Microsoft Azure, kullanıcıların daha sağlam ve güvenli ağ mimarileri oluşturmasına olanak tanıyan, Azure Güvenlik Duvarı ile Azure Standart Yük Dengeleyici arasındaki yeni entegrasyon yeteneklerini açıkladı.
İster genel ister dahili bir yük dengeleyiciyi tercih edin, bu entegrasyon kuruluşunuzun bağlantı ve güvenlik ihtiyaçlarını karşılayacak esneklik sağlar.
Microsoft, genel yük dengeleyiciyle ilgili zorlukları, özellikle de asimetrik yönlendirme gibi sorunları hafifletmek için rehberlik sunarken, basitliği nedeniyle dahili yük dengeleyici senaryosunu önerir.
İki senaryoya, bunların sunduğu zorluklara ve ekstra güvenlik katmanlarını kurulumunuza nasıl dahil edebileceğinize daha yakından bakalım.
Genel Yük Dengeleyici Entegrasyonu
Bu yaklaşımda, Azure Standart Yük Dengeleyici genel bir ön uç IP adresiyle dağıtılarak gelen trafiği kolaylaştırır. Ancak Azure Güvenlik Duvarı ile birlikte genel yük dengeleyici kullanmak, aşağıdaki zorlukları da beraberinde getirir: asimetrik yönlendirme.
Asimetrik yönlendirme, ağ trafiğinin gelen ve giden yolculukları sırasında farklı yollar izlemesi durumunda ortaya çıkar. Bu, Azure Güvenlik Duvarı için sorunludur çünkü durum bilgisi olan tasarımı, trafiğin her iki yönde de aynı yolu izlemesini bekler. Örneğin:
- Gelen paketler yük dengeleyicinin genel IP adresine ulaşır.
- Ancak giden paketler, güvenlik duvarının özel IP adresi aracılığıyla varsayılan yolu kullanır.
Güvenlik duvarı geri dönen paketleri aktif bir oturumla eşleştiremediği için bu paketleri bırakarak bağlantıyı keser.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses
Asimetrik Yönlendirmeye Çözüm
Bu sorunu çözmek için Microsoft, uygun paket yönlendirmesini sağlamak amacıyla bir rota tablosu girişinin kullanılmasını önerir. İşte süreç:
- Varsayılan Rota: Azure Güvenlik Duvarı’nı bir alt ağa dağıtırken, paketleri AzureFirewallSubnet’teki güvenlik duvarının özel IP adresine yönlendiren varsayılan bir rota oluşturun.
- Genel IP için Ana Bilgisayar Rotası: Güvenlik duvarının genel IP adresi için ek bir rota oluşturun. Genel IP adresine gönderilen paketler varsayılan yolu atlamalı ve bunun yerine İnternet üzerinden yönlendirilmelidir. Bu, güvenlik duvarının trafiği sorunsuz bir şekilde işlemesini sağlar.
Örnek:
- Güvenlik duvarı genel IP’si:
203.0.113.136 - Güvenlik duvarı özel IP’si:
10.0.1.4
The route table ensures that packets destined for 203.0.113.136 are routed via the Internet, not through the private IP.Tipik bir kurulumda, gelen trafiği çevirmek için bir NAT kuralı ekleyebilirsiniz. Örneğin, güvenlik duvarının genel IP’sini hedefleyen Uzak Masaüstü Protokolü (RDP) trafiği (203.0.113.136) yük dengeleyicinin genel IP’sine (203.0.113.220).
Yük dengeleyici sistem durumu araştırmalarının etkili bir şekilde çalışmasını sağlamak için arka uç havuzunuzdaki ana bilgisayarlar üzerinde bir web hizmetinin çalıştığından emin olun. TCP sistem durumu araştırmaları için bağlantı noktası 80’i yapılandırın veya gerektiği gibi HTTP/HTTPS kullanın.
Dahili Yük Dengeleyici Entegrasyonu
Dahili yük dengeleyici senaryosu, Azure Güvenlik Duvarı ile daha sorunsuz bir entegrasyon sunar. Genel yük dengeleyicinin aksine asimetrik yönlendirme sorunlarını tamamen önler. İşte nasıl:
- Yük dengeleyici özel bir ön uç IP adresi kullanır.
- Gelen trafik güvenlik duvarının genel IP adresine ulaşır.
- Güvenlik duvarı kendi kurallarını uygular ve paketleri yük dengeleyicinin özel IP adresine çevirir.
- Arka uç ana bilgisayarlardan giden trafik, özel IP adresi aracılığıyla güvenlik duvarına geri döner ve tutarlı bir yönlendirme yolu korunur.
Giden İnternet erişimi için, sanal makinelerin alt ağında kullanıcı tanımlı rotaları (UDR’ler) yapılandırın. Bu rotalar bir sonraki atlama noktası olarak güvenlik duvarına işaret etmelidir.
Ağ Güvenlik Grupları (NSG’ler) ile Güvenliği Artırma
Ağ güvenliğinizi daha da güçlendirmek için şunu eklemeyi düşünün: Ağ Güvenlik Grupları (NSG’ler) yük dengeli kurulumunuza. NSG’ler, belirli alt ağlar veya sanal makineler için gelen ve giden trafik kurallarını tanımlamanıza olanak tanır. Örneğin:
- Yük dengeli kaynaklarınızı barındıran arka uç alt ağına bir NSG dağıtın.
- Yalnızca güvenlik duvarının IP adresinden ve belirlenen bağlantı noktalarından gelen trafiğe izin verecek şekilde kuralları yapılandırın.
İşletmeler, Azure Güvenlik Duvarı’nı Azure Standart Yük Dengeleyici ile entegre ederek gereksinimlerine göre uyarlanmış güvenli ve ölçeklenebilir bir ağ altyapısı elde edebilir. Azure, ister dahili bir yük dengeleyicinin basitliğinden yararlanıyor ister genel bir yük dengeleyici kurulumunu optimize ediyor olsun, başarılı olmanızı sağlayacak araçları ve rehberliği sağlar.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt