Azure Güvenlik Duvarı için Azure İyi Tasarlanmış Çerçeve perspektifi
Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için en iyi tehdit koruması sağlayan bulutta yerel ve akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Yerleşik yüksek kullanılabilirliğe ve sınırsız bulut ölçeklenebilirliğine sahip tam durum bilgisi olan, yönetilen bir güvenlik duvarı hizmetidir. Azure Güvenlik Duvarı hem doğu-batı hem de kuzey-güney trafik denetimi sağlar.
Bu makalede, mimar olarak sanal ağ güvenlik seçeneklerini gözden geçirip iş yükünüz için ağ güvenlik hizmeti olarak Azure Güvenlik Duvarı seçtiğiniz varsayılır. Bu makaledeki kılavuz, Azure İyi Tasarlanmış Çerçeve yapı taşlarının ilkelerine eşlenen mimari öneriler sağlar.
Önemli
Bu kılavuzu kullanma
Her bölümün, teknoloji kapsamına göre yerelleştirilmiş tasarım stratejilerinin yanı sıra, mimari olarak ilgili alanları sunan bir tasarım denetim listesi vardır.
Bu stratejilerin gerçekleştirilmesine yardımcı olabilecek teknoloji özelliklerine ilişkin öneriler de dahildir. Öneriler, Azure Güvenlik Duvarı ve bağımlılıkları için kullanılabilen tüm yapılandırmaların kapsamlı bir listesini temsil etmemektedir. Bunun yerine, tasarım perspektiflerine eşlenen önemli önerileri listeler. Kavram kanıtınızı oluşturmak veya mevcut ortamlarınızı iyileştirmek için önerileri kullanın.
Temel önerileri gösteren temel mimari: Azure'da merkez-uç ağ topolojisi.
Teknoloji kapsamı
Bu gözden geçirme, aşağıdaki Azure kaynakları için birbiriyle ilişkili kararlara odaklanır:
- Azure Güvenlik Duvarı
- Azure Güvenlik Duvarı Yöneticisi
Güvenilirlik
Güvenilirlik sütununun amacı, yeterli dayanıklılık ve hatalardan hızlı kurtarma olanağı oluşturarak sürekli işlevsellik sağlamaktır.
Güvenilirlik tasarım ilkeleri, tek tek bileşenler, sistem akışları ve bir bütün olarak sistem için uygulanan üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Güvenilirlik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. Kullandığınız ilkeleri ve mimari türünü göz önünde bulundurarak iş gereksinimlerinizle ilgili olup olmadığını belirleyin. Gerektiğinde daha fazla yaklaşım içerecek şekilde stratejiyi genişletin.
Bilinen Azure Güvenlik Duvarı sorunlar listesini gözden geçirin. Azure Güvenlik Duvarı ürünler, bilinen sorunların güncelleştirilmiş bir listesini tutar. Bu liste tasarıma göre davranışlar, yapım aşamasındaki düzeltmeler, platform sınırlamaları ve olası geçici çözümler veya risk azaltma stratejileri hakkında önemli bilgiler içerir.
Azure Güvenlik Duvarı ilkenizin Azure Güvenlik Duvarı sınırlarına ve önerilerine uydığından emin olun. İlke yapısının kuralların ve kural toplama gruplarının sayısı, toplam ilke boyutu, kaynak hedefler ve hedef hedefler dahil olmak üzere sınırları vardır. İlkenizi oluşturmayı ve belgelenen eşiklerin altında kalmayı unutmayın.
Daha yüksek bir hizmet düzeyi sözleşmesi (SLA) için Azure Güvenlik Duvarı birden çok kullanılabilirlik alanına dağıtın. Azure Güvenlik Duvarı, hizmeti tek bir kullanılabilirlik alanında mı yoksa birden çok bölgede mi dağıttığınıza bağlı olarak farklı SLA'lar sağlar. Daha fazla bilgi için bkz. çevrimiçi hizmetler için SLA'lar.
Çok bölgeli ortamlarda her bölgede bir Azure Güvenlik Duvarı örneği dağıtın. Geleneksel merkez-uç mimarileri için bkz . Çok bölgeli önemli noktalar. Güvenli Azure Sanal WAN hub'ları için, merkezler arası ve dallar arası iletişimlerin güvenliğini sağlamak için yönlendirme amacını ve ilkelerini yapılandırın. Hataya dayanıklı ve hataya dayanıklı iş yükleri için bölgesel kaynaklar olarak Azure Güvenlik Duvarı ve Azure Sanal Ağ örneklerini göz önünde bulundurun.
Azure Güvenlik Duvarı ölçümlerini ve kaynak sistem durumunu izleyin. Azure Güvenlik Duvarı ile tümleşirAzure Kaynak Durumu. Azure Güvenlik Duvarı sistem durumunu görüntülemek ve Azure Güvenlik Duvarı kaynağınızı etkileyebilecek hizmet sorunlarını gidermek için Kaynak Durumu denetimini kullanın.
hub sanal ağlarında veya Sanal WAN hub'larının bir parçası olarak Azure Güvenlik Duvarı dağıtın.
Not
Ağ hizmetlerinin kullanılabilirliği, geleneksel merkez-uç modeliyle Sanal WAN yönetilen güvenli merkezler modeli arasında farklılık gösterir. Örneğin, bir Sanal WAN hub'ında genel IP Azure Güvenlik Duvarı genel IP ön ekinden gelemez ve Azure DDoS Koruması etkin olamaz. Modelinizi seçtiğinizde, İyi Tasarlanmış Çerçeve'nin beş yapı taşındaki gereksinimlerinizi göz önünde bulundurun.
Öneriler
| Öneri | Avantaj |
|---|---|
| Azure Güvenlik Duvarı birden çok kullanılabilirlik alanına dağıtın. | Belirli bir dayanıklılık düzeyini korumak için Azure Güvenlik Duvarı birden çok kullanılabilirlik alanına dağıtın. Bir bölgede kesinti yaşanırsa, başka bir bölge trafiğe hizmet etmeye devam eder. |
| Log Analytics çalışma alanında Azure Güvenlik Duvarı ölçümlerini izleyin. aktarım hızı, Güvenlik duvarı sistem durumu, SNAT bağlantı noktası kullanımı ve AZFW gecikme süresi yoklaması ölçümleri gibi Azure Güvenlik Duvarı sistem durumunu gösteren ölçümleri yakından izleyin. Azure Güvenlik Duvarı durumunu izlemek için Azure Hizmet Durumu'na tıklayın. |
Kaynak ölçümlerini ve hizmet durumunu izleyerek hizmet durumunun ne zaman düşebileceğini algılayabilir ve hataları önlemek için proaktif önlemler alabilirsiniz. |
Güvenlik
Güvenlik sütununun amacı iş yüküne gizlilik, bütünlük ve kullanılabilirlik garantileri sağlamaktır.
Güvenlik tasarımı ilkeleri, Azure Güvenlik Duvarı teknik tasarımına yaklaşımlar uygulayarak bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Güvenlik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. Güvenlik duruşunu geliştirmek için güvenlik açıklarını ve denetimleri belirleyin. Gerektiğinde daha fazla yaklaşım içerecek şekilde stratejiyi genişletin.
Tehditleri algılamak ve engellemek için iş yükünüzden tüm İnternet trafiğini bir güvenlik duvarı veya ağ sanal gereci (NVA) aracılığıyla gönderin. Azure Güvenlik Duvarı üzerinden trafiği zorlamak için kullanıcı tanımlı yolları (UDR) yapılandırın. Web trafiği için Azure Güvenlik Duvarı açık ara sunucu olarak kullanmayı göz önünde bulundurun.
Giden bağlantıları korumak için bu sağlayıcıları kullanmak istiyorsanız Güvenlik Duvarı Yöneticisi'nin içinde desteklenen hizmet olarak iş ortağı yazılımı (SaaS) güvenlik sağlayıcılarını yapılandırın.
Trafiğin güvenlik duvarını atlamaması için doğrudan sanal makinelere bağlı genel IP adreslerinin kullanımını kısıtlayın. Azure Bulut Benimseme Çerçevesi modeli CORP yönetim grubuna belirli bir Azure ilkesi atar.
Güvenlik gereksinimleriniz, web uygulamaları için inceleme ve şifreleme ekleme gibi Sıfır Güven bir yaklaşım uygulamanızı gerektiriyorsa Azure Güvenlik Duvarı ve Application Gateway için Sıfır Güven yapılandırma kılavuzunu izleyin. Hem geleneksel merkez-uç hem de Sanal WAN senaryoları için Azure Güvenlik Duvarı ve Application Gateway'i tümleştirmek için bu kılavuzu izleyin.
Daha fazla bilgi için bkz . Uçta güvenlik duvarı uygulama.
Patlama yarıçapını denetlemek, iş yükü kaynaklarını karartmak ve beklenmeyen, yasaklanmış ve güvenli olmayan erişimi engellemek için iş yükü segmentasyon stratejinizin bir parçası olarak ağ çevreleri oluşturun. Azure Güvenlik Duvarı ilkeleri için en az ayrıcalıklı erişim ölçütlerini temel alan kurallar oluşturun.
Zorlamalı tünel modunda Azure Güvenlik Duvarı yapılandırırken tam özel bir veri düzlemi dağıtmak için genel IP adresini Yok olarak ayarlayın. Bu yaklaşım Sanal WAN için geçerli değildir.
Yönetimi basitleştirmek için ağ kuralları tanımlarken tam etki alanı adlarını (FQDN) ve hizmet etiketlerini kullanın.
Tehditleri ve kötüye kullanım işaretlerini dikkatle izlemek için algılama mekanizmalarını kullanın. Platform tarafından sağlanan algılama mekanizmalarından ve ölçülerinden yararlanın. İzinsiz giriş algılama ve önleme sistemini (IDPS) etkinleştirin. Azure DDoS Koruması planını merkez sanal ağınızla ilişkilendirin.
Daha fazla bilgi için bkz . Kötüye kullanımı algılama.
Öneriler
| Öneri | Avantaj |
|---|---|
| İnternet'e bağlı tüm trafiği doğrudan İnternet yerine belirlenen bir sonraki atlamaya yönlendirmeniz gerekiyorsa, zorlamalı tünel modunda Azure Güvenlik Duvarı yapılandırın. Bu öneri Sanal WAN için geçerli değildir. Azure Güvenlik Duvarı internete bağlı olmalıdır. AzureFirewallSubnet'iniz Sınır Ağ Geçidi Protokolü aracılığıyla şirket içi ağınıza yönelik varsayılan bir yol öğrenirse, Azure Güvenlik Duvarı zorlamalı tünel modunda yapılandırmanız gerekir. zorlamalı tünel özelliğini kullanarak Azure Güvenlik Duvarı Yönetimi alt ağı için başka bir /26 adres alanı ekleyebilirsiniz. Alt ağı AzureFirewallManagementSubnet olarak adlandırın. Zorlamalı tünel modunda yeniden yapılandırabileceğiniz bir Azure Güvenlik Duvarı örneğiniz varsa, 0.0.0.0/0 yoluna sahip bir UDR oluşturun. NextHopType değerini İnternet olarak ayarlayın. İnternet bağlantısını korumak için UDR'yi AzureFirewallSubnet ile ilişkilendirin. Zorlamalı tünel modunda Azure Güvenlik Duvarı yapılandırırken tam özel bir veri düzlemi dağıtmak için genel IP adresini Yok olarak ayarlayın. Ancak yönetim düzlemi hala yalnızca yönetim amacıyla genel IP gerektirir. Sanal ve şirket içi ağlardan gelen iç trafik bu genel IP'yi kullanmaz. |
Azure kaynaklarınızı doğrudan İnternet'te kullanıma sunmamak için zorlamalı tünel kullanın. Bu yaklaşım saldırı yüzeyini azaltır ve dış tehdit riskini en aza indirir. Şirket ilkelerini ve uyumluluk gereksinimlerini daha etkili bir şekilde uygulamak için, İnternet'e bağlı tüm trafiği şirket içi güvenlik duvarı veya NVA aracılığıyla yönlendirin. |
| Merkezi bir temel ilkeyi katmanlayan hiyerarşik bir yapıda Güvenlik duvarı ilkeleri için kurallar oluşturun. Daha fazla bilgi için bkz. Kuralları işlemek için Azure Güvenlik Duvarı ilkelerini kullanma. Kurallarınızı en az ayrıcalıklı erişim Sıfır Güven ilkesine göre oluşturma |
Ayrıntılı ilkelerin belirli bölgelerin gereksinimlerini karşılayabilmesi için kuralları hiyerarşik bir yapıda düzenleyin. Her ilke, belirli önceliklere, eylemlere ve işleme siparişlerine sahip farklı Hedef Ağ Adresi Çevirisi (DNAT), ağ ve uygulama kuralları kümeleri içerebilir. |
| Giden bağlantıları korumak için Güvenlik Duvarı Yöneticisi'nin içinde desteklenen güvenlik ortağı sağlayıcılarını yapılandırın. Bu senaryo, sağlayıcının altyapısına bağlanmak için bir IPsec tüneli kullandığından hub'da bir S2S VPN ağ geçidi ile Sanal WAN gerektirir. Yönetilen güvenlik hizmeti sağlayıcıları, IPsec bağlantılarında ek lisans ücretleri alabilir ve aktarım hızını sınırlayabilir. Zscaler Bulut Bağlayıcısı gibi alternatif çözümleri de kullanabilirsiniz. |
Azure Güvenlik Duvarı'deki güvenlik iş ortağı sağlayıcılarının, internet trafiğiniz için gelişmiş koruma sağlayan, türünün en iyisi bulut güvenliği tekliflerinden yararlanmasını sağlayın. Bu sağlayıcılar, genel güvenlik duruşunuzu geliştiren özelleştirilmiş, kullanıcı algılamalı filtreleme ve kapsamlı tehdit algılama özellikleri sunar. |
| Azure Güvenlik Duvarı DNS proxy yapılandırmasını etkinleştirin. Ayrıca, dns sorgularını iletmek için özel DNS kullanmak üzere Azure Güvenlik Duvarı yapılandırın. |
Sanal ağlardaki istemcileri DNS sunucusu olarak Azure Güvenlik Duvarı için bu özelliği etkinleştirin. Bu özellik, doğrudan erişilmeyen ve kullanıma sunulmayan iç DNS altyapısını korur. |
| UDR'leri, geleneksel merkez-uç mimarisinde Azure Güvenlik Duvarı üzerinden gelen trafiği, uç-uç, uçtan uca internet ve uç-karma bağlantı için zorlayacak şekilde yapılandırın. Sanal WAN'de, özel trafiği veya İnternet trafiğini merkezle tümleştirilmiş Azure Güvenlik Duvarı örneği aracılığıyla yeniden yönlendirmek için yönlendirme amacını ve ilkelerini yapılandırın. UDR uygulayamıyorsanız ve yalnızca web trafiği yeniden yönlendirmesi gerektiriyorsanız, giden yolda açık ara sunucu olarak Azure Güvenlik Duvarı kullanın. Azure Güvenlik Duvarı ara sunucu olarak yapılandırırken, gönderen uygulamada web tarayıcısı gibi bir ara sunucu ayarı yapılandırabilirsiniz. |
Trafiği incelemek ve kötü amaçlı trafiği tanımlamaya ve engellemeye yardımcı olmak için güvenlik duvarı üzerinden trafik gönderin. Web trafiğinin güvenlik duvarının özel IP adresine ulaşması ve dolayısıyla UDR kullanmadan doğrudan güvenlik duvarından çıkması için giden trafik için açık bir ara sunucu olarak Azure Güvenlik Duvarı kullanın. Bu özellik, mevcut ağ yollarını değiştirmeden birden çok güvenlik duvarı kullanımını da kolaylaştırır. |
| Ağ kurallarında FQDN filtrelemesini kullanın. Ağ kurallarınızda FQDN'leri kullanmak için Azure Güvenlik Duvarı DNS proxy yapılandırmasını etkinleştirmeniz gerekir. | Yöneticilerin birden çok IP adresi yerine etki alanı adlarını yönetebilmesi için Azure Güvenlik Duvarı ağ kurallarında FQDN'leri kullanın ve bu da yönetimi basitleştirir. Bu dinamik çözüm, etki alanı IP'leri değiştiğinde güvenlik duvarı kurallarının otomatik olarak güncelleştirilmesini sağlar. |
| Azure, Microsoft Dynamics 365 ve Microsoft 365'teki belirli hizmetlere seçmeli erişim sağlamak için belirli IP adresleri yerine Azure Güvenlik Duvarı hizmet etiketlerini kullanın. | Belirli IP adresleri yerine hizmet adlarına göre erişim denetimleri tanımlayabilmeniz için ağ kurallarında hizmet etiketlerini kullanın ve bu da güvenlik yönetimini basitleştirir. MICROSOFT, IP adresleri değiştiğinde bu etiketleri otomatik olarak yönetir ve güncelleştirir. Bu yöntem, el ile müdahale olmadan güvenlik duvarı kurallarınızın doğru ve etkili kalmasını sağlar. |
| Belirli Microsoft hizmetleri seçmeli erişim sağlamak için uygulama kurallarında FQDN etiketlerini kullanın. Microsoft 365, Windows 365 ve Microsoft Intune gibi belirli Azure hizmetleri için güvenlik duvarınız üzerinden gerekli giden ağ trafiğine izin vermek için uygulama kurallarında bir FQDN etiketi kullanabilirsiniz. |
İyi bilinen Microsoft hizmetleri ilişkili bir FQDN grubunu temsil etmek için Azure Güvenlik Duvarı uygulama kurallarında FQDN etiketlerini kullanın. Bu yöntem, ağ güvenlik kurallarının yönetimini basitleştirir. |
| Uyarı ve reddetme modundaki Azure Güvenlik Duvarı tehdit bilgilerini etkinleştirin. | Siber saldırı riskini azaltan yeni tehditlere karşı gerçek zamanlı koruma sağlamak için tehdit zekasını kullanın. Bu özellik, bilinen kötü amaçlı IP adreslerinden, etki alanlarından ve URL'lerden gelen trafiği otomatik olarak uyarmak ve engellemek için Microsoft tehdit bilgileri akışını kullanır. |
| Uyarı veya Uyarı ve reddetme modunda IDPS'yi etkinleştirin. Bu özelliğin performans etkisini göz önünde bulundurun. | Azure Güvenlik Duvarı'de IDPS filtrelemesini etkinleştirme, kötü amaçlı etkinlikleri algılamak ve önlemek için ağ trafiğinin gerçek zamanlı izlenmesini ve analizini sağlar. Bu özellik, bilinen tehditleri hızla tanımlamak ve zarar vermeden önce bunları engellemek için imza tabanlı algılamayı kullanır. Daha fazla bilgi için bkz . Kötüye kullanımı algılama. |
| Azure Güvenlik Duvarı Premium ile TLS incelemesini kullanırken sertifika oluşturmak için bir iç kuruluş sertifika yetkilisi (CA) kullanın. Otomatik olarak imzalanan sertifikaları yalnızca test ve kavram kanıtı (PoC) amacıyla kullanın. | Azure Güvenlik Duvarı Premium'un HTTPS'deki kötü amaçlı etkinlikleri algılamak, uyarmak ve azaltmak için TLS bağlantılarını sonlandırması ve incelemesi için TLS incelemesini etkinleştirin. |
| Azure DDoS Koruması planı oluşturmak ve hub sanal ağınızla ilişkilendirmek için Güvenlik Duvarı Yöneticisi'ni kullanın. Bu yaklaşım Sanal WAN için geçerli değildir. | Güvenlik duvarı ilkelerinizle birlikte DDoS korumasını merkezi olarak yönetebilmeniz için bir Azure DDoS Koruması planı yapılandırın. Bu yaklaşım, ağ güvenliğinizi yönetme şeklinizi kolaylaştırır ve işlemleri dağıtma ve izleme yönteminizi basitleştirir. |
Maliyet İyileştirmesi
Maliyet İyileştirme, harcama düzenlerini algılamaya, kritik alanlardaki yatırımlara öncelik vermeye ve diğer kullanıcılarda kuruluşun bütçesini karşılayacak şekilde iyileştirmeye ve iş gereksinimlerini karşılamaya odaklanır.
Maliyet İyileştirme tasarım ilkeleri, bu hedeflere ulaşmak ve Azure Güvenlik Duvarı ve ortamıyla ilgili teknik tasarımda gerekli olan dengeleri sağlamak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Yatırımlar için Maliyet İyileştirme için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. İş yükünün iş yükü için ayrılan bütçeyle uyumlu olması için tasarımda ince ayarlamalar yapın. Tasarımınız doğru Azure özelliklerini kullanmalı, yatırımları izlemeli ve zaman içinde iyileştirme fırsatları bulmalıdır.
Dağıtılacak Azure Güvenlik Duvarı SKU'yu seçin. Üç Azure Güvenlik Duvarı SKU arasından seçim yapın: Temel, Standart ve Premium. Ödeme işleme gibi yüksek oranda hassas uygulamaların güvenliğini sağlamak için Azure Güvenlik Duvarı Premium kullanın. İş yükünüzün Katman 3 ile Katman 7 güvenlik duvarına ihtiyacı varsa ve 30 Gb/sn'ye kadar en yüksek trafik dönemlerini işlemek için otomatik ölçeklendirme gerekiyorsa Azure Güvenlik Duvarı Standard kullanın. SMB kullanıyorsanız ve 250 Mb/sn'ye kadar aktarım hızı gerektiriyorsanız Azure Güvenlik Duvarı Basic kullanın. Standart ve Premium SKU'lar arasında sürüm düşürebilir veya yükseltebilirsiniz. Daha fazla bilgi için bkz. SKU'yu doğru Azure Güvenlik Duvarı seçme.
Kullanılmayan güvenlik duvarı dağıtımlarını kaldırın ve kullanılmayan dağıtımları iyileştirin. Sürekli çalıştırılması gerekmeyen dağıtımları Azure Güvenlik Duvarı durdurun. Kullanılmayan Azure Güvenlik Duvarı dağıtımlarını tanımlama ve silme. İşletim maliyetlerini azaltmak için güvenlik duvarı örnekleri kullanımını, Azure Güvenlik Duvarı Yöneticisi ilkeleri yapılandırmasını ve kullandığınız genel IP adresleri ve ilkelerin sayısını izleyin ve iyileştirin.
aynı Azure Güvenlik Duvarı örneğini paylaşın. Merkez sanal ağında veya Sanal WAN güvenli hub'da merkezi bir Azure Güvenlik Duvarı örneği kullanabilir ve aynı Azure Güvenlik Duvarı örneğini aynı bölgeden aynı hub'a bağlanan uç sanal ağlarında paylaşabilirsiniz. Merkez-uç topolojisinde beklenmeyen bölgeler arası trafik olmadığından emin olun.
Güvenlik duvarı üzerinden trafiği en iyi duruma getirme. Azure Güvenlik Duvarı işleyen trafiği düzenli olarak gözden geçirin. Güvenlik duvarından geçen trafik miktarını azaltma fırsatlarını bulun.
Depoladığınız günlük verilerinin miktarını azaltın. Azure Güvenlik Duvarı, trafiğin meta verilerini kapsamlı bir şekilde günlüğe kaydetmek ve Log Analytics çalışma alanlarına, Azure Depolama'ya veya Microsoft dışı çözümlere göndermek için Azure Event Hubs'ı kullanabilir. Tüm günlük çözümleri, verileri işlemek ve depolama sağlamak için maliyet oluşturur. Büyük miktarda veri önemli maliyetler doğurabilir. Log Analytics'e uygun maliyetli bir yaklaşım ve alternatif olarak maliyeti tahmin edin. Tüm günlük kategorileri için trafik meta verilerini günlüğe kaydetmeniz gerekip gerekmediğini düşünün.
Öneriler
| Öneri | Avantaj |
|---|---|
| Sürekli çalıştırılması gerekmeyen dağıtımları Azure Güvenlik Duvarı durdurun. Yalnızca iş saatlerinde kullandığınız geliştirme veya test ortamlarınız olabilir. Daha fazla bilgi için bkz. serbest bırakma ve Azure Güvenlik Duvarı ayırma. | Bu dağıtımları yoğun olmayan saatlerde veya gereksiz harcamaları azaltmak ancak kritik zamanlarda güvenlik ve performansı korumak için boştayken kapatın. |
| Azure Güvenlik Duvarı işleyen trafiği düzenli olarak gözden geçirin ve kaynak iş yükü iyileştirmelerini bulun. Yağ akış günlüğü olarak da bilinen üst akış günlüğü, güvenlik duvarı üzerinden en yüksek aktarım hızına katkıda bulunan en iyi bağlantıları gösterir. | Güvenlik duvarı üzerindeki yükü azaltarak veri işleme ve bant genişliği maliyetlerini en aza indiren trafik hacmini azaltmak için güvenlik duvarı üzerinden en çok trafik oluşturan iş yüklerini iyileştirin. |
| Kullanılmayan Azure Güvenlik Duvarı dağıtımlarını tanımlama ve silme. Güvenlik duvarının özel IP'sine işaret eden alt ağlarla ilişkili izleme ölçümlerini ve UDR'leri analiz edin. Ortamınız ve dağıtımlarınızla ilgili diğer doğrulamaları ve iç belgeleri de göz önünde bulundurun. Örneğin, Azure Güvenlik Duvarı için tüm klasik NAT, ağ ve uygulama kurallarını analiz edin. Ayarlarınızı da göz önünde bulundurun. Örneğin, DNS proxy ayarını Devre Dışı olarak yapılandırabilirsiniz. Daha fazla bilgi için bkz. İzleme Azure Güvenlik Duvarı. |
Zaman içindeki uygun maliyetli dağıtımları algılamak ve gereksiz maliyetleri önleyen kullanılmayan kaynakları ortadan kaldırmak için bu yaklaşımı kullanın. |
| Maliyeti iyileştirmek için Güvenlik Duvarı Yöneticisi ilkelerinizi, ilişkilendirmelerinizi ve devralma işlemlerinizi dikkatle gözden geçirin. İlkeler güvenlik duvarı ilişkilendirmelerine göre faturalandırılır. Sıfır veya bir güvenlik duvarı ilişkilendirmesi olan bir ilke ücretsizdir. Birden çok güvenlik duvarı ilişkilendirmesi olan bir ilke sabit bir oranda faturalandırılır. Daha fazla bilgi için bkz . Güvenlik Duvarı Yöneticisi fiyatlandırması. |
İşletim maliyetlerini azaltmak, verimliliği artırmak ve yönetim yükünü azaltmak için Güvenlik Duvarı Yöneticisi'ni ve ilkelerini düzgün bir şekilde kullanın. |
| Yapılandırmanızdaki tüm genel IP adreslerini gözden geçirin ve kullanmadığınız ip adreslerini ilişkilendirin ve silin. Herhangi bir IP adresini kaldırmadan önce kaynak ağ adresi çevirisi (SNAT) bağlantı noktası kullanımını değerlendirin. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı günlüklerini ve ölçümlerini ve SNAT bağlantı noktası kullanımını izleme. |
Maliyetleri azaltmak için kullanılmayan IP adreslerini silin. |
Operasyonel Mükemmellik
Operasyonel Mükemmellik öncelikli olarak geliştirme uygulamaları, gözlemlenebilirlik ve yayın yönetimi yordamlarına odaklanır.
Operasyonel Mükemmellik tasarım ilkeleri, iş yükünün operasyonel gereksinimlerine yönelik bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Azure Güvenlik Duvarı ile ilgili gözlemlenebilirlik, test ve dağıtım süreçlerini tanımlamaya yönelik Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın.
Azure Güvenlik Duvarı örneklerini dağıtmak ve yönetmek için Güvenlik Duvarı Yöneticisi'ni geleneksel merkez-uç topolojileriyle veya Sanal WAN ağ topolojileriyle kullanın. Merkez-uç ve geçişli mimariler oluşturmak için trafik idaresi ve koruması için yerel güvenlik hizmetlerini kullanın. Daha fazla bilgi için bkz . Ağ topolojisi ve bağlantı.
Mevcut dağıtımlar için Azure Güvenlik Duvarı klasik kuralları Güvenlik Duvarı Yöneticisi ilkelerine geçirin. Güvenlik duvarlarınızı ve ilkelerinizi merkezi olarak yönetmek için Güvenlik Duvarı Yöneticisi'ni kullanın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Premium'a geçiş.
Azure İlkesi yapıtlarının düzenli yedeklemelerini koruyun. Azure Güvenlik Duvarı ve tüm bağımlılıkları korumak için kod olarak altyapı yaklaşımı kullanıyorsanız, Azure Güvenlik Duvarı ilkelerinin yedeklenmesi ve sürümüne sahip olmanız gerekir. Aksi takdirde, etkili bir otomatik çözüm sağlamak için dış mantıksal uygulamayı temel alan bir yardımcı mekanizma dağıtabilirsiniz.
Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme. Güvenlik duvarı izleme için tanılama günlüklerinden, denetim işlemleri için sorun giderme ve etkinlik günlüklerinden yararlanın.
Sistemin genel durumunu değerlendirmek için izleme verilerini analiz edin. Yerleşik Azure Güvenlik Duvarı izleme çalışma kitabını kullanın, Kusto Sorgu Dili (KQL) sorgularını tanıyın ve olası sorunları belirlemek için ilke analizi panosunu kullanın.
İşleçlerin bunlara hızla yanıt verebilmesi için önemli olaylar için uyarılar tanımlayın.
Kötüye kullanımı algılamak için Azure'da platform tarafından sağlanan algılama mekanizmalarından yararlanın. mümkünse Azure Güvenlik Duvarı Bulut için Microsoft Defender ve Microsoft Sentinel ile tümleştirin. Ağ altyapısının ve ağ güvenliğinin durumunu, Azure'ın farklı bölgelerindeki tüm sanal ağlarda ve sanal hub'larda Azure ağ güvenliği de dahil olmak üzere tek bir yerde görselleştirmek için Bulut için Defender ile tümleştirin. Tehdit algılama ve önleme özellikleri sağlamak için Microsoft Sentinel ile tümleştirin.
Öneriler
| Öneri | Avantaj |
|---|---|
| Azure Güvenlik Duvarı için tanılama günlüklerini etkinleştirin. Azure Güvenlik Duvarı izlemek için güvenlik duvarı günlüklerini veya çalışma kitaplarını kullanın. Ayrıca etkinlik günlüklerini kullanarak Azure Güvenlik Duvarı kaynaklarıyla ilgili işlemleri denetleyebilirsiniz. Yapılandırılmış güvenlik duvarı günlükleri biçimini kullanın. Yalnızca bunu gerektiren bir aracınız varsa önceki tanılama günlükleri biçimini kullanın. Her iki günlük biçimlerini de aynı anda etkinleştirmeyin. |
Azure Güvenlik Duvarı için izleme araçlarınızı ve stratejilerinizi iyileştirmek için tanılama günlüklerini etkinleştirin. Günlük verilerini arama, filtreleme ve analiz etme işlemlerinin kolay olması için yapılandırmak için yapılandırılmış güvenlik duvarı günlüklerini kullanın. En son izleme araçları bu günlük türünü temel alır, bu nedenle genellikle bir önkoşuldur. |
| Yerleşik Azure Güvenlik Duvarı çalışma kitabını kullanın. | Azure Güvenlik Duvarı çalışma kitabını kullanarak Azure Güvenlik Duvarı olaylardan değerli içgörüler elde edin, uygulamanızı ve ağ kurallarınızı analiz edin ve URL'ler, bağlantı noktaları ve adresler arasında güvenlik duvarı etkinlikleriyle ilgili istatistikleri inceleyin. |
| Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleyin ve Azure Güvenlik Duvarı kapasite için uyarılar oluşturun. Aktarım hızı, Güvenlik duvarı sistem durumu, SNAT bağlantı noktası kullanımı ve AZFW gecikme süresi yoklaması ölçümlerini izlemek için uyarılar oluşturun. | Olası sorunlar ortaya çıkmadan önce operatörleri bilgilendirmek, kesintileri önlemeye yardımcı olmak ve hızlı kapasite ayarlamaları başlatmak için önemli olaylar için uyarılar ayarlayın. |
| Olası sorunları belirlemek için ilke analizi panosunu düzenli olarak gözden geçirin. | Azure Güvenlik Duvarı ilkelerinizin etkisini analiz etmek için ilke analizini kullanın. İlke sınırları, yanlış kurallar ve yanlış IP grupları kullanımı gibi ilkelerinizdeki olası sorunları belirleyin. Güvenlik duruşunuzu ve kural işleme performansınızı geliştirmek için öneriler alın. |
| Sorunları hızla analiz etmek ve gidermek için Azure Güvenlik Duvarı günlüklerini kullanabilmek için KQL sorgularını anlayın. Azure Güvenlik Duvarı örnek sorgular sağlar. | KQL sorgularını kullanarak güvenlik duvarınızın içindeki olayları hızla belirleyin ve hangi kuralın tetiklendiğine veya hangi kuralın isteğe izin verdiğine veya bunu engellediğini denetleyin. |
Performans Verimliliği
Performans Verimliliği, kapasiteyi yöneterek yükte artış olduğunda bile kullanıcı deneyimini korumakla ilgilidir. Strateji kaynakları ölçeklendirmeyi, olası performans sorunlarını tanımlamayı ve iyileştirmeyi ve en yüksek performans için iyileştirmeyi içerir.
Performans Verimliliği tasarım ilkeleri, beklenen kullanıma karşı bu kapasite hedeflerine ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Performans Verimliliği için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. Azure Güvenlik Duvarı için temel performans göstergelerini temel alan bir taban çizgisi tanımlayın.
Kodu ve altyapıyı iyileştirmek ve en yüksek işlemeyi sağlamak için Azure Güvenlik Duvarı yapılandırmanızı İyi Tasarlanmış Çerçeve önerilerine uygun olarak iyileştirin. Verimli ve güvenli bir ağı korumak için güvenlik duvarı kurallarını düzenli olarak gözden geçirin ve iyileştirin. Bu uygulama, güvenlik duvarı yapılandırmalarınızın en son güvenlik tehditleriyle etkin ve güncel kalmasını sağlamaya yardımcı olur.
İlke gereksinimlerini değerlendirin ve IP aralıklarını ve URL listelerini özetleme fırsatları bulun. Yönetimi kolaylaştırmak ve güvenliği artırmak için toplu olarak giden erişime izin vermek veya erişimi reddetmek için web kategorilerini kullanın. Bu yapılandırma ağ gecikme süresini ve aktarım hızını etkileyebileceğinden Uyarı ve reddetme modunda IDPS'nin performans etkisini değerlendirin. SNAT bağlantı noktası gereksinimlerinizi desteklemek için genel IP adreslerini yapılandırın. Sağlam ve ölçeklenebilir bir ağ güvenliği altyapısı oluşturmak için bu uygulamaları izleyin.
sanal ağ içi trafik denetimi için Azure Güvenlik Duvarı kullanmayın. Aşağıdaki trafik türlerini denetlemek için Azure Güvenlik Duvarı kullanın:
- Sanal ağlar arasında trafik
- Sanal ağlar ile şirket içi ağlar arasındaki trafik
- İnternet'e giden trafik
- GELEN HTTP olmayan veya HTTPS olmayan trafik
Sanal ağ içi trafik denetimi için ağ güvenlik gruplarını kullanın.
Performans testlerine başlamadan önce Azure Güvenlik Duvarı düzgün bir şekilde ısın. Yük testlerinizin parçası olmayan ilk trafiği, testlerden 20 dakika önce oluşturun. Ölçeği artırma ve ölçeği azaltma olaylarını yakalamak için tanılama ayarlarını kullanın. Azure Load Testing hizmetini kullanarak ilk trafiği oluşturabilir, böylece Azure Güvenlik Duvarı en fazla örnek sayısına kadar ölçeklendikleyebilirsiniz.
/26 adres alanı olan bir Azure Güvenlik Duvarı alt ağı yapılandırın. Azure Güvenlik Duvarı için ayrılmış bir alt ağa ihtiyacınız vardır. Azure Güvenlik Duvarı ölçeklendirildikçe daha fazla kapasite sağlar. /26 adres alanı, güvenlik duvarının ölçeklendirmeye uyum sağlamak için yeterli IP adresine sahip olmasını sağlar. Azure Güvenlik Duvarı /26'dan büyük bir alt ağ gerektirmez. Azure Güvenlik Duvarı alt aya AzureFirewallSubnet adını verin.
İhtiyacınız yoksa gelişmiş günlüğe kaydetmeyi etkinleştirmeyin. Azure Güvenlik Duvarı, etkin tutmak için önemli maliyetler doğurabilecek bazı gelişmiş günlüğe kaydetme özellikleri sağlar. Bunun yerine, bu özellikleri yalnızca sorun giderme amacıyla ve sınırlı süre için kullanabilirsiniz. İhtiyacınız olmadığında özellikleri devre dışı bırakın. Örneğin, en önemli akışlar ve akış izleme günlükleri pahalıdır ve Azure Güvenlik Duvarı altyapısında aşırı CPU ve depolama kullanımına neden olabilir.
Öneriler
| Öneri | Avantaj |
|---|---|
| Azure Güvenlik Duvarı ilkelerini iyileştirmenin yollarını belirlemek için ilke analizi panosunu kullanın. | İlke sınırları, yanlış kurallar ve hatalı IP grupları kullanımı gibi ilkelerinizdeki olası sorunları belirlemek için ilke analizini kullanın. Güvenlik duruşunuzu ve kural işleme performansınızı geliştirmek için öneriler alın. |
| Büyük kural kümelerine sahip Azure Güvenlik Duvarı ilkeleri için gecikme süresini iyileştirmek için sık kullanılan kuralları bir grubun erken aşamalarına yerleştirin. Daha fazla bilgi için bkz. Kuralları işlemek için Azure Güvenlik Duvarı ilkelerini kullanma. |
İşleme gecikme süresini iyileştirmek için sık kullanılan kuralları bir kural kümesine yüksek yerleştirin. Azure Güvenlik Duvarı kuralları kural türüne, devralmaya, kural koleksiyonu grubu önceliğine ve kural koleksiyonu önceliğine göre işler. Azure Güvenlik Duvarı önce yüksek öncelikli kural koleksiyonu gruplarını işler. Bir kural koleksiyonu grubu içinde, Azure Güvenlik Duvarı önce en yüksek önceliğe sahip kural koleksiyonlarını işler. |
| IP adresi aralıklarını özetlemek ve benzersiz kaynak veya benzersiz hedef ağ kuralları sınırını aşmamak için IP gruplarını kullanın. Azure Güvenlik Duvarı, ağ kuralları oluştururken IP grubunu tek bir adres olarak değerlendirir. | Bu yaklaşım, sınırı aşmadan kapsayabileceğiniz IP adresi sayısını etkili bir şekilde artırır. Her kural için Azure, bağlantı noktalarını IP adresleriyle çarpar. Bu nedenle, bir kuralın dört IP adresi aralığı ve beş bağlantı noktası varsa 20 ağ kuralı tüketirsiniz. |
| Genel İnternet sitelerinin uzun bir listesini açıkça oluşturmak ve korumak yerine toplu olarak giden erişime izin vermek veya erişimi reddetmek için Azure Güvenlik Duvarı web kategorilerini kullanın. | Bu özellik, web içeriğini dinamik olarak kategorilere ayırır ve kompakt uygulama kurallarının oluşturulmasına izin verir ve bu da işlem yükünü azaltır. |
| Uyarı ve reddetme modunda IDPS'nin performans etkisini değerlendirin. Daha fazla bilgi için bkz. performans Azure Güvenlik Duvarı. | Kötü amaçlı ağ etkinliğini algılamak ve önlemek için Uyarı ve reddetme modunda IDPS'yi etkinleştirin. Bu özellik bir performans cezasına neden olabilir. Uygun şekilde planlamak için iş yükünüz üzerindeki etkisini anlayın. |
| SNAT bağlantı noktası tükenmesine duyarlı dağıtımlar için en az beş genel IP adresiyle Azure Güvenlik Duvarı dağıtımları yapılandırın. | Azure Güvenlik Duvarı, her arka uç Azure Sanal Makine Ölçek Kümeleri örneğinin kullandığı her genel IP adresi için 2.496 bağlantı noktasını destekler. Bu yapılandırma kullanılabilir SNAT bağlantı noktalarını beş kat artırır. varsayılan olarak, Azure Güvenlik Duvarı her akış hedefi IP'si, hedef bağlantı noktası ve TCP veya UDP protokolü için 4.992 bağlantı noktasını destekleyen iki Sanal Makine Ölçek Kümeleri örneği dağıtır. Güvenlik duvarı en fazla 20 örneğe kadar ölçeklendirilir. |
Azure ilkeleri
Azure, Azure Güvenlik Duvarı ve bağımlılıklarıyla ilgili kapsamlı bir yerleşik ilke kümesi sağlar. Önceki önerilerden bazıları Azure İlkesi aracılığıyla denetlenebilir. Örneğin, şunları denetleyebilirsiniz:
Ağ arabirimlerinde genel IP'ler olmamalıdır. Bu ilke, genel IP ile yapılandırılmış ağ arabirimlerini reddeder. Genel IP adresleri, İnternet kaynaklarının Azure kaynaklarına gelen iletişim kurmasına olanak tanır ve Azure kaynakları İnternet'e giden iletişim kurabilir.
Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı örneğiniz aracılığıyla yönlendirilmelidir. Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını tanımlar. Alt ağlarınızı olası tehditlerden koruyun. Alt ağlarınıza erişimi kısıtlamak için Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarı kullanın.
Kapsamlı idare için Azure Güvenlik Duvarı ve ağın güvenliğini etkileyebilecek diğer ilkeler için Azure İlkesi yerleşik tanımlarını gözden geçirin.
Azure Danışmanı önerileri
Azure Advisor, Azure dağıtımlarınızı iyileştirecek en iyi uygulamaları izlemenize yardımcı olacak bir kişiye özel bulut danışmanıdır. Azure Güvenlik Duvarı güvenilirliğini, güvenliğini, maliyet verimliliğini, performansını ve operasyonel mükemmelliğini artırmanıza yardımcı olabilecek bazı öneriler aşağıdadır.
Sonraki adımlar
Bu makaledeki önerileri gösteren aşağıdaki kaynaklara bakın.
Bu makalenin kılavuzunu bir iş yüküne uygulama örnekleri olarak aşağıdaki başvuru mimarilerini kullanın:
Uygulama uzmanlığınızı geliştirmek için aşağıdaki kaynakları kullanın:
Diğer kaynaklara bakın: