Azure Sanal Ağ Service Endpoint ile PaaS Kaynaklarına Erişimi Kısıtlama
Azure Sanal Ağ Service Endpoint, bazı Azure servis kaynaklarına ağ erişimini sanal ağ alt ağına sınırlamanızı sağlar. Ayrıca kaynaklara internet erişimini kaldırabilirsiniz. Hizmet uç noktaları, sanal ağınızdan Azure servislerine erişmek için sanal ağınızın özel adres alanını kullanmanıza izin veren, desteklenen Azure servislerine doğrudan bağlantı sağlar. Azure kaynaklarına hizmet bitiş noktaları üzerinden yönlendirilen trafik her zaman Microsoft Azure omurga ağında kalır.
Makalemizde kullanacağımız örneğimize başlayalım.
- Öncelikle bir sanal ağ oluşturuyoruz. Sanal ağınızı aşağıdaki örneğe benzer şekilde oluşturabilirsiniz. Veya var olan sanal ağınızı kullanabilirsiniz.
- Servis bitiş noktaları, servis başına, alt ağlar için erkinleştirilir. Bir alt ağ oluşturacağız ve alt ağ için bir hizmet uç noktasını etkinleştireceğiz.
- Oluşturduğumuz VNET’e yeni bir alt ağ ekliyoruz.
- Alt ağ oluştururken Service Endpoint olarak Microsoft.Storage’ı seçiyoruz.
- Varsayılan olarak, bir alt ağdaki tüm VM’ler tüm kaynaklarla iletişim kurabilir. Bir ağ güvenlik grubu oluşturarak ve onu alt ağla ilişkilendirerek, alt ağdaki tüm kaynaklardan gelen ve onlarla iletişimi sınırlayabilirsiniz. Bunun için bir Network Security Group oluşturuyoruz.
- Network Security Group oluştukran sonra Azure Depolama hizmetiyle giden iletişimine izin veren bir kural oluşturuyoruz. (Outbound)
- İnternet ile iletişimi engelleyen başka bir giden güvenlik kuralı oluşturacağız.
- Herhangi bir yerden alt ağa RDP trafiğine izin veren bir gelen güvenlik kuralı oluşturacağız.
- Network Security Group kurallarını oluşturduktan sonra, NSG ile Private alt ağı eşliyoruz.
- Servis uç noktaları için etkinleştirilen Azure hizmetleri aracılığıyla oluşturulan kaynaklara ağ erişimini kısıtlamak için gereken adımlar, servisler arasında farklılık gösterir. Bu makalede Azure Storage için kısıtlama oluşturacağımızdan bir Azure Storage hesabı oluşturuyoruz.
- Oluşturduğumuz storage hesabı için bir File Share açıyoruz.
- Varsayılan olarak, depolama hesapları internet de dahil olmak üzere herhangi bir ağdaki istemcilerden ağ bağlantılarını kabul eder. Oluşturduğunuz sanal ağdaki Private alt ağ hariç, internetten ve tüm sanal ağlardaki diğer tüm alt ağlardan ağ erişimini engelleyeceğiz.
- Bunun için depolama hesabında Firewalls and virtual networks bölümüne geliyoruz. Pricate subneti ekliyoruz.
Bundan sonra artık oluşturduğunuz sanal ağ içerisinde bulunana Public alt ağdağı VM’ler bu storage hesabına, dolayısıyla dosya paylaşımına erişemez. Sadece Private alt ağdaki VM’ler erişebilir.