duvarı
Bu makalede Azure Güvenlik Duvarı için mimari öneriler sağlanmaktadır. Rehberlik, mimari mükemmeliyetinin beş yapı taşını temel alır:
- Güvenilirlik
- Güvenlik
- Maliyet iyileştirme
- Operasyonel mükemmellik
- Performans verimliliği
Azure Güvenlik Duvarı hakkında bilgi sahibi olduğunuzu ve özellikleri konusunda bilgi sahibi olduğunuzu varsayıyoruz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Genel Bakış.
Önkoşullar
- Azure İyi Tasarlanmış Çerçeve yapılarını anlamak, yüksek kaliteli, kararlı ve verimli bir bulut mimarisi oluşturmaya yardımcı olabilir. İyi Tasarlanmış Çerçeve gözden geçirme değerlendirmesini kullanarak iş yükünüzü gözden geçirin .
- Bu makalede sağlanan yönergelere göre dikkat edilmesi gereken noktaları gözden geçirmek için bir başvuru mimarisi kullanın. PaaS veri depolarına özel bağlantı ile Ağ sağlamlaştırılmış web uygulamasıyla başlayın ve güvenli bir karma ağ uygulayın.
Güvenilirlik
Azure Güvenlik Duvarı iş yüklerini nasıl güvenilir bir şekilde desteklediğini öğrenmek için aşağıdaki makalelere bakın:
- Azure Güvenlik Duvarı giriş
- Hızlı Başlangıç: Kullanılabilirlik alanlarıyla Azure Güvenlik Duvarı dağıtma
- Sanal WAN merkezinde Azure Güvenlik Duvarı’nı yapılandırma
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken güvenilirlik için tasarım ilkelerini gözden geçirin.
- hub sanal ağlarında veya Azure Sanal WAN hub'larının bir parçası olarak Azure Güvenlik Duvarı dağıtın.
- Kullanılabilirlik Alanları dayanıklılığını kullanma.
- Azure Güvenlik Duvarı İlkesi yapısı oluşturun.
- Bilinen Sorun listesini gözden geçirin.
- Azure Güvenlik Duvarı sistem durumunu izleyin.
Not
Geleneksel Hub & Spoke modeli ile yönetilen güvenli hub'lar Sanal WAN arasında ağ hizmetlerinin kullanılabilirliği konusunda farklılıklar vardır. Örneğin, bir Sanal WAN Hub'ında genel IP Azure Güvenlik Duvarı genel IP ön ekinden alınamaz ve DDoS Koruması etkinleştirilemez. Bir veya diğer modelin seçilmesi, İyi Tasarlanmış Çerçeve'nin beş sütunu arasındaki gereksinimleri dikkate almalıdır.
Öneriler
güvenilirlik için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Azure Güvenlik Duvarı örneklerini dağıtmak ve yönetmek için Azure Güvenlik Duvarı Yöneticisi'ni geleneksel Merkez ve Uçlarla veya Azure Sanal WAN ağ topolojileriyle kullanın. | Trafik idaresi ve koruması için yerel güvenlik hizmetleriyle kolayca merkez-uç ve geçişli mimariler oluşturun. Ağ topolojileri hakkında daha fazla bilgi için Azure Bulut Benimseme Çerçevesi belgelerine bakın. |
| Genel ağ ortamlarında güvenlik duruşunu yönetmek için Azure Güvenlik Duvarı İlkeleri oluşturun. Azure Güvenlik Duvarı tüm örneklerine ilkeler atayın. | Azure Güvenlik Duvarı İlkeleri, merkezi bir temel ilkeyi kaplamak için hiyerarşik bir yapıda düzenlenebilir. Belirli bölgelerin gereksinimlerini karşılamak için ayrıntılı ilkelere izin verin. Rol tabanlı erişim denetimi (RBAC) aracılığıyla artımlı güvenlik duvarı ilkelerini yerel güvenlik ekiplerine devretme. Bazı ayarlar örnek başına özeldir, örneğin DNAT Kuralları ve DNS yapılandırması, ardından birden çok özel ilke gerekebilir. |
| Azure Güvenlik Duvarı Klasik Kuralları mevcut dağıtımlar için Azure Güvenlik Duvarı Yöneticisi İlkelerine geçirin. | Mevcut dağıtımlar için Azure Güvenlik Duvarı kurallarını Azure Güvenlik Duvarı Manager ilkelerine geçirin. Güvenlik duvarlarınızı ve ilkelerinizi merkezi olarak yönetmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Premium'a geçiş. |
| Azure Güvenlik Duvarı Bilinen Sorunlar listesini gözden geçirin. | Azure Güvenlik Duvarı Ürün Grubu, bu konumda bilinen sorunların güncelleştirilmiş bir listesini tutar. Bu liste tasarıma göre davranış, yapım aşamasındaki düzeltmeler, platform sınırlamaları ve olası geçici çözümler veya risk azaltma ile ilgili önemli bilgiler içerir. |
| Azure Güvenlik Duvarı İlkenizin Azure Güvenlik Duvarı sınırlarına ve önerilerine uydığından emin olun. | Kural ve Kural Koleksiyon Grupları sayısı, toplam ilke boyutu, kaynak/hedef hedefler dahil olmak üzere ilke yapısında sınırlar vardır. İlkenizi oluşturmayı ve belgelenen eşiklerin altında kalmayı unutmayın. |
| Daha yüksek hizmet düzeyi sözleşmesi (SLA) için birden çok kullanılabilirlik alanına Azure Güvenlik Duvarı dağıtın. | Azure Güvenlik Duvarı, tek bir kullanılabilirlik alanında dağıtıldığında ve birden çok bölgede dağıtıldığında farklı SLA'lar sağlar. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı için SLA. Tüm Azure SLA'ları hakkında bilgi için bkz . Azure hizmetleri için SLA özeti. |
| Çok bölgeli ortamlarda, bölge başına bir Azure Güvenlik Duvarı örneği dağıtın. | Geleneksel Merkez & Uç mimarileri için bu makalede çok bölgeli ayrıntılar açıklanmıştır. Güvenli sanal hub'lar (Azure Sanal WAN) için Yönlendirme Amacı ve İlkeleri, merkezler arası ve dallar arası iletişimlerin güvenliğini sağlamak için yapılandırılmalıdır. Hatalara ve hataya dayanıklı olacak şekilde tasarlanmış iş yükleri için Azure Güvenlik Duvarı ve Azure örneklerinin bölgesel kaynaklar olarak Sanal Ağ göz önünde bulundurmayı unutmayın. |
| Azure Güvenlik Duvarı Ölçümlerini ve Kaynak Durumu durumunu izleyin. | Aktarım Hızı, Güvenlik Duvarı sistem durumu, SNAT bağlantı noktası kullanımı ve AZFW Gecikme Yoklaması ölçümleri gibi Azure Güvenlik Duvarı sistem durumunun önemli ölçüm göstergesini yakından izleyin. Ayrıca Azure Güvenlik Duvarı artık Azure Kaynak Durumu ile tümleştirildi. Azure Güvenlik Duvarı Kaynak Durumu denetimiyle artık Azure Güvenlik Duvarı sistem durumunu görüntüleyebilir ve Azure Güvenlik Duvarı kaynağınızı etkileyebilecek hizmet sorunlarını giderebilirsiniz. |
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
Güvenlik
Güvenlik, her mimarinin en önemli yönlerinden biridir. Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için tehdit koruması sağlayan akıllı bir güvenlik duvarı güvenlik hizmetidir.
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken güvenlik için tasarım ilkelerini gözden geçirin.
- Zorlamalı Tünele ihtiyacınız olup olmadığını belirleyin.
- İlkeler için en az ayrıcalık erişim ölçütlerini temel alan kurallar oluşturun.
- Tehdit Analizinden yararlanın.
- Azure Güvenlik Duvarı DNS ara sunucusunu etkinleştirin.
- ağ trafiğini Azure Güvenlik Duvarı üzerinden yönlendirin.
- Hizmet olarak üçüncü taraf güvenlik (SECaaS) sağlayıcıları kullanmak isteyip istemediğinizi belirleyin.
- DDoS ile Azure Güvenlik Duvarı genel IP adreslerinizi koruyun.
Öneriler
Güvenlik için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| İnternet'e bağlı tüm trafiği doğrudan İnternet'e gitmek yerine belirlenen bir sonraki atlamaya yönlendirmek için gerekiyorsa, Azure Güvenlik Duvarı zorlamalı tünel modunda yapılandırın (Azure Sanal WAN için geçerli değildir). | Azure Güvenlik Duvarı internete bağlı olmalıdır. AzureFirewallSubnet'iniz Sınır Ağ Geçidi Protokolü aracılığıyla şirket içi ağınıza yönelik varsayılan bir yol öğrenirse, Azure Güvenlik Duvarı zorlamalı tünel modunda yapılandırmanız gerekir. Zorlamalı tünel özelliğini kullanarak, Azure Güvenlik Duvarı Yönetimi alt ağı için başka bir /26 adres alanı gerekir. AzureFirewallManagementSubnet olarak adlandırmanız gerekir. Bu zorlamalı tünel modunda yeniden yapılandırılabilen mevcut bir Azure Güvenlik Duvarı örneğiyse, 0.0.0.0/0 yoluna sahip bir UDR oluşturun. NextHopType değerini İnternet olarak ayarlayın. İnternet bağlantısını korumak için AzureFirewallSubnet ile ilişkilendirin. |
| Zorlamalı tünel modunda Azure Güvenlik Duvarı yapılandırdığınızda (Azure Sanal WAN için geçerli değildir) tam özel veri düzlemi dağıtmak için genel IP adresini Yok olarak ayarlayın. | Yeni bir Azure Güvenlik Duvarı örneği dağıttığınızda, zorlamalı tünel modunu etkinleştirirseniz, tamamen özel bir veri düzlemi dağıtmak için genel IP adresini Yok olarak ayarlayabilirsiniz. Ancak, yönetim düzlemi hala yalnızca yönetim amacıyla genel IP gerektirir. Sanal ve şirket içi ağlardan gelen iç trafik bu genel IP'yi kullanmaz. Zorlamalı tünel oluşturma hakkında daha fazla bilgi için bkz. zorlamalı tünel Azure Güvenlik Duvarı. |
| Güvenlik Duvarı İlkeleri için en az ayrıcalık erişim ölçütlerine göre kurallar oluşturun. | Azure Güvenlik Duvarı İlkeleri, merkezi bir temel ilkeyi kaplamak için hiyerarşik bir yapıda düzenlenebilir. Belirli bölgelerin gereksinimlerini karşılamak için ayrıntılı ilkelere izin verin. Her ilke, belirli bir öncelik, eylem ve işlem sırasına sahip farklı DNAT, Ağ ve Uygulama kuralları kümeleri içerebilir. Kurallarınızı en az ayrıcalık erişimi Sıfır Güven ilkesine göre oluşturun. Kuralların nasıl işlendiği bu makalede açıklanmıştır. |
| Uyarı ve reddetme modundaki Azure Güvenlik Duvarı tehdit bilgilerini etkinleştirin. | Bilinmeyen IP adresleri ve etki alanlarından gelen veya giden trafiği uyarmak ve reddetmek için güvenlik duvarınız için tehdit bilgileri tabanlı filtrelemeyi etkinleştirebilirsiniz. IP adresleri ve etki alanları Microsoft Tehdit Bilgileri Akışı'ndan alınır. Akıllı Güvenlik Grafı, Microsoft tehdit bilgilerini destekler ve Bulut için Microsoft Defender dahil olmak üzere birden çok hizmet tarafından kullanılır. |
| Uyarı veya Uyarı ve reddetme modunda IDPS'yi etkinleştirin. | IDPS, en güçlü Azure Güvenlik Duvarı (Premium) güvenlik özelliklerinden biridir ve etkinleştirilmesi gerekir. Güvenlik ve uygulama gereksinimlerine göre ve performans etkisini göz önünde bulundurarak (aşağıdaki Maliyet bölümüne bakın), Uyarı veya Uyarı ve reddetme modları seçilebilir. |
| Azure Güvenlik Duvarı (DNS) proxy yapılandırmasını etkinleştirin. | Bu özelliğin etkinleştirilmesi, sanal ağlardaki istemcileri dns sunucusu olarak Azure Güvenlik Duvarı gösterir. Doğrudan erişilmeyecek ve kullanıma sunulmayacak iç DNS altyapısını korur. Azure Güvenlik Duvarı, DNS sorgularını iletmek için kullanılacak özel DNS kullanacak şekilde de yapılandırılmalıdır. |
| Azure Güvenlik Duvarı üzerinden trafiği zorlamak için kullanıcı tanımlı yolları (UDR) yapılandırın. | Geleneksel Hub & Spokes mimarisinde, , Spoke-to-Internetve Spoke-to-Hybrid bağlantısı için Azure Güvenlik Duvarı üzerinden trafiği zorlamak için Spoke-to-SpokeUDR'leri yapılandırın. Bunun yerine Azure Sanal WAN'da Yönlendirme Amacı ve İlkeleri'ni özel ve/veya İnternet trafiğini hub ile tümleştirilmiş Azure Güvenlik Duvarı örneği üzerinden yeniden yönlendirecek şekilde yapılandırın. |
| Doğrudan Sanal Makineler bağlı Genel IP adreslerinin kullanımını kısıtlama | Trafiğin güvenlik duvarını atlamasını önlemek için Genel IP adreslerinin VM ağ arabirimleriyle ilişkisi kısıtlanmalıdır. Azure Bulut Benimseme Çerçevesi (CAF) modelinde CORP Yönetim Grubu'na belirli bir Azure İlkesi atanır. |
| UDR uygulamak mümkün değilse ve yalnızca web trafiği yeniden yönlendirmesi gerekiyorsa, Azure Güvenlik Duvarı Açık Ara Sunucu olarak kullanmayı göz önünde bulundurun | Giden yolda açık ara sunucu özelliği etkinleştirildiğinde, gönderen web uygulamasında (web tarayıcısı gibi) ara sunucu olarak yapılandırılmış Azure Güvenlik Duvarı bir ara sunucu ayarı yapılandırabilirsiniz. Sonuç olarak, web trafiği güvenlik duvarının özel IP adresine ulaşır ve bu nedenle UDR kullanmadan doğrudan güvenlik duvarından çıkar. Bu özellik, mevcut ağ yollarını değiştirmeden birden çok güvenlik duvarı kullanımını da kolaylaştırır. |
| Giden bağlantıları korumak için bu çözümleri kullanmak istiyorsanız Güvenlik Duvarı Yöneticisi'nin içinde desteklenen üçüncü taraf hizmet olarak yazılım (SaaS) güvenlik sağlayıcılarını yapılandırın. | Kullanıcılarınızın İnternet erişimini korumak için tanıdık, en iyi, üçüncü taraf SECaaS tekliflerinizi kullanabilirsiniz. Bu senaryo, sağlayıcının altyapısına bağlanmak için ipsec tüneli kullandığından Hub'da S2S VPN Gateway ile Azure Sanal WAN gerektirir. SECaaS sağlayıcıları ek lisans ücretleri alabilir ve IPSec bağlantılarında aktarım hızını sınırlayabilir. ZScaler Bulut Bağlayıcısı gibi alternatif çözümler mevcuttur ve daha uygun olabilir. |
| Ağ kurallarında Tam Etki Alanı Adı (FQDN) filtrelemesini kullanın. | Azure Güvenlik Duvarı ve güvenlik duvarı ilkelerinde DNS çözümlemesi temelinde FQDN kullanabilirsiniz. Bu özellik, giden trafiği herhangi bir TCP/UDP protokolüyle (NTP, SSH, RDP ve daha fazlası dahil) filtrelemenize olanak tanır. Ağ kurallarınızda FQDN'leri kullanmak için Azure Güvenlik Duvarı DNS Proxy yapılandırmasını etkinleştirmeniz gerekir. Nasıl çalıştığını öğrenmek için bkz. Ağ kurallarında FQDN filtreleme Azure Güvenlik Duvarı. |
| Belirli Microsoft hizmetleri seçmeli erişimi etkinleştirmek için Ağ Kuralları'ndaki Hizmet Etiketlerini kullanın. | Hizmet etiketi, güvenlik kuralı oluşturma sırasındaki karmaşıklığı en aza indirmeye yardımcı olmak için bir IP adresi ön eki grubunu temsil eder. Ağ Kuralları'nda Hizmet Etiketlerini kullanarak, çok çeşitli IP adresleri açmadan Azure, Dynamics ve Office 365'teki belirli hizmetlere giden erişimi etkinleştirmek mümkündür. Azure, bu etiketler ve her hizmet tarafından kullanılan temel IP adresleri arasındaki eşlemeyi otomatik olarak korur. Azure Güvenlik Duvarı kullanılabilen Hizmet Etiketlerinin listesi burada listelenmiştir: Az Güvenlik Duvarı Hizmet Etiketleri. |
| Belirli Microsoft hizmetleri seçmeli erişimi etkinleştirmek için Uygulama Kuralları'nda FQDN Etiketlerini kullanın. | FQDN etiketi, iyi bilinen Microsoft hizmetleri ilişkili tam etki alanı adları (FQDN) grubunu temsil eder. Bazı belirli Azure hizmetleri, Office 365, Windows 365 ve Intune için güvenlik duvarınız üzerinden gerekli giden ağ trafiğine izin vermek için uygulama kurallarında bir FQDN etiketi kullanabilirsiniz. |
| DDoS koruma planı oluşturmak ve hub sanal ağınızla ilişkilendirmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanın (Azure Sanal WAN için geçerli değildir). | DDoS koruma planı, güvenlik duvarınızı DDoS saldırılarına karşı korumak için gelişmiş risk azaltma özellikleri sağlar. Azure Güvenlik Duvarı Yöneticisi, güvenlik duvarı altyapınızı ve DDoS koruma planlarınızı oluşturmaya yönelik tümleşik bir araçtır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Manager kullanarak Azure DDoS Koruma Planı yapılandırma. |
| TLS İncelemesi için sertifikalar oluşturmak için Kurumsal PKI kullanın. | Azure Güvenlik Duvarı Premium ile TLS Denetleme özelliği kullanılıyorsa, üretim ortamı için bir iç Kurumsal Sertifika Yetkilisi'ni (CA) kullanmanız önerilir. Otomatik olarak imzalanan sertifikalar yalnızca test/PoC amacıyla kullanılmalıdır. |
| Azure Güvenlik Duvarı ve Application Gateway için Sıfır Güven yapılandırma kılavuzunu gözden geçirin | Güvenlik gereksinimleriniz web uygulamaları (inceleme ve şifreleme) için Sıfır Güven yaklaşımını uygulamayı gerekli kılıyorsa, bu kılavuzu izlemeniz önerilir. Bu belgede, Azure Güvenlik Duvarı ve Application Gateway'i birlikte tümleştirme, hem geleneksel Merkez & Uç hem de Sanal WAN senaryolarında açıklanacaktır. |
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
İlke tanımları
Ağ arabirimlerinde genel IP'ler olmamalıdır. Bu ilke, herhangi bir genel IP ile yapılandırılan ağ arabirimlerini reddeder. Genel IP adresleri İnternet kaynaklarından Azure kaynaklarına gelen iletişime ve Azure kaynaklarından İnternet'e giden iletişime olanak sağlar.
Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı üzerinden yönlendirilmelidir. Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarı ile alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun.
Azure ağıyla ilgili tüm yerleşik ilke tanımları Yerleşik ilkeler - Ağ'da listelenir.
Maliyet iyileştirme
Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır.
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken, maliyet iyileştirme için tasarım ilkelerini gözden geçirin.
- Dağıtılacak Azure Güvenlik Duvarı SKU'yu seçin.
- Bazı örneklerin kalıcı 7/24 ayırma gerekip gerekmediğini belirleyin.
- güvenlik duvarı kullanımını iş yükleri arasında nerede iyileştirebileceğinizi belirleyin.
- Uygun maliyetliliği belirlemek için güvenlik duvarı örneklerinin kullanımını izleyin ve iyileştirin.
- Gerekli genel IP adreslerinin sayısını ve kullanılan İlkeleri gözden geçirin ve iyileştirin.
- Günlük gereksinimlerini gözden geçirin, maliyet tahmini ve zaman üzerinde denetim sağlayın.
Öneriler
Maliyet iyileştirme için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Uygun Azure Güvenlik Duvarı SKU'yu dağıtın. | Azure Güvenlik Duvarı üç farklı SKU'da dağıtılabilir: Temel, Standart ve Premium. Azure Güvenlik Duvarı Premium, yüksek oranda hassas uygulamaların (ödeme işleme gibi) güvenliğini sağlamak için önerilir. Azure Güvenlik Duvarı Standard, Katman 3–Katman 7 güvenlik duvarı arayan müşteriler için önerilir ve 30 Gb/sn'ye kadar en yüksek trafik dönemlerini işlemek için otomatik ölçeklendirmeye ihtiyaç duyar. Azure Güvenlik Duvarı Basic, aktarım hızı 250 Mb/sn olan SMB müşterileri için önerilir. Gerekirse, standart ve Premium arasında aşağıda belirtildiği gibi düşürme veya yükseltme yapılabilir. Daha fazla bilgi için bkz. gereksinimlerinizi karşılamak için doğru Azure Güvenlik Duvarı SKU'yu seçme. |
| 7/24 çalışması gerekmeyen dağıtımları Azure Güvenlik Duvarı durdurun. | Yalnızca iş saatlerinde kullanılan geliştirme veya test ortamlarınız olabilir. Daha fazla bilgi için bkz. serbest bırakma ve Azure Güvenlik Duvarı ayırma. |
| Birden çok iş yükü ve Azure Sanal Ağ arasında aynı Azure Güvenlik Duvarı örneğini paylaşın. | Merkez sanal ağında veya Sanal WAN güvenli hub'da merkezi bir Azure Güvenlik Duvarı örneği kullanabilir ve aynı güvenlik duvarını aynı bölgeden aynı hub'a bağlı birçok uç sanal ağında paylaşabilirsiniz. Merkez-uç topolojisinin bir parçası olarak beklenmeyen bölgeler arası trafik olmadığından emin olun. |
| Azure Güvenlik Duvarı tarafından işlenen trafiği düzenli olarak gözden geçirin ve kaynak iş yükü iyileştirmelerini arayın | Üst Akışlar günlüğü (sektörde Yağ Akışları olarak bilinir), güvenlik duvarı aracılığıyla en yüksek aktarım hızına katkıda bulunan en iyi bağlantıları gösterir. Azure Güvenlik Duvarı tarafından işlenen trafiği düzenli olarak gözden geçirmenizi ve güvenlik duvarından geçen trafik miktarını azaltmak için olası iyileştirmeleri aramanızı öneririz. |
| Yetersiz kullanılan Azure Güvenlik Duvarı örneklerini gözden geçirin. Kullanılmayan Azure Güvenlik Duvarı dağıtımlarını tanımlama ve silme. | Kullanılmayan Azure Güvenlik Duvarı dağıtımlarını belirlemek için güvenlik duvarının özel IP'sine işaret eden alt ağlarla ilişkili izleme ölçümlerini ve UDR'leri analiz ederek başlayın. bu bilgileri, örneğin Azure Güvenlik Duvarı örneğinizde NAT, Ağ ve Uygulama için kurallar (klasik) varsa veya DNS Ara Sunucusu ayarı Devre Dışı olarak yapılandırıldıysa ve ortamınız ve dağıtımlarınızla ilgili iç belgelerle birlikte diğer doğrulamalarla birleştirin. Zaman içinde uygun maliyetli dağıtımları algılayabilirsiniz. Günlükleri ve ölçümleri izleme hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme ve SNAT bağlantı noktası kullanımı. |
| operasyonel maliyetleri azaltmak, verimliliği artırmak ve yönetim ek yükünü azaltmak için Azure Güvenlik Duvarı Yöneticisi'ni ve İlkelerini kullanın. | Güvenlik Duvarı Yöneticisi ilkelerinizi, ilişkilendirmelerinizi ve devralma işlemlerinizi dikkatle gözden geçirin. İlkeler güvenlik duvarı ilişkilendirmelerine göre faturalandırılır. Sıfır veya bir güvenlik duvarı ilişkilendirmesine sahip bir ilke ücretsizdir. Birden çok güvenlik duvarı ilişkilendirmesi olan bir ilke sabit bir oranda faturalandırılır. Daha fazla bilgi için bkz. Fiyatlandırma - Azure Güvenlik Duvarı Yöneticisi. |
| Kullanılmayan genel IP adreslerini silin. | İlişkili tüm genel IP adreslerinin kullanımda olup olmadığını doğrulayın. Kullanımda değilse, ilişkilendirmelerini kaldırın ve silin. IP adreslerini kaldırmadan önce SNAT bağlantı noktası kullanımını değerlendirin. Yalnızca güvenlik duvarınızın ihtiyaç duyduğu genel IP sayısını kullanırsınız. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme ve SNAT bağlantı noktası kullanımı. |
| Günlük gereksinimlerini gözden geçirin. | Azure Güvenlik Duvarı, Gördüğü tüm trafiğin meta verilerini Event Hubs aracılığıyla Log Analytics Çalışma Alanları, Depolama veya üçüncü taraf çözümlerine kapsamlı bir şekilde günlüğe kaydetme özelliğine sahiptir. Ancak, tüm günlük çözümleri veri işleme ve depolama maliyetlerine neden olur. Çok büyük hacimlerde bu maliyetler önemli olabilir, Log Analytics'e uygun maliyetli bir yaklaşım ve alternatif olarak dikkate alınmalı ve maliyet tahmini yapılmalıdır. Tüm günlük kategorileri için trafik meta verilerini günlüğe kaydetmek ve gerekirse Tanılama Ayarları'nda değişiklik yapmak gerekip gerekmediğini göz önünde bulundurun. |
Daha fazla öneri için bkz . Maliyet İyileştirme için tasarım gözden geçirmesi denetim listesi.
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
Operasyonel mükemmellik
İzleme ve tanılama çok önemlidir. Sorunları hızla gidermek ve düzeltmek için performans istatistiklerini ve ölçümlerini ölçebilirsiniz.
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken operasyonel mükemmellik için tasarım ilkelerini gözden geçirin.
- Azure Güvenlik Duvarı yapılandırmasının ve İlkelerinin envanterini ve yedeklemesini koruyun.
- Güvenlik duvarı izleme ve sorun giderme için tanılama günlüklerini kullanın.
- Azure Güvenlik Duvarı İzleme çalışma kitabından yararlanın.
- İlke içgörülerinizi ve analizlerinizi düzenli olarak gözden geçirin.
- Azure Güvenlik Duvarı Bulut için Microsoft Defender ve Microsoft Sentinel ile tümleştirin.
Öneriler
operasyonel mükemmellik için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu keşfedin.
| Öneri | Avantaj |
|---|---|
| sanal ağ içi trafik denetimi için Azure Güvenlik Duvarı kullanmayın. | Azure Güvenlik Duvarı sanal ağlar arasında, sanal ağlar ve şirket içi ağlar arasındaki trafiği, İnternet'e giden trafiği ve gelen HTTP/sn olmayan trafiği denetlemek için kullanılmalıdır. Sanal ağ içi trafik denetimi için Ağ Güvenlik Grupları'nın kullanılması önerilir. |
| Azure İlkesi yapıtlarının düzenli yedeklemelerini koruyun. | Azure Güvenlik Duvarı ve tüm bağımlılıkları korumak için Kod Olarak Altyapı (IaC) yaklaşımı kullanılıyorsa, Azure Güvenlik Duvarı İlkelerinin yedeklenmesi ve sürümü oluşturulmuş olmalıdır. Aksi takdirde, otomatikleştirmek ve etkili bir çözüm sağlamak için dış Logic App'i temel alan bir yardımcı mekanizma dağıtılabilir. |
| Azure Güvenlik Duvarı için Tanılama Günlüklerini etkinleştirin. | Tanılama Günlükleri, Azure Güvenlik Duvarı için birçok izleme aracı ve stratejisi için önemli bir bileşendir ve etkinleştirilmesi gerekir. Güvenlik duvarı günlüklerini veya çalışma kitaplarını kullanarak Azure Güvenlik Duvarı izleyebilirsiniz. Ayrıca, Azure Güvenlik Duvarı kaynaklarda denetim işlemleri için etkinlik günlüklerini de kullanabilirsiniz. |
| Yapılandırılmış Güvenlik Duvarı Günlükleri biçimini kullanın. | Yapılandırılmış Güvenlik Duvarı Günlükleri , belirli bir yeni biçimde düzenlenmiş bir günlük verileri türüdür. Günlük verilerini aramayı, filtrelemeyi ve çözümlemeyi kolaylaştıracak şekilde yapılandırmak için önceden tanımlanmış bir şema kullanır. En son izleme araçları bu tür günlükleri temel alır, bu nedenle genellikle bir ön koşuldur. Önceki Tanılama Günlükleri biçimini yalnızca ön koşula sahip mevcut bir araç varsa kullanın. Her iki günlük biçimlerini de aynı anda etkinleştirmeyin. |
| Yerleşik Azure Güvenlik Duvarı İzleme Çalışma Kitabı'nı kullanın. | Azure Güvenlik Duvarı portal deneyimi artık bölüm kullanıcı arabirimini izleme, ayrı bir yükleme artık gerekli değildir. Azure Güvenlik Duvarı Çalışma Kitabı ile Azure Güvenlik Duvarı olaylardan değerli içgörüler ayıklayabilir, uygulama ve ağ kurallarınızı inceleyebilir ve URL'ler, bağlantı noktaları ve adresler arasındaki güvenlik duvarı etkinlikleriyle ilgili istatistikleri inceleyebilirsiniz. |
| Ana ölçümleri izleyin ve Azure Güvenlik Duvarı kapasitesinin kullanımına ilişkin göstergeler için uyarılar oluşturun. | En az Aktarım Hızı, Güvenlik Duvarı sistem durumu, SNAT bağlantı noktası kullanımı ve AZFW Gecikme Yoklaması ölçümlerini izlemek için uyarılar oluşturulmalıdır. Günlükleri ve ölçümleri izleme hakkında bilgi için bkz. günlükleri ve ölçümleri izleme Azure Güvenlik Duvarı. |
| Bulut için Microsoft Defender ve Microsoft Sentinel ile Azure Güvenlik Duvarı tümleştirmeyi yapılandırın. | Bu araçlar ortamda kullanılabiliyorsa, Bulut için Microsoft Defender ve Microsoft Sentinel çözümleriyle tümleştirmeden yararlanmanızı öneririz. Bulut için Microsoft Defender tümleştirmesi sayesinde, azure'daki farklı bölgelere yayılmış tüm sanal ağlar ve Sanal Hub'lar arasında Azure Ağ Güvenliği dahil olmak üzere ağ altyapısının ve ağ güvenliğinin tüm durumunu tek bir yerde görselleştirebilirsiniz. Microsoft Sentinel ile tümleştirme, tehdit algılama ve önleme özellikleri sağlar. |
| Olası sorunları belirlemek için düzenli olarak İlke Analizi panosunu gözden geçirin. | İlke Analizi, Azure Güvenlik Duvarı ilkelerinizin etkisine ilişkin içgörüler sağlayan yeni bir özelliktir. İlkelerinizdeki olası sorunları (ilke sınırlarına ulaşma, düşük kullanım kuralları, yedekli kurallar, çok genel kurallar, IP Grupları kullanım önerisi) belirlemenize yardımcı olur ve güvenlik duruşunuzu ve kural işleme performansınızı iyileştirmeye yönelik öneriler sağlar. |
| Azure Güvenlik Duvarı günlüklerini kullanarak hızlı analiz ve sorun gidermeye olanak tanımak için KQL (Kusto Sorgu Dili) sorguları hakkında bilgi sahibi olun. | Azure Güvenlik Duvarı için örnek sorgular sağlanır. Bunlar, güvenlik duvarınızın içinde neler olduğunu hızla belirlemenize ve hangi kuralın tetiklendiğine veya hangi kuralın isteğe izin vermesine/engellemesine izin verileceğini denetlemenize olanak tanır. |
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
Performans verimliliği
Performans verimliliği, iş yükünüzün kullanıcılar tarafından talep edilen talepleri verimli bir şekilde karşılayacak şekilde ölçeklendirilebilmesidir.
Tasarım denetim listesi
Azure Güvenlik Duvarı için tasarım seçimleri yaparken performans verimliliği için tasarım ilkelerini gözden geçirin.
- Güvenlik duvarı kurallarını düzenli olarak gözden geçirin ve iyileştirin.
- IP aralıklarını ve URL listesini özetlemek için ilke gereksinimlerini ve fırsatlarını gözden geçirin.
- SNAT bağlantı noktası gereksinimlerinizi değerlendirin.
- Ortamınızda otomatik ölçeklendirme performansını test etmek için yük testlerini planlayın.
- Gerekli değilse tanılama araçlarını ve günlüğe kaydetmeyi etkinleştirmeyin.
Öneriler
Performans verimliliği için Azure Güvenlik Duvarı yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Güvenlik Duvarı İlkeleri için olası iyileştirmeleri belirlemek için İlke Analizi panosunu kullanın. | İlke Analizi, Azure Güvenlik Duvarı ilkelerinizin etkisine ilişkin içgörüler sağlayan yeni bir özelliktir. İlkelerinizdeki olası sorunları (ilke sınırlarına ulaşma, düşük kullanım kuralları, yedekli kurallar, çok genel kurallar, IP Grupları kullanım önerisi) belirlemenize yardımcı olur ve güvenlik duruşunuzu ve kural işleme performansınızı iyileştirmeye yönelik öneriler sağlar. |
| Büyük kural kümelerine sahip Güvenlik Duvarı İlkeleri için, gecikme süresini iyileştirmek için en sık kullanılan kuralları grubun erken saatlerine yerleştirin. | Kurallar kural türü, devralma, Kural Koleksiyonu Grubu önceliği ve Kural Koleksiyonu önceliğine göre işlenir. En yüksek öncelikli Kural Koleksiyon Grupları önce işlenir. Bir kural koleksiyonu grubu içinde, önce en yüksek önceliğe sahip Kural Koleksiyonları işlenir. En çok kullanılan kuralların kural kümesine daha yükseğe yerleştirilmesi işlem gecikme süresini iyileştirir. Kuralların nasıl işlendiği ve değerlendirildiğinde bu makalede açıklanmıştır. |
| IP adresi aralıklarını özetlemek için IP Gruplarını kullanın. | IP aralıklarını özetlemek için IP Gruplarını kullanabilirsiniz, böylece benzersiz kaynak/hedef ağ kuralları sınırını aşmazsınız. Her kural için Azure, bağlantı noktalarını IP adresleriyle çarpar. Bu nedenle, dört IP adresi aralığı ve beş bağlantı noktası içeren bir kuralınız varsa 20 ağ kuralı kullanmanız gerekir. IP Grubu, ağ kuralları oluşturmak amacıyla tek bir adres olarak değerlendirilir. |
| Toplu olarak giden erişime izin vermek veya erişimi reddetmek için Web Kategorilerini göz önünde bulundurun. | Genel İnternet sitelerinin uzun bir listesini açıkça oluşturmak ve korumak yerine, Azure Güvenlik Duvarı Web Kategorilerinin kullanımını göz önünde bulundurun. Bu özellik web içeriğini dinamik olarak kategorilere ayırır ve kompakt Uygulama Kuralları oluşturulmasına izin verir. |
| Uyarı ve reddetme modunda IDPS'nin performans etkisini değerlendirin. | Azure Güvenlik Duvarı IDPS modunda çalışması gerekiyorsa Uyarı ve reddetme, güvenlik duvarı performansında belirtildiği gibi performans etkisini dikkatle göz önünde bulundurun. |
| Olası SNAT bağlantı noktası tükenme sorununu değerlendirin. | Azure Güvenlik Duvarı şu anda arka uç Sanal Makine Ölçek Kümesi örneği başına Genel IP adresi başına 2496 bağlantı noktasını destekler. Varsayılan olarak iki Sanal Makine Ölçek Kümesi örneği vardır. Bu nedenle, akış hedef IP'si, hedef bağlantı noktası ve protokol (TCP veya UDP) başına 4992 bağlantı noktası vardır. Güvenlik duvarı en fazla 20 örneğe kadar ölçeklendirilir. SNAT tükenmesine duyarlı dağıtımlar için en az beş genel IP adresiyle Azure Güvenlik Duvarı dağıtımları yapılandırarak sınırları aşabilirsiniz. |
| Herhangi bir performans testi öncesinde Azure Güvenlik Duvarı düzgün bir şekilde ısın. | Teste 20 dakika kala yük testlerinizin parçası olmayan ilk trafiği oluşturun. Ölçeği artırma ve ölçeği azaltma olaylarını yakalamak için tanılama ayarlarını kullanın. İlk trafiği oluşturmak için Azure Load Testing hizmetini kullanabilirsiniz. Azure Güvenlik Duvarı örneğinin örneklerinin ölçeğini en yüksek düzeye kadar artırmasına izin verir. |
| /26 adres alanına sahip bir Azure Güvenlik Duvarı alt ağı (AzureFirewallSubnet) yapılandırın. | Azure Güvenlik Duvarı, sanal ağınızdaki ayrılmış bir dağıtımdır. Sanal ağınızda, Azure Güvenlik Duvarı örneği için ayrılmış bir alt ağ gerekir. Azure Güvenlik Duvarı ölçeklendirildikçe daha fazla kapasite sağlar. Alt ağları için /26 adres alanı, güvenlik duvarının ölçeklendirmeye uyum sağlamak için yeterli IP adresine sahip olmasını sağlar. Azure Güvenlik Duvarı /26'dan büyük bir alt ağa gerek yoktur. Azure Güvenlik Duvarı alt ağ adı AzureFirewallSubnet olmalıdır. |
| Gerekli değilse gelişmiş günlüğü etkinleştirme | Azure Güvenlik Duvarı, her zaman etkin tutulması pahalı olabilecek bazı gelişmiş günlüğe kaydetme özellikleri sağlar. Bunun yerine, yalnızca sorun giderme amacıyla kullanılmalı ve süresi sınırlı olmalı, ardından artık gerekli olmadığında devre dışı bırakılmalıdır. Örneğin, En önemli akışlar ve Akış izleme günlükleri pahalıdır, Azure Güvenlik Duvarı altyapısında aşırı CPU ve depolama kullanımına neden olabilir. |
Azure Danışmanı, iş açısından kritik uygulamalarınızın sürekliliğini sağlamanıza ve geliştirmenize yardımcı olur. Azure Danışmanı önerilerini gözden geçirin.
Azure Danışmanı önerileri
Azure Danışmanı , Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri izlemenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır. Henüz belirli Azure Güvenlik Duvarı Danışman önerisi yok. Güvenilirlik, güvenlik, maliyet verimliliği, performans ve operasyonel mükemmelliğin geliştirilmesine yardımcı olmak için bazı genel öneriler uygulanabilir.
- Azure sorunları sizi etkilediğinde bildirim almak için Azure Hizmet Durumu uyarıları oluşturma
- Azure kaynakları genelinde trafik desenleriyle ilgili içgörüleri görüntülemek için Trafik Analizi'ne olanak sağlama
- ağ kaynaklarınızı Bulut için Microsoft Defender ile koruma
Ek kaynaklar
- Azure Güvenlik Duvarı belgeleri
- Azure Güvenlik Duvarı Yöneticisi nedir?
- Hizmet sınırlarını, kotaları ve kısıtlamaları Azure Güvenlik Duvarı
- Azure Güvenlik Duvarı için Azure güvenlik temeli
Azure Mimari Merkezi kılavuzu
- Azure Güvenlik Duvarı mimarisine genel bakış
- Azure Kubernetes Service (AKS) kümesini korumaya yardımcı olmak için Azure Güvenlik Duvarı kullanma
- Azure Sanal Masaüstü (AVD) dağıtımlarını korumak için Azure Güvenlik Duvarı kullanma
- Office 365'i korumak için Azure Güvenlik Duvarı kullanma
- Azure'da merkez-uç ağ topolojisi
- Azure Güvenlik Duvarı ve Application Gateway ile web uygulamaları için sıfır güven ağı
- Güvenli bir karma ağ uygulama
- PaaS veri depolarına özel bağlantı ile ağ sağlamlaştırılmış web uygulaması
Sonraki adım
Nasıl çalıştığını görmek için bir Azure Güvenlik Duvarı örneği dağıtın: