Ağ güvenlik grupları

Bir Azure sanal ağındaki Azure kaynakları arasındaki trafiği filtrelemek için bir Azure ağ güvenlik grubu kullanabilirsiniz. Ağ güvenlik grupları, farklı Azure kaynaklarına gelen ya da bu kaynaklardan dışarı giden ağ trafiğine izin veren veya bu trafiği reddeden güvenlik kuralları içerir. Her kural için kaynak, hedef, bağlantı noktası ve protokol belirtebilirsiniz.

Bu makalede bir ağ güvenlik grubu kuralının özellikleri, uygulanan varsayılan güvenlik kuralları ve artırılmış güvenlik kuralı oluşturmak için değiştirebileceğiniz kural özellikleri açıklanır.

Güvenlik kuralları

Ağ güvenlik grubu, Azure aboneliği sınırları içinde istenen sayıda kural içerir. Her bir kural aşağıdaki özellikleri belirtir:

Özellik Açıklama
Veri Akışı Adı Ağ güvenlik grubu içinde benzersiz bir ad. Ad en çok 80 karakter uzunluğunda olabilir. Bir sözcük karakteriyle başlamalı ve bir sözcük karakteriyle veya '_' ile bitmelidir. Ad sözcük karakterleri veya '.', '-', '_' içerebilir.
Öncelik 100 ile 4096 arasında bir rakam. Kurallar öncelik sırasına göre işleme alınır ve düşük rakamlı kurallar daha yüksek önceliğe sahip olduğundan yüksek rakamlı kurallardan önce uygulanır. Trafik bir kuralla eşleştiğinde işlem durur. Sonuç olarak, daha yüksek önceliğe sahip kurallarla aynı özniteliklere sahip düşük önceliklere (daha yüksek sayılara) sahip olan tüm kurallar işlenmez.
Özel kuralların her zaman önce işlenmesini sağlamak için Azure varsayılan güvenlik kurallarına en düşük önceliğe sahip en yüksek sayı verilir.
Kaynak veya hedef Herhangi biri veya tek bir IP adresi, sınıfsız etki alanı içi yönlendirme (CIDR) bloğu (örneğin, 10.0.0.0/24), hizmet etiketi veya uygulama güvenlik grubu. Bir Azure kaynağı için adres belirtirken kaynağa atanmış olan özel IP adresini belirtmeniz gerekir. Ağ güvenlik grupları, Azure gelen trafik için genel IP adresini özel IP adresine çevirdikten sonra ve giden trafik için özel IP adresini genel IP adreslerine çevirmeden önce işleme alınır. Bir aralık, hizmet etiketi veya uygulama güvenlik grubu belirtirken daha az güvenlik kuralı gerekir. Bir kuralda birden çok ip adresi ve aralığı (birden çok hizmet etiketi veya uygulama grubu belirtemezsiniz) belirtebilme özelliği artırılmış güvenlik kuralları olarak adlandırılır. Genişletilmiş güvenlik kuralları yalnızca Resource Manager dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında oluşturulabilir. Klasik dağıtım modeliyle oluşturulan ağ güvenlik gruplarında birden çok IP adresi ve IP adresi aralığı belirtemezsiniz.
Kaynak 10.0.1.0/24 alt ağını (VM1'in bulunduğu yer) ve hedef 10.0.2.0/24 alt ağını (VM2'nin bulunduğu yer) gösteriyorsa, bu NSG'nin amacının VM2 için ağ trafiğini filtrelemek olduğunu ve NSG'nin VM2'nin ağ arabirimiyle ilişkili olduğunu gösterir.
Protokol TCP, UDP, ICMP, ESP, AH veya Any. ESP ve AH protokolleri şu anda Azure portalı üzerinden kullanılamaz, ancak ARM şablonları aracılığıyla kullanılabilir.
Yön Kuralın gelen veya giden trafiğe uygulanma seçeneği.
Bağlantı noktası aralığı Tek bir bağlantı noktası veya aralık belirtebilirsiniz. Örneğin 80 veya 10000-10005 değerini kullanabilirsiniz. Aralık belirterek oluşturmanız gereken güvenlik kuralı sayısını azaltabilirsiniz. Genişletilmiş güvenlik kuralları yalnızca Resource Manager dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında oluşturulabilir. Klasik dağıtım modeli aracılığıyla oluşturulan ağ güvenlik gruplarında aynı güvenlik kuralında birden çok bağlantı noktası veya bağlantı noktası aralığı belirtemezsiniz.
Eylem İzin ver veya reddet

Güvenlik kuralları, beş tanımlama grubu (kaynak, kaynak bağlantı noktası, hedef, hedef bağlantı noktası ve protokol) bilgilerine göre değerlendirilir ve uygulanır. Aynı öncelik ve yönde iki güvenlik kuralı oluşturamazsınız. Var olan bağlantılar için bir akış kaydı oluşturulur. Akış kaydının bağlantı durumuna göre iletişime izin verilir veya iletişim reddedilir. Akış kaydı bir ağ güvenlik grubunun durum bilgisine sahip olmasını sağlar. Örneğin 80 numaralı bağlantı noktasından tüm adreslere doğru giden bir güvenlik kuralı belirtirseniz giden trafiğe yanıt olarak bir gelen güvenlik kuralı belirtmeniz gerekli değildir. Yalnızca iletişimin dışarıdan başlatılması halinde bir gelen güvenlik kuralı belirtmeniz gerekir. Bunun tersi de geçerlidir. Gelen trafiğe bir bağlantı noktası üzerinden izin verilmesi halinde bağlantı noktasından geçen trafiğe yanıt olarak bir giden güvenlik belirtmeniz gerekli değildir.

Bağlantıya izin veren bir güvenlik kuralını kaldırdığınızda mevcut bağlantılar kesintiye uğramayabilir. Ağ güvenlik grubu kurallarının değiştirilmesi yalnızca yeni bağlantıları etkiler. Bir ağ güvenlik grubunda yeni bir kural oluşturulduğunda veya mevcut bir kural güncelleştirildiğinde, yalnızca yeni bağlantılara uygulanır. Mevcut bağlantılar yeni kurallarla yeniden değerlendirilmez.

Bir ağ güvenlik grubu içinde sınırlı sayıda güvenlik kuralı oluşturabilirsiniz. Ayrıntılar için Azure limitleri makalesini inceleyin.

Varsayılan güvenlik kuralları

Azure, oluşturduğunuz tüm ağ güvenlik gruplarına aşağıdaki varsayılan kuralları ekler:

Gelen

AllowVNetInBound
Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Tümü İzin Ver
AllowAzureLoadBalancerInBound
Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Tümü İzin Ver
DenyAllInbound
Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Herhangi biri Reddet

Giden

AllowVnetOutBound
Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Tümü İzin Ver
AllowInternetOutBound
Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
65001 0.0.0.0/0 0-65535 İnternet 0-65535 Tümü İzin Ver
DenyAllOutBound
Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Herhangi biri Reddet

Kaynak ve Hedef sütunlarında VirtualNetwork, AzureLoadBalancer ve Internet, için IP adresi yerine hizmet etiketi belirtilir. Protokol sütununda, Tümü TCP, UDP ve ICMP'yi kapsar. Kural oluştururken TCP, UDP, ICMP veya Any belirtebilirsiniz. Kaynak ve Hedef sütunlarında yer alan 0.0.0.0/0 ifadesi tüm adresleri temsil eder. Azure portalı, Azure CLI veya PowerShell gibi istemciler bu ifade için * veya herhangi birini kullanabilir.

Varsayılan kuralları kaldıramazsınız, ancak daha yüksek önceliğe sahip kurallar oluşturarak bunları geçersiz kılabilirsiniz.

Genişletilmiş güvenlik kuralları

Genişletilmiş güvenlik kuralları, sanal ağlar için güvenlik tanımını daha basit hale getirerek daha az sayıda kuralla daha geniş çaplı ve karmaşık ağ güvenlik ilkesi tanımlamanızı sağlar. Birden fazla bağlantı noktası ile birden fazla açık IP adresini ve aralığını bir araya getirerek tek ve anlaşılması kolay bir güvenlik kuralı oluşturabilirsiniz. Genişletilmiş kuralları bir kuralın kaynak, hedef ve bağlantı noktası alanlarında kullanabilirsiniz. Güvenlik kuralı tanımınızın bakımını kolaylaştırmak için genişletilmiş güvenlik kurallarını hizmet etiketleri veya uygulama güvenlik gruplarıyla bir arada kullanabilirsiniz. Bir kuralda belirtebileceğiniz adres, aralık ve bağlantı noktası sayısı sınırları vardır. Ayrıntılar için Azure limitleri makalesini inceleyin.

Hizmet etiketleri

Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Ağ güvenlik kurallarındaki sık güncelleştirmelerin karmaşıklığını en aza indirmeye yardımcı olur.

Daha fazla bilgi için bkz . Azure hizmet etiketleri. Ağ erişimini kısıtlamak için Depolama hizmeti etiketinin nasıl kullanılacağına ilişkin bir örnek için bkz . PaaS kaynaklarına ağ erişimini kısıtlama.

Uygulama güvenliği grupları

Uygulama güvenlik grupları ağ güvenliğini uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza imkan vererek sanal makineleri gruplamanızı ve ağ güvenlik ilkelerini bu gruplara göre tanımlamanızı sağlar. Açık IP adreslerinin bakımını el ile yapmanıza gerek kalmadan güvenlik ilkesini farklı ölçeklerde yeniden kullanabilirsiniz. Daha fazla bilgi için bkz . Uygulama güvenlik grupları.

Azure platformunda dikkat edilmesi gerekenler

  • Konak düğümünün sanal IP'si: DHCP, DNS, IMDS ve sistem durumu izleme gibi temel altyapı hizmetleri 168.63.129.16 ve 169.254.169.254 sanallaştırılmış ana bilgisayar IP adresleri aracılığıyla sağlanır. Bu IP adresleri Microsoft'a aittir ve bu amaçla tüm bölgelerde kullanılan tek sanallaştırılmış IP adresleridir. Varsayılan olarak, her hizmete özgü hizmet etiketleri tarafından hedeflenmediği sürece bu hizmetler yapılandırılmış ağ güvenlik gruplarına tabi değildir. Bu temel altyapı iletişimini geçersiz kılmak için, Ağ Güvenlik Grubu kurallarınızda şu hizmet etiketlerini kullanarak trafiği reddetmek için bir güvenlik kuralı oluşturabilirsiniz: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Ağ trafiği filtrelemeyi tanılamayı ve ağ yönlendirmeyi tanılamayı öğrenin.

  • Lisanslama (Anahtar Yönetimi Hizmeti): Sanal makinelerde çalışan Windows görüntülerinin lisanslanması gerekir. Lisanslama için, lisans isteği sorgularını işleyen Anahtar Yönetimi Hizmeti ana bilgisayar sunucularına bir lisans isteği gönderilir. İstek, bağlantı noktası 1688 üzerinden gönderilir. default route 0.0.0.0/0 yapılandırması kullanan dağıtmalar için bu platform kuralı devre dışı bırakılır.

  • Yük dengelenmiş havuzlardaki sanal makineler: Uygulanan kaynak bağlantı noktası ve adres aralığı, yük dengeleyiciye değil kaynak bilgisayara aittir. Hedef bağlantı noktası ve adres aralığı, yük dengeleyici değil, hedef bilgisayar içindir.

  • Azure hizmet örnekleri: HDInsight, Uygulama Servisi Ortamları ve Sanal Makine Ölçek Kümeleri gibi sanal ağ alt ağlarına dağıtılmış olan farklı Azure hizmeti örnekleri. Sanal ağlara dağıtabileceğiniz hizmetlerin tam listesi için bkz. Azure hizmetleri için sanal ağ. Alt ağa bir ağ güvenlik grubu uygulamadan önce, her hizmetin bağlantı noktası gereksinimlerini tanıyın. Hizmetin gerektirdiği bağlantı noktalarını reddederseniz, hizmet düzgün çalışmaz.

  • Giden e-posta gönderme: Microsoft, Azure Sanal Makineler'den e-posta göndermek için kimliği doğrulanmış SMTP geçiş hizmetlerini (normalde TCP bağlantı noktası 587 üzerinden bağlanır, ama sıklıkla başkalarını da kullanır) kullanmanızı önerir. SMTP geçiş hizmetleri, üçüncü taraf e-posta sağlayıcılarının iletileri reddetme olasılığını en aza indirmek için gönderen saygınlığı konusunda uzmanlaşmıştır. Bu tür SMTP geçiş hizmetleri Exchange Online Protection ve SendGrid'i içerir ancak bunlarla sınırlı değildir. Abonelik türünüz ne olursa olsun, Azure'da SMTP geçiş hizmetlerinin kullanımına hiçbir kısıtlama getirilmez.

    Azure aboneliğinizi 15 Kasım 2017'den önce oluşturduysanız, SMTP geçiş hizmetlerini kullanabileceğiniz gibi, doğrudan TCP bağlantı noktası 25 üzerinden de e-posta gönderebilirsiniz. Aboneliğinizi 15 Kasım 2017'den sonra oluşturduysanız, doğrudan bağlantı noktası 25 üzerinden e-posta gönderemeyebilirsiniz. Bağlantı noktası 25 üzerinden giden iletişimin davranışı, sahip olduğunuz aboneliğe bağlıdır:

    • Kurumsal Anlaşma: Standart Kurumsal Anlaşma aboneliklerinde dağıtılan VM'ler için 25 numaralı TCP bağlantı noktasında giden SMTP bağlantıları engellenmez. Ancak, dış etki alanlarının VM'lerden gelen e-postaları kabul edeceği garanti değildir. E-postalarınız dış etki alanları tarafından reddedilir veya filtrelenirse, sorunları çözmek için dış etki alanlarının e-posta hizmet sağlayıcılarına başvurmanız gerekir. Bu sorunlar Azure desteği kapsamında değildir.

      Kurumsal Geliştirme ve Test abonelikleri için 25 numaralı bağlantı noktası varsayılan olarak engellenir. Bu bloğun kaldırılması mümkündür. Engelin kaldırılmasını istemek için Azure portalındaki Azure Sanal Ağ kaynağının Tanılama ve Çözme ayarları sayfasının E-posta gönderemiyor (SMTP-Bağlantı Noktası 25) bölümüne gidin ve tanılamayı çalıştırın. Bu, nitelikli kurumsal geliştirme/test aboneliklerini otomatik olarak muaf tutacaktır.

      Abonelik bu bloktan muaf tutulduktan ve VM'ler durdurulduktan ve yeniden başlatıldıktan sonra, bu abonelikteki tüm VM'ler bundan sonra muaf tutulur. Muafiyet yalnızca istenen abonelik için ve yalnızca doğrudan İnternet'e yönlendirilen VM trafiği için geçerlidir.

    • Kullandıkça öde: Tüm kaynaklardan giden bağlantı noktası 25 iletişimi engellenir. İstekler verilmediğinden kısıtlamayı kaldırma isteği yapılamaz. Sanal makinenizden e-posta göndermeniz gerekirse, SMTP geçiş hizmetini kullanmanız gerekir.

    • MSDN, Azure Pass, Açık, Eğitim ve Ücretsiz deneme sürümünde Azure: Giden bağlantı noktası 25 iletişimi tüm kaynaklardan engellenir. İstekler verilmediğinden kısıtlamayı kaldırma isteği yapılamaz. Sanal makinenizden e-posta göndermeniz gerekirse, SMTP geçiş hizmetini kullanmanız gerekir.

    • Bulut hizmeti sağlayıcısı: Giden bağlantı noktası 25 iletişimi tüm kaynaklardan engellenir. İstekler verilmediğinden kısıtlamayı kaldırma isteği yapılamaz. Sanal makinenizden e-posta göndermeniz gerekirse, SMTP geçiş hizmetini kullanmanız gerekir.

Sonraki adımlar