Azure Network Security
Azure’de güvenlik, her aşamada tasarım, kod geliştirme, izleme, operasyonlar, tehdit istihbaratı ve müdahale konularında inşa edilmiştir. Bulutun genişliğinin ve ölçeğinin güvenlik teknolojisine ve birkaç organizasyonun sağlayabileceği süreçlere derin bir bağlılık gerektirdiği bilinmektedir. On yıllarca süren kurumsal yazılım geliştirme ve Microsoft Azure, Bing, Dynamics 365, Office 365, OneDrive ve Xbox Live gibi dünyanın en büyük çevrimiçi hizmetlerini çalıştıran Microsoft, güvenlik konusundaki benzersiz bakış açısını oluşturdu. Trilyonlarca sinyalden ve milyarlarca kaynaktan geliştirilen tehdit istihbaratını kullanan Microsoft, Microsoft Secure olarak adlandırılan kapsamlı bir yaklaşım sağlamak için güvenlik kapasitesine yıllık 1 milyardan fazla yatırım yapmaktadır.
Microosft kapsamlı operasyonel deneyimlerinizi güvenli bir platform oluşturmak için ve güvenli uygulamalar oluşturmaya yardımcı olacak hizmetler geliştirmektedir. Microsoft’un sözü, uygulamalarınızı, verilerini ve kimliklerini güvence altına almak için Azure’u kullanabileceğinizdir. Bulut hizmet sağlayıcıları arasında liderlik yapmasını sağlayan bu sözü geniş bir Azure uyum sertifikaları setiyle sunmaktadır.
Bu blogda, bir ağ perspektifinden güvenlik üzerine yoğunlaşacağım ve oldukça güvenli bulut hizmetleri oluşturmak için Azure ağ yeteneklerini nasıl kullanabileceğinizi anlatacağım. Dört ayrı alan, müşterilere nasıl güvenli bir ağ sağladığını göstermektedir:
- Müşteri ağları için bir izolasyon sınırı sağlayan güvenli bir ağ yapısını sağlamak için Azure Sanal Ağı’dır.
- Sanal Ağ yapılandırması ve politikaları bulut uygulamalarını korur.
- Aktif izleme sistemleri ve araçları güvenlik doğrulamasını sağlar.
- Dahili gelişmiş güvenlik güçlendirmesi ile altta yatan bir fiziksel ağ altyapısı, küresel ağın tamamını korur.
Bulut hizmetlerinin muazzam büyümesini desteklemek ve mükemmel bir ağ deneyimi yaşatmak için Microsoft, dünyanın en büyük dark fiber omurgalarından birine sahiptir ve veri merkezlerini ve müşterilerini birbirine bağlar. Azure’da müşterilere izole edilmiş özel ağlar sağlamak için paylaşılan fiziksel ağın üstünde mantıksal yer paylaşımı ağları çalıştırılmaktadır.
Yer paylaşımlı ağlar, Azure’nin yazılım tanımlı ağ (SDN) yığını tarafından uygulanmaktadır. Her yer paylaşım ağı, bir API çağrısı aracılığıyla müşteriye özel olarak oluşturulur. Bu tür ağları yapılandırmak için kullanılan tüm yapılandırmalar yazılımla gerçekleştirilir; bu yüzden Azure binlerce yer paylaşımlı ağları saniyeler içinde büyütebilir. Her bir üstgeçme ağı, müşterinin Sanal Ağını (VNet) oluşturan kendi 3. Katman yönlendirme alanınızdır.
Azure Sanal Ağı, kurum içi ağınız gibi tedavi ettiğiniz ağ izolasyonu ve güvenlik denetimlerini sağlayan güvenli, mantıklı bir ağdır. Her müşteri, kendi yapılarını, alt ağlar kullanarak oluşturur; iş yüklerini bulutta çalıştırmak için kendi özel IP adres aralığını kullanır, rota tablolarını, ağ güvenlik gruplarını, erişim denetim listelerini (ACL), ağ kapılarını ve sanal aygıtları yapılandırırlar.
Aşağıdaki şekil iki müşteri sanal ağına bir örnek göstermektedir. Müşteri 1’in VNet’i kurum içi şirket ağına bağlanırken, Müşteri 2’nin VNet’e yalnızca Uzak Masaüstü Protokolü (RDP) aracılığıyla erişilebilir. Internet’ten sanal makinelere (VM’ler) gelen ağ trafiği, Azure yük dengeleyicisini ve ardından VM’yi çalıştıran Windows Server ana bilgisayarına geçer. Ana makine ve misafir güvenlik duvarları, ağ bağlantı noktası engelleme ve ACL kurallarını uygularlar.
VNet’e yerleştirilen VM’ler, özel IP adreslerini kullanarak birbirleriyle iletişim kurabilir. IP adres bloklarını, DNS ayarlarını, güvenlik ilkelerini ve yönlendirme tablolarını kontrol edersiniz. Yararları şunlardır:
- İzolasyon: VNets birbirinden izole edilebilir; böylece geliştirme, test etme ve üretim için ayrı ağlar oluşturabilirsiniz. VNets’inizin birbirleriyle iletişim kurmasına da izin verebilirsiniz.
- Güvenlik: Ağ güvenliği gruplarını kullanarak, alt ağlara ve VM’lere giren ve çıkan trafiği kontrol edebilirsiniz.
- Bağlantı: VNet içindeki tüm kaynaklar bağlı. Aynı bölgedeki diğer Sanal Ağlarla bağlantı kurmak için VNet’e bakmayı kullanabilirsiniz. Sanal özel ağ (VPN) ağ geçitlerini, Internet üzerinden kurum içi sitelerden ve diğer bölgelerdeki VNet’lere IPsec bağlantısını VNets’e etkinleştirmek için kullanabilirsiniz. ExpressRoute, Internet’i atlayan VNets’e özel ağ bağlantısı sağlar.
- Yüksek kullanılabilirlik: Yük dengeleme, yüksek kullanılabilirlik ve ağ performansını müşteri uygulamalarına aktarmanın önemli bir parçasıdır. Bir VM’e yapılan tüm trafik, Azure Yük Dengeleyicisi üzerinden geçmektedir.
Aralık 2016’da güvenlik uzmanları tarafından yapılan bir ankete göre, yıllık en büyük güven düşüşü “web uygulamalarının güvenliği” idi ve bu durum, 18 noktadan yüzde 80’den, yüzde yüzde 62’ye indirildi. Microsoft, güvenlik oluşturarak potansiyel güvenlik açıklarına hitap eden uygulamala sunmak ve müşterilerin bulut tarafından barındırılan uygulamaların güvenliğini geliştirme aşamasından hizmete erişimi kontrol etmeye kadar tamamlamasına yardımcı olmak için özellikler ve hizmetler sunmaktır.
Azure, müşterilerin uygulamalarını güvence altına almak için kullanabilecekleri zengin bir ağ mekanizmaları grubuna sahiptir. İşte bazı örnekler.
Ağ ACL’leri, genel uç nokta IP adreslerinde erişimi kısıtlamak üzere yapılandırılabilir. Bitiş noktasındaki ACL’ler, trafiği yalnızca belirli kaynak IP adreslerine sınırlar.
Ağ Güvenliği Grupları (NSG), VNet’inizdeki VM’lere ağ erişimini denetler. Bu ağ ACL’leri topluluğu, bir alt ağa veya bir VM’nin ağ arabirimine giren veya çıkan tüm trafiğe tam beş (kaynak IP adresi, kaynak bağlantı noktası, hedef IP adresi, hedef portu, protokol) kurallar grubunun uygulanmasına izin verir. Bir alt ağa veya VM’e ilişkin NSG’ler, SDN yığını tarafından zorlanır.
Ağ sanal araçları (NVA’lar) VNet güvenlik ve ağ işlevlerini destekler ve Azure Marketplace aracılığıyla çok sayıda satıcıdan edinilebilir. NVA’lar yüksek kullanılabilir güvenlik duvarları, saldırı önleme, saldırı tespiti, web uygulama güvenlik duvarları (WAF’ler), WAN optimizasyonu, yönlendirme, yük dengeleme, VPN, sertifika yönetimi, Active Directory ve çok faktörlü kimlik doğrulama için kullanılabilir.
Birçok işletme, belirli poliçeleri uygulamak için tüm ağ paketlerinin kurum içi denetimini gerektiren sıkı güvenlik ve uyumluluk gerekliliklerine sahiptir. Azure, zorunlu tünel oluşturma adı verilen ve trafiğin VM’lerden kuruma özel bir rota oluşturarak veya Border Gateway Protokolü (BGP) ile ExpressRoute veya VPN yoluyla yönlendiren bir mekanizma sağlamaktadır.
Aşağıdaki şekil ön uç alt ağını korumak için ayrılmış alt ağlar ve bir NVA üzerinde NSG kuralları kullanmanın bir örneğini göstermektedir.
Layer 7 yük dengeleyici olan Azure Application Gateway, en yaygın web açıklarına karşı koruma sağlamak için Web Application Firewall (WAF) işlevselliği de sağlar.
Tesislerinizden Azure’a güvenli bir şekilde bağlanmak, VPN Ağ Geçidi servisine erişmek için IPsec’i kullanarak İnternet üzerinden veya ExpressRouteui kullanarak özel bir ağ bağlantısı ile başlayabilirsiniz. Aşağıdaki şekil ön uç (İnternet’e bakan) web sunucusu ve arka uç uygulama sunucuları için farklı kurallar içeren NSG’leri kullanarak Sanal Ağ erişiminin kısıtlanabileceği çevresel ağ stili geliştirilmiş güvenlik tasarımını göstermektedir.
Azure, güvenlik olaylarını izlemek, önlemek, tespit etmek ve bunlara tepki vermek için birçok araç sunar. Müşterilerin, Azure kaynaklarının güvenliği konusunda görünürlük ve kontrol olanağı sağlayan Azure Güvenlik Merkezi’ne erişimi vardır. Entegre güvenlik izleme ve politika yönetimi sağlar, tehditleri tespit etmeye yardımcı olur ve kapsamlı güvenlik çözümleri ekosistemiyle çalışır.
Ayrıca, Azure ağınızı izlemek, teşhis etmek ve bu konularda fikir edinmek için Network Watcher da sunulmaktadır. Ağınızın güvenlik ve performansını izlemek için tanılama ve görselleştirme araçları ile, ağ sorunlarını belirleyebilir ve çözebilirsiniz. Örneğin, bir NSG’ye gelen ve bu NSG’den çıkan trafik hakkında bilgi görüntülemek için, Network Watcher NSG akış günlükleri sağlar. NSG’lerin doğru dağıtıldığını doğrulayabilir ve kaynaklarına hangi yetkili olmayan IP’lere erişmeye çalıştığını görebilirsiniz.
2015 Ponemon araştırmasına göre, şirketler için güvenlik ihlali başına ortalama maliyet 15 milyon dolar. Kurumunuzun varlıklarını korumak için Microsoft Cloud veri merkezleri, çevre koruma çiti, video kamera, güvenlik personeli, gerçek zamanlı iletişim ağları ve tüm fiziksel sunucular da dahil olmak üzere derinlemesine güvenlik savunma katmanları tarafından korunmaktadır. Düzenli olarak denetlenen bu güvenlik önlemleri, Azure’un güçlü uyumluluk sertifikalar portföyünü elde etmesine yardımcı olur.
Uzun yıllardır, müşterilerine çevrimiçi suçlu ve hackerlardan korumak için ürünlerinde ve hizmetlerinde şifreleme kullanılması sağlandı. Müşteri verilerinin ihlal edilmesiyle şans tanımak istenilmemektedir. Microsoft Ağlarında ve hizmetlerindeki müşteri verilerinin şifrelemesini güçlendirmek için kapsamlı bir mühendislik çabaları gösterilmektedir. Bu çaba, müşteri tarafından oluşturulan içeriğin tüm yaşam döngüsü boyunca koruma sağlayacaktır.
Veri merkezleri rasındaki Azure trafiği küresel ağda kalır ve İnternet üzerinden akmaz. Bu, dünyanın herhangi bir yerindeki Microsoft Azure genel bulut hizmetleri arasındaki tüm trafiği kapsar. Örneğin, Azure’da, VM’ler, depolama alanı ve SQL arasındaki trafik, kaynak ve hedef bölgeye bakılmaksızın Microsoft ağında kalır. Bölgeler arası VNet-VNet ve bölgedeki VNet-VNet trafiği, Microsoft ağında kalır.
Distributed denial of service (DDoS) saldırıları sürekli artan bir tehdittir. Bu tür saldırıların artan ölçekte ve karmaşıklığına karşı korunmak, küresel ölçekte konuşlandırılmış önemli altyapıya ihtiyaç duyar. Azure, tüm Microsoft bulut servislerini korumak için dahili bir DDoS koruma sistemi içeriyor. Bu nedenle, tüm Azure genel IP’leri tüm Azure veri merkezlerinde konuşlandırılan bu korumaya girer. DDoS sistemi, yaygın DDoS hacimsel saldırılarını (UDP selleri, SYN-ACK saldırıları veya yansıma saldırıları) önlemek için dinamik tehdit algılama algoritmaları kullanmaktadır. Yüzlerce günlük hafifletilmiş saldırı girişimi izlenmekted ve koruma sürekli genişletilmektedir.
Azure kendisi de internet üzerinden aktif izleme ve istihbarat toplama yoluyla korunmaktadır. Potansiyel riskleri ve saldırıları belirlemek ve azaltmak için dark web’e sürekli olarak tehdit istihbarat araştırması yapılmaktadır. Bu bilgi koruma tekniklerine ve hafifleticilerine uygulanır.
Bu yatırımları bir araya getirdiğimizde, Azure’de çalışan hizmetlerinizi korumak için aşağıdaki şekilde gösterildiği gibi katmanlı bir güvenlik modeli sunulmaktadır.
Azure, güvenlik konusunda önemli yatırımlar yapmıştır. Müşteriler bulut uygulamalarını tasarlamak, yapılandırmak ve izlemek için Sanal Ağları ve diğer güvenlik özelliklerini ve hizmetlerini kullanabilirler. Sürekli değişen yeni siber tehditlere dikkat çekmek için küresel altyapıları agresif olarak izliyor ve sürekli olarak güçlendirilmektedir.
Microsoft, ağ güvenlik saldırılarının önlenmesinde lider olmayı sürdürüyor. Küresel ayak izi ve en popüler bulut hizmetlerini çalıştıran tecrübesiyle, ağını güvence altına almak ve hizmetlerinizi güvenli hale getirmenize yardımcı olmak için hem ölçek hem de geniş bir girdi sunmaktadır. Ağ güvenliği teknolojilerine yatırım yapmaya devam edilecektir, böylece Azure’da hizmetlerinizi güvenle ve uyumlu bir şekilde oluşturabilir, uygulayabilir, izleyebilir ve çalıştırabilirsiniz.