Azure Application Security Groups
Application Security Groups Azure’daki sanal ağlarınız için güvenlik mikro bölümlemesi sağlar. ASG’ler, açık IP adresleri yerine uygulamalarda merkezileştirilmiş iş yüklerine dayanan ince ağ güvenliği politikaları tanımlamanıza olanak tanır. Ağınızın güvenilen kesimlerinden gelen trafiği filtreleyerek VM’leri takma adlarla ve güvenli uygulamalarla gruplama olanağı sağlar.
ASG’lerde, uygulama modellerine göre trafiğe filtre uygulamak, aşağıdaki adımlar kullanılarak yapılabilir:
- Uygulama gruplarınızı tanımlayın, mimarinize uygun bir takma tanımlayıcı ad verin. Uygulamalar, iş yükü tipleri, sistemler, kademeler, ortamlar veya herhangi bir rol için kullanabilirsiniz.
- ASG’leri ve Ağ Güvenlik Gruplarını (NSG) kullanarak tek bir kural koleksiyonunu tanımlayın, tüm alt ağlarda tüm sanal ağınıza tek bir NSG uygulayabilirsiniz. Tek bir NSG size trafik politikalarınızda tam görünürlük ve yönetim için tek bir yer sunar.
- VM’leri dağıtırken, onları uygun ASG’lerin üyeleri yapın. Sanal makinenizde birden fazla iş yükü çalışıyorsa, sadece birden fazla ASG atayın. İş yüklerinize bağlı olarak erişim sağlanır. Güvenlik tanımı için tekrar endişelenmenize gerek yok. Daha da önemlisi, açıkça izin verilen uygulama akışlarına erişimi sınırlayan sıfır güven modelini uygulayabilirsiniz.
ASG’ler, aynı alt ağ içinde birden fazla uygulama dağıtma ve ASG’lere dayalı trafiği izole etme özelliğini sunar. ASG’lerle aboneliğinizdeki NSG sayısını azaltabilirsiniz. Bazı durumlarda, sanal ağınızın birden fazla alt ağı için tek bir NSG kullanabilirsiniz. ASG’ler, dinamik ortamlarda aşağıdaki avantajları sağlayarak yapılandırmanızı merkezileştirmenizi sağlar:
- Merkezi NSG görünümü: Tüm trafik politikaları tek bir yerde. Değişiklikleri işletmek ve yönetmek kolaydır. Bir VM grubuna veya bu gruplardan yeni bir bağlantı noktasına izin vermeniz gerekiyorsa, tek bir kuralda değişiklik yapabilirsiniz.
- Merkezileştirilmiş günlük kaydı: NSG akış günlükleriyle birlikte, günlükler için tek bir yapılandırma trafik analizi için birçok avantaja sahiptir.
- Politikaları yürürlüğe koyma: Belirli bir trafiği reddetmeniz gerekirse, yüksek önceliğe sahip bir güvenlik kuralı ekleyebilir ve idari kuralları uygulayabilirsiniz.
ASG’lerle, birden fazla iş yükünü izole edebilir ve sanal ağınız için ek koruma düzeyleri sağlayabilirsiniz. Aşağıdaki çizimde, aynı sanal ağa birden fazla uygulama dağıtılmıştır. Açıklanan güvenlik kurallarına göre, iş yükleri birbirinden izole edilmiştir. Uygulamalardan birinden bir VM tehlikeye atılırsa, saldırganın olası etkisi en aza indirecektir. Bu örnekte, uygulama1’deki web sunucusu VM’lerinden birinin tehlikeye girdiğini varsayalım, uygulamanın geri kalanının korunmaya devam edeceğini, veritabanı sunucuları gibi kritik iş yüklerine erişimin hala erişilemeyeceğini varsayalım. Bu uygulama ağınıza birden fazla güvenlik katmanı sağlar ve bu izinsiz girişimi bu tür olaylara daha az zararlı ve kolay tepki verir hale getirir.
NSG’deki ek özelliklerle birlikte, iş yüklerinizi farklı senaryolarda şirket içi ve Azure servislerden de izole edebilirsiniz.
Aşağıdaki çizimde, sanal bir ağ içindeki birden fazla iş yükü türü için nispeten karmaşık bir ortam yapılandırılmıştır. Güvenlik kurallarını açıklayarak, uygulamalar her VM’de uygulanan doğru politika kümesine sahiptir. Önceki örneğe benzer şekilde, şubelerinizden biri tehlikeye girerse, sanal ağ içindeki keşifler sınırlıdır, bu nedenle davetsiz misafirlerin olası etkilerini en aza indirir.
Bu örnekte, VPN kullanarak bağlı şubelerinizden birini kabul edelim, bir iş istasyonunu tehlikeye atabilir ve ağınıza erişebilirsiniz. Normal olarak, ağınızın geri kalanını izole ederek bu şube için yalnızca ağınızın bir alt kümesi gerekir; diğer tüm uygulamalar korunmaya ve ulaşılamaz olmaya devam edecektir. ASG, tüm ağınız için başka bir güvenlik katmanı sunar. Bir başka ilginç senaryo, web sunucularınızdan birinde bir ihlal tespit ettiğinizi varsayarsak, VM’i araştırma için izole etmek iyi bir fikir olacaktır. ASG’lerle, ilk güvenlik politikanızda VM’leri karantinaya almak için önceden tanımlanmış özel bir grubu kolayca atayabilirsiniz. Bu VM’ler, bu muameleleri yanıtlamanıza ve azaltmanıza yardımcı olacak ek bir avantaj sağlayarak erişimini kaybeder.
NSG’lerde yapılan en son gelişmelerle birlikte Uygulama Güvenlik Grupları, ağ güvenliği alanında, tek bir yönetim deneyimi, birden fazla boyutta daha fazla limit, yüksek düzeyde basitleştirme ve mimarinizle doğal bir entegrasyon gibi birçok fayda sağlamıştır.