Gelişmiş Ağ Koruması için Azure Güvenlik Duvarını Yapılandırma

Gelişmiş Ağ Koruması için Azure Güvenlik Duvarını Yapılandırma

08/08/2024

Bu teknik ve eğitici makale, gelişmiş ağ koruması için Azure Güvenlik Duvarı'nı yapılandırma ve kullanma konusunda güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine rehberlik etmeyi amaçlamaktadır. Azure Güvenlik Duvarı, Azure ağ kaynakları için Katman 4 ve Katman 7 tehdit koruması sağlayan, ağ denetiminin merkezileştirilmesine ve bulut ortamlarında tutarlı güvenlik politikalarının uygulanmasına olanak tanıyan, yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir [1].

Giriş

Sürekli büyüyen bulut ortamında ağ güvenliği, uygulamaları ve verileri korumanın temel dayanağıdır. Azure Güvenlik Duvarı, güvenlik politikaları için merkezi bir uygulama noktası görevi görerek ağ trafiğini incelemek ve kontrol etmek için sağlam bir çözüm sunar. Tam Nitelikli Etki Alanı Adı (FQDN) tabanlı trafik filtreleme, tehdit istihbaratı, İzinsiz Giriş Tespit ve Önleme Sistemi (IDPS) ve TLS denetimi gibi gelişmiş özellikler sunarak temel Ağ Güvenlik Gruplarının (NSG'ler) ötesine geçerek Azure'daki güvenli ağ mimarileri için, özellikle Hub-and-Spoke modellerinde [2] vazgeçilmez hale getirir.

Bu pratik kılavuz, Azure Güvenlik Duvarı'nın dağıtımını, ağ ve uygulama kurallarını yapılandırmayı, tehdit istihbaratını ve IDPS'yi etkinleştirmeyi, diğer Azure hizmetleriyle tümleştirmeyi ve ağ yönetimine yönelik en iyi uygulamaları kapsayacaktır. Okuyucunun etkili bir ağ koruma stratejisini uygulayabilmesi ve doğrulayabilmesi, saldırı yüzeyini azaltabilmesi ve Azure altyapısının siber dayanıklılığını güçlendirebilmesi için adım adım talimatlar, örnek Azure CLI komutları ve örnekler sağlanacaktır.

Azure Güvenlik Duvarı Gelişmiş Ağ Koruması için neden çok önemlidir?

  • Gelişmiş Trafik Filtreleme: Ağ trafiğini IP adreslerine, bağlantı noktalarına, protokollere, FQDN'lere ve URL'lere göre filtrelemenize olanak tanıyarak ayrıntılı kontrol sunar.
  • Tehdit İstihbaratı: Microsoft tehdit istihbaratı akışlarına dayalı olarak bilinen kötü amaçlı etki alanlarına ve IP adreslerine giden ve gelen trafiği otomatik olarak engeller.
  • IDPS (İzinsiz Giriş Tespit ve Önleme Sistemi): Güvenlik açığından yararlanma ve kötü amaçlı yazılımlar da dahil olmak üzere gerçek zamanlı imza tabanlı saldırıları algılar ve engeller.
  • TLS Denetimi: Gizli tehditleri incelemek ve güvenlik ilkelerini uygulamak için giden TLS/SSL trafiğinin şifresini çözer ve hedefe göndermeden önce yeniden şifreler.
  • Merkezi Dağıtım: Birden fazla bağlı sanal ağı korumak, yönetimi ve politika uygulamasını basitleştirmek için bir merkez sanal ağında dağıtılabilir.
  • Yüksek Kullanılabilirlik ve Ölçeklenebilirlik: Ani trafik artışlarıyla başa çıkmak için entegre yüksek kullanılabilirlik ve otomatik ölçeklenebilirliğe sahip, tam olarak yönetilen bir hizmettir.
  • Azure Ekosistem Entegrasyonu: Merkezi izleme, analiz ve yönetim için Azure Monitor, Azure Sentinel ve Azure Güvenlik Duvarı Yöneticisi ile sorunsuz bir şekilde bütünleşir.

Önkoşullar

Azure Güvenlik Duvarı'nı gelişmiş ağ korumasına yönelik olarak yapılandırmak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Etkin Azure Aboneliği: Kaynakları oluşturmaya ve yönetmeye yönelik bir Azure aboneliği.
  2. Yönetim Erişimi: Azure aboneliğinde veya Güvenlik Duvarı ve Sanal Ağların dağıtılacağı kaynak grubunda "Sahip" veya "Katkıda Bulunan" rolüne sahip bir hesap.
  3. Azure Sanal Ağları (VNet'ler): Azure Güvenlik Duvarı'nı dağıtmak için en az bir VNet ve ideal olarak gösterim için bir Hub-and-Spoke mimarisi.
  4. İsteğe bağlı: Sanal Makineler (VM'ler): Güvenlik duvarı kurallarını test etmek için bağlı bileşen VNet'lerinde dağıtılan VM'ler.
  5. Azure CLI veya Azure PowerShell: Azure ile etkileşim kurmak için yüklenmiş ve yapılandırılmış komut satırı araçları.

Adım Adım: Gelişmiş Koruma için Azure Güvenlik Duvarını Yapılandırma

Bir Azure Güvenlik Duvarı dağıtalım ve ana özelliklerini yapılandıralım.

1. Hub-and-Spoke Mimarisini Hazırlamak

Hub-and-Spoke mimarisi, Azure'da, hub VNet'in paylaşılan hizmetleri (Azure Güvenlik Duvarı gibi) içerdiği ve bağlı bileşen VNet'lerinin iş yüklerini içerdiği ortak bir ağ topolojisidir. Teller arasındaki ve internete giden trafik, merkez üzerinden yönlendirilir.

  1. Kaynak Grubu Oluştur: Tüm kaynaklar için bir kaynak grubu oluşturun. ``` bash az group create --name RG-Güvenlik Duvarı-Artigos --location eastus ''''
  2. VN'yi oluşturunet Hub: Azure Güvenlik Duvarı için ayrılmış bir alt ağa ("AzureFirewallSubnet") sahip hub için bir VNet oluşturun. ``` bash az network vnet create --name VNet-Hub --resource-group RG-Firewall-Artigos --address-prefix 10.0.0.0/16 --location eastus az network vnet subnet create --name AzureFirewallSubnet --vnet-name VNet-Hub --resource-group RG-Firewall-Articles --address-prefix 10.0.1.0/24 ''''
  3. VNet Spoke Oluşturun: VM'ler için bir alt ağ ile jant teli için bir VNet oluşturun. ``` bash az network vnet create --name VNet-Spoke --resource-group RG-Firewall-Artigos --address-prefix 10.1.0.0/16 --location eastus az network vnet subnet create --name WorkloadSubnet --vnet-name VNet-Spoke --resource-group RG-Firewall-Articles --address-prefix 10.1.1.0/24 ''''
  4. VNet Eşlemeyi Yapılandırın: Hub VNet'i ve bağlı bileşen VNet'ini eşleme yoluyla bağlayın. ``` bash az ağ vnet eşlemesi create --name HubToSpoke --resource-group RG-Firewall-Articles --vnet-name VNet-Hub --remote-vnet VNet-Spoke --allow-vnet-access az ağ vnet eşlemesi create --name SpokeToHub --resource-group RG-Firewall-Articles --vnet-name VNet-Spoke --remote-vnet VNet-Hub --allow-vnet-access ''''

2. Azure Güvenlik Duvarını Dağıtma

  1. Azure Güvenlik Duvarı Oluşturun: Azure Güvenlik Duvarını hub VNet'in "AzureFirewallSubnet"ine dağıtın. ``` bash az ağ güvenlik duvarı oluştur --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --location eastus --sku Standard az ağ güvenlik duvarı ip-config create --firewall-name AzureFirewall-01 --name AzureFirewall-IP --resource-group RG-Firewall-Articles --vnet-name VNet-Hub --public-ip-address az-firewall-pip ''''

    • Not: "az network güvenlik duvarı ip-config create" komutu, bir ad sağlarsanız (ör. "az-firewall-pip") Güvenlik Duvarı için otomatik olarak bir Genel IP oluşturacaktır.

  2. Güvenlik Duvarı Özel IP'sini Alın: Yönlendirme için kullanılacağı için Azure Güvenlik Duvarı özel IP'sini not edin. ``` bash az ağ güvenlik duvarı gösterisi --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --query ipConfigurations[0].privateIpAddress -o tsv ''''

3. Azure Güvenlik Duvarı için Yönlendirmeyi Yapılandırma

Bağlı VNet trafiğinin Azure Güvenlik Duvarı'ndan geçmesi için bir Yön Tablosu oluşturmamız ve bunu bağlı tel alt ağıyla ilişkilendirmemiz gerekir.

  1. Rota Tablosu Oluştur: Bir rota tablosu oluşturun. ``` bash az ağ rota tablosu create --name FirewallRouteTable --resource-group RG-Firewall-Artigos --location eastus ''''
  2. Varsayılan Yol Ekle: Tüm trafiği Azure Güvenlik Duvarı özel IP'sine yönlendiren varsayılan bir yol (0.0.0.0/0) ekleyin. ``` bash # değerini önceki adımda elde edilen özel IP ile değiştirin FIREWALL_PRIVATE_IP=$(az ağ güvenlik duvarı gösterisi --name AzureFirewall-01 --kaynak grubu RG-Firewall-Artigos --query ipConfigurations[0].privateIpAddress -o tsv) az ağ rota tablosu rota oluşturma --name DefaultRouteToFirewall --resource-group RG-Firewall-Artigos --route-table-name FirewallRouteTable --address-prefix 0.0.0.0/0 --next-hop-type VirtualAppliance --next-hop-ip-address $FIREWALL_PRIVATE_IP ''''
  3. Yol Tablosunu Spoke Alt Ağıyla İlişkilendir: Yön tablosunu "VNet-Spoke"un "WorkloadSubnet"iyle ilişkilendirin. ``` bash az ağ vnet alt ağ güncellemesi --name WorkloadSubnet --vnet-name VNet-Spoke --resource-group RG-Firewall-Articles --route-table FirewallRouteTable ''''

4. Azure Güvenlik Duvarı Kurallarını Yapılandırma

Azure Güvenlik Duvarı, trafiği denetlemek için kural koleksiyonlarını kullanır. Üç tür kural vardır: 'Ağ Kuralları', 'Uygulama Kuralları' ve 'NAT Kuralları'.

4.1. Ağ Kuralları

Katman 3 ve Katman 4 trafiğini (IP, bağlantı noktaları, protokoller) kontrol edin.

  1. DNS için Giden Trafiğe İzin Ver: Ad çözümlemesi için gereklidir. ``` bash az ağ güvenlik duvarı network-rule create --firewall-name AzureFirewall-01 --collection-name "Allow-DNS" --name "Allow-DNS-Outbound" --resource-group RG-Firewall-Articles --priority 100 --action Allow --source-addresses "" --destination-addresses "" --protocols UDP --destination-ports 53 ''''

  2. Belirli bir IP'ye Giden Trafiğe İzin Ver: Örnek: bir yama sunucusuna erişime izin verin. ``` bash az ağ güvenlik duvarı ağ kuralı oluşturma --güvenlik duvarı adı AzureFirewall-01 --collection-name "Allow-Patch-Sunucusu" --name "Allow-Patch-Sunucusu-Giden" --resource-group RG-Güvenlik Duvarı-Makaleleri --priority 110 --actionİzin ver --kaynak-adresleri "10.1.1.0/24" --destination-adresleri "20.1.2.3" --protocols TCP --destination-ports 443 ''''

4.2. Başvuru Kuralları

FQDN'lere dayalı olarak Katman 7 trafiğini (HTTP/HTTPS) kontrol edin.

  1. Microsoft Sitelerine Erişime İzin Verin: Örnek: learn.microsoft.coma erişime izin verin. ``` bash az ağ güvenlik duvarı application-rule create --firewall-name AzureFirewall-01 --collection-name "Allow-Microsoft-Sites" --name "Allow-Learn-Microsoft" --resource-group RG-Firewall-Articles --priority 100 --action Allow --source-addresses "10.1.1.0/24" --protocols Http=80 Https=443 --fqdn-tags "Microsoft.Web Siteleri" --target-fqdns "learn.microsoft.com" ''''

    • İpucu: 'Fqdn etiketleri', Microsoft tarafından ortak hizmetler için önceden tanımlanmış FQDN gruplarıdır.

  2. Kötü Amaçlı Web Sitelerine Erişimi Engelleyin: Azure Güvenlik Duvarı varsayılan olarak açıkça izin verilmeyen her şeyi engeller. Ancak belirli FQDN'ler için açık reddetme kuralları oluşturabilirsiniz. ``` bash az ağ güvenlik duvarı application-rule create --firewall-name AzureFirewall-01 --collection-name "Kötü Amaçlı Siteleri Engelle" --name "Kötü Siteyi Engelle" --resource-group RG-Güvenlik Duvarı-Articles --priority 200 --action Deny --source-adresleri "10.1.1.0/24" --protocols Https=443 --target-fqdns "kötüsite.com" ''''

4.3. NAT (Ağ Adresi Çevirisi) kuralları

Gelen trafiği dahili kaynaklara (DNAT - Hedef NAT) yönlendirmenizi sağlar.

  1. Bir VM'ye Harici RDP Erişimine İzin Verin (dikkatli!): Örnek: Belirli bir genel IP'den bir VM'ye RDP'ye izin verin. ``` bash # Test etmek için WorkloadSubnet'te bir VM oluşturun az vm create --name TestVM --resource-group RG-Firewall-Articles --image UbuntuLTS --size Standard_B1s --vnet-name VNet-Spoke --subnet WorkloadSubnet --admin-username azureuser --admin-password "P@ssw0rd12345!" --bekleme yok

    VM'nin özel IP'sini alın

    VM_PRIVATE_IP=$(az vm show --name TestVM --resource-group RG-Firewall-Artigos --query PrivateIps -o tsv)

    Güvenlik Duvarı genel IP'sini alın

    FIREWALL_PUBLIC_IP=$(az network public-ip show --name az-firewall-pip --resource-group RG-Firewall-Artigos --query ipAddress -o tsv)

    DNAT kuralını oluşturun

    az ağ güvenlik duvarı nat-rule create --firewall-name AzureFirewall-01 --collection-name "Allow-RDP-Inbound" --name "RDP-to-TestVM" --resource-group RG-Firewall-Articles --priority 100 --action Dnat --source-addresses "YOUR_PUBLIC_IP" --destination-adreses $FIREWALL_PUBLIC_IP --protocols TCP --destination-ports 3389 --translated-address $VM_PRIVATE_IP --translated-port 3389 '''' * UYARI: Erişimi kısıtlamak için "YOUR_PUBLIC_IP" kısmını gerçek genel IP adresinizle değiştirin. DNAT kuralları için üretimde "*" kullanmayın.

5. Azure Güvenlik Duvarı Premium'u Yapılandırma (IDPS ve TLS Denetimi)

IDPS ve TLS Denetimi gibi gelişmiş koruma özellikleri için Azure Güvenlik Duvarı Premium'a ihtiyacınız vardır.

  1. Güvenlik Duvarı SKU'sunu yükseltin (gerekirse): Standart Güvenlik Duvarı oluşturduysanız bunu Premium'a yükseltebilirsiniz. ``` bash az ağ güvenlik duvarı güncellemesi --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --sku Premium ''''

  2. TLS Denetimini Yapılandırın: TLS denetimi için, kurumsal veya genel bir CA tarafından verilen ve Azure Key Vault'ta depolanan bir SSL/TLS sertifikasına ihtiyacınız vardır.

    • Önkoşul: Azure Key Vault sertifikalı (ayrıntılar için Azure Key Vault ile ilgili önceki makaleye bakın).
    • Bir Güvenlik Duvarı Politikası oluşturun ve bunu Güvenlik Duvarı ile ilişkilendirin. ``` bash az ağ güvenlik duvarı ilkesi oluştur --name FirewallPolicy-01 --resource-group RG-Firewall-Artigos --location eastus az ağ güvenlik duvarı ilkesi güncellemesi --name FirewallPolicy-01 --resource-group RG-Firewall-Artigos --threat-intel-mode Alert az ağ güvenlik duvarı güncellemesi --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --firewall-policy FirewallPolicy-01 ''''
    • Azure portalında "Güvenlik Duvarı Politikası" -> Ayarlar -> TLS Denetimi'ne gidin.
    • TLS denetimini etkinleştirin ve Key Vault'unuz için kök sertifikayı seçin.

  3. IDPS'yi Yapılandır: IDPS, Güvenlik Duvarı Politikası aracılığıyla etkinleştirilir ve yapılandırılır.

    • Azure portalında "Güvenlik Duvarı Politikası" -> Ayarlar -> IDPS'e gidin.
    • IDPS modunu (Uyarı veya Uyarı ve Reddet) yapılandırabilir ve özel IDPS imza kuralları oluşturabilirsiniz.

6. Zekayı EtkinleştirmeTehditlerin

Azure Güvenlik Duvarı tehdit zekası, bilinen kötü amaçlı IP adreslerine ve FQDN'lere giden/gelen trafiği "Uyarı" veya "Uyarı ve Reddet" şeklinde yapılandırılabilir.

  1. Azure portalında Azure Güvenlik Duvarınıza ("AzureFirewall-01") gidin.
  2. Sol gezinme bölmesinde Tehdit İstihbaratı'nı seçin.
  3. 'Mod'u 'Uyarı ve Reddet' olarak ayarlayın.

Doğrulama ve Test Etme

Azure Güvenlik Duvarı yapılandırmanızı doğrulamak, güvenlik politikalarının doğru şekilde uygulandığından emin olmak için çok önemlidir.

1. Ağ Kurallarını Test Etme

  1. DNS Bağlantı Testi: "WorkloadSubnet"teki bir VM'den bir alan adını çözümlemeye çalışın. DNS kuralı yapılandırılmışsa bu çalışmalıdır. ``` bash nslookup google.com ''''

    • Beklenen Sonuç: DNS çözümlemesi başarılı.

  2. Bağlantı Noktası Engelleme Testi: Harici IP için izin verilmeyen bir bağlantı noktasına erişmeyi deneyin. ``` bash nc -vz 8.8.8.8 80 ''''

    • Beklenen Sonuç: Bağlantı reddedildi veya zaman aşımı.

2. Uygulama Kurallarının Test Edilmesi

  1. FQDN Erişimine İzin Verildi Testi: "WorkloadSubnet"teki bir VM'den, tarayıcı aracılığıyla "learn.microsoft.com"a erişmeyi deneyin.

    • Beklenen Sonuç: Erişim başarılı.

  2. FQDN Engelleme Testi: "badsite.com"a erişmeyi deneyin (eğer bunun için reddetme kuralını yapılandırdıysanız).

    • Beklenen Sonuç: Erişim, tarayıcıda bir hata mesajıyla birlikte güvenlik duvarı tarafından engellendi.

3. NAT Kurallarını Test Etme (DNAT)

  1. Azure dışındaki bir bilgisayardan (DNAT kuralında belirttiğiniz genel IP'ye sahip), RDP/SSH aracılığıyla 3389/22 numaralı bağlantı noktasındaki Azure Güvenlik Duvarı genel IP'sine bağlanmayı deneyin.
    • Beklenen Sonuç: Dahili VM'ye başarılı bağlantı.

4. Azure Güvenlik Duvarı Günlüklerini Kontrol Etme

Azure Güvenlik Duvarı günlükleri trafiği izlemek ve kuralları doğrulamak için gereklidir.

  1. Azure portalında Azure Güvenlik Duvarınıza ("AzureFirewall-01") gidin.
  2. Sol gezinme bölmesinde Günlükler'i seçin.
  3. Güvenlik Duvarı günlüklerini sorgulamak için Log Analytics'i kullanabilirsiniz. Hangi kuralların tetiklendiğini ve trafiğe izin verilip verilmediğini veya reddedildiğini görmek için "AzureFirewallNetworkRule" ve "AzureFirewallApplicationRule" olaylarını arayın.

5. Tehdit İstihbaratı ve IDPS'nin Test Edilmesi (Premium)

  1. Tehdit İstihbaratı: Kötü amaçlı olduğu bilinen bir IP'ye veya FQDN'ye erişmeyi deneyin ("test.malware.testing.com" gibi güvenli bir kötü amaçlı yazılım test sitesi veya tehdit istihbaratı test IP'si kullanın). Güvenlik Duvarı erişimi engellemelidir.
  2. IDPS: IDPS tarafından tespit edilebilecek bir saldırının simülasyonunu yapmaya çalışın (örneğin, uygunsa, bağlı VM'deki bir web uygulamasına SQL ekleme girişiminde bulunmak için bir güvenlik açığı test aracı kullanın). Güvenlik Duvarı bir uyarı oluşturmalı ve/veya trafiği engellemelidir.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Hub-and-Spoke Modeli: Mümkün olduğunda, ağ denetimini merkezileştirmek ve ilke yönetimini basitleştirmek için hub'da Azure Güvenlik Duvarı bulunan Hub-and-Spoke modelini kullanın.
  • En Az Ayrıcalık Prensibi: Yalnızca gerekli trafiğe izin vererek mümkün olan en az ayrıcalıkla güvenlik duvarı kuralları oluşturun. Tüm trafiği varsayılan olarak engelleyin ve ne gerekiyorsa açıkça izin verin.
  • Kural Önceliklendirme: Çakışmaları önlemek ve istenen kuralların uygulandığından emin olmak için her koleksiyondaki kural işleme sırasını (NAT > Ağ > Uygulama) ve önceliğini anlayın.
  • Tehdit İstihbaratı Etkin: Bilinen kötü amaçlı kaynaklara karşı otomatik koruma için tehdit istihbaratını "Uyarı ve Reddet" modunda etkin tutun.
  • Azure Firewall Premium: Gelişmiş koruma gerektiren ortamlar için, IDPS ve TLS Denetimi gibi özelliklerden yararlanmak üzere Premium SKU'yu kullanın.
  • TLS Denetimi: Şifrelenmiş oturumlarda gizlenen tehditleri tespit etmek amacıyla giden trafiğe yönelik TLS denetimi uygulayın, ancak sertifika yönetimini dikkatli bir şekilde planlayın.
  • İzleme ve Denetleme: Sürekli izleme, güvenlik analizi ve olaylara yanıt vermek için Azure Güvenlik Duvarı günlüklerini Azure Monitor ve Azure Sentinel ile entegre edin.
  • Azure Güvenlik Duvarı Yöneticisi: Birden fazla Güvenlik Duvarı ve karmaşık politikalara sahip ortamlarda, merkezi, hiyerarşik politika yönetimi için Azure Güvenlik Duvarı Yöneticisi'ni kullanın.
  • Belgeleme: Güvenlik duvarı kurallarınızın ve her birinin gerekçesinin açık bir şekilde belgelenmesini sağlayın.

Genel Sorun Giderme

  • Trafik BloklarıBeklenmedik Bir Şekilde: Log Analytics'te Azure Güvenlik Duvarı günlüklerini kontrol edin. Hangi kuralın (ağ, uygulama veya tehdit istihbaratı) trafiği engellediğini göstereceklerdir. Kuralı gerektiği gibi ayarlayın.
  • Yavaş Bağlantı: Trafiğiniz yavaşsa Azure Monitor'de Güvenlik Duvarı CPU kullanımını kontrol edin. Güvenlik Duvarı performans sınırlarına ulaşıyor olabilir. SKU'yu ölçeklendirmeyi veya kuralları optimize etmeyi düşünün.
  • NAT kuralları çalışmıyor: Genel IP'nin, hedefin ve çevrilmiş bağlantı noktalarının doğru olup olmadığını kontrol edin. NAT kuralındaki kaynak IP'nin doğru olduğundan emin olun (kısıtlanmışsa). Trafiği engelleyebilecek NSG'ler için hedef VM'yi kontrol edin.
  • TLS Denetim Sorunları: Kök sertifikanın Key Vault ve Güvenlik Duvarı İlkesi'nde doğru şekilde yapılandırıldığından emin olun. İstemcilerin TLS denetimi için kullanılan kök CA'ya güvendiğini doğrulayın.
  • IDPS saldırıları algılamaz: IDPS'nin 'Uyarı ve Reddet' modunda olduğunu ve ilgili imzaların etkinleştirildiğini kontrol edin. Trafiğin gerçekten Güvenlik Duvarından geçtiğinden emin olun.
  • Yanlış Yönlendirme: VM'nizin alt ağıyla ilişkili yönlendirme tablosunu kontrol edin. Varsayılan rotanın (0.0.0.0/0) Azure Güvenlik Duvarı özel IP'sine işaret ettiğinden emin olun.

Sonuç

Azure Güvenlik Duvarı, Azure'da sağlam bir ağ güvenliği duruşu oluşturmak için güçlü ve önemli bir araçtır. Kuruluşlar, gelişmiş trafik filtreleme, tehdit istihbaratı, IDPS ve TLS denetimini uygulayarak iş yüklerini çok çeşitli siber tehditlere karşı koruyabilir. Azure Güvenlik Duvarı'nın merkezde olduğu bir Hub-and-Spoke modelinin benimsenmesi, en iyi uygulamaların ve sürekli izlemenin uygulanması, ağ trafiğinin etkili bir şekilde denetlenmesini ve kontrol edilmesini sağlar. Bu pratik kılavuzla güvenlik uzmanları, Azure Güvenlik Duvarı'nı yapılandırmak ve yönetmek için iyi bir donanıma sahip olacak, böylece ağ güvenliğini ve Azure ortamlarının en son tehditlere karşı dayanıklılığını güçlendirecek.

Referanslar:

[1] Microsoft Learn. Azure Güvenlik Duvarı nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/firewall/overview [2] Microsoft Learn. Azure Güvenlik Duvarı mimarisine genel bakış. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/firewall/firewall-architecture [3] Microsoft Learn. Azure Güvenlik Duvarı Premium Özellikleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/firewall/premium-features [4] Microsoft Learn. Azure Güvenlik Duvarı tehdit istihbaratına dayalı filtreleme. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/firewall/threat-intel