Azure Güvenlik Duvarı dağıtımınızın güvenliğini sağlama

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir güvenlik hizmetidir. Yerleşik yüksek erişilebilirlik ve sınırsız bulut ölçeklenebilirliğine sahip tam durum bilgisi özellikli bir güvenlik duvarı hizmeti olarak Azure Güvenlik Duvarı'nı düzgün bir şekilde yapılandırmak ve güvenliğini sağlamak, bulut altyapınız ve uygulamalarınız için korumayı en üst düzeye çıkarmak açısından kritik önem taşır.

Bu makalede, Azure Güvenlik Duvarı dağıtımınızın güvenliğini en iyi şekilde sağlama konusunda rehberlik sağlanır.

Ağ güvenliği

Azure Güvenlik Duvarı için ağ güvenliği, sanal ağ altyapınız içinde doğru dağıtıma odaklanır ve güvenli trafik denetimi özellikleri sağlar. Azure Güvenlik Duvarı, ağ güvenliği sağlama konusunda merkezi bir nokta görevi görür ve tüm ağ çevrenizi korumak için uygun yapılandırılması şarttır.

  • Azure Güvenlik Duvarı'nı ayrılmış bir alt ağa dağıtma: Azure Güvenlik Duvarı'nı her zaman sanal ağınızdaki "AzureFirewallSubnet" adlı kendi ayrılmış alt ağına dağıtın. Azure Güvenlik Duvarı yerleşik platform korumasına sahip olduğundan bu alt ağ en az /26 boyutu gerektirir ve Ağ Güvenlik Grupları uygulanmamalıdır. Daha fazla bilgi için bkz . Öğretici: Azure Güvenlik Duvarı Yöneticisi'yi kullanarak hub sanal ağınızın güvenliğini sağlama.

  • Tehdit bilgileri tabanlı filtrelemeyi etkinleştirme: Bilinen kötü amaçlı IP adresleri, FQDN'ler ve URL'lerden gelen trafiği uyarmak ve reddetmek için tehdit bilgileri tabanlı filtrelemeyi yapılandırın. Bu özellik tüm NAT, ağ veya uygulama kuralları öncesinde kuralları işler ve Microsoft'un tehdit bilgileri akışına göre koruma sağlar. Uyarı modunda başlayın ve test ettikten sonra uyarı ve reddetme moduna geçin. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı tehdit bilgileri tabanlı filtreleme.

  • Gelişmiş tehdit algılama için IDPS uygulama: Kötü amaçlı desenlere ve imzalara yönelik ağ etkinliklerini izlemek için Azure Güvenlik Duvarı Premium'un İzinsiz Giriş Algılama ve Önleme Sistemi'ni (IDPS) kullanın. IDPS, 50'den fazla kategoride 67.000'den fazla kuralla imza tabanlı algılama sağlar ve uyarı veya uyarı ve reddetme modunda çalışabilir. Daha fazla bilgi için bkz Azure Güvenlik Duvarı Premium özellikleri.

  • DNS proxy işlevselliğini yapılandırma: İstemcilerle güvenlik duvarı arasında tutarlı ad çözümlemesi sağlamak için Azure Güvenlik Duvarı'nın DNS proxy özelliğini etkinleştirin. Bu, istemcilerin ve güvenlik duvarının FQDN'leri farklı IP adreslerine çözümlediği ve bu da bağlantı hatalarına neden olabilecek sorunları önler. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı DNS Ara Sunucusu ayrıntıları.

  • Karma ortamlar için zorlamalı tünel kullanma: İnternet'e bağlı trafiği şirket içi güvenlik gereçleri aracılığıyla yönlendirmeniz gerektiğinde zorlamalı tünel yapılandırma. Güvenlik duvarı yönetimi bağlantısını korurken Bu yapılandırmayı desteklemek için Yönetim NIC'sini etkinleştirin. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı zorunlu tünelleme.

  • Şifrelenmiş trafik için TLS incelemesini etkinleştirme: TLS inceleme özelliklerini etkinleştirerek TLS trafiğini incelemek için Azure Güvenlik Duvarı Premium'un yapılandırılması. Bu, güvenliği korurken şifrelenmiş trafiği incelemek için ayrılmış TLS bağlantıları oluşturur. Bu işlev için Azure Key Vault aracılığıyla sertifika sağlamanız gerekir. Daha fazla bilgi için bkz Azure Güvenlik Duvarı Premium özellikleri.

  • Web kategorileri filtrelemesi uygulama: Kumar, sosyal medya veya yetişkin içeriği gibi belirli web sitesi kategorilerine erişim izni vermek veya erişimi reddetmek için web kategorilerini kullanın. Azure Güvenlik Duvarı Premium, yalnızca etki alanı adı yerine url'nin tamamını inceleyerek daha ayrıntılı denetim sağlar. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı web kategorileri.

  • Birden çok genel IP adresi yapılandırma: Ek genel IP başına 2.496 SNAT bağlantı noktası sağlayan SNAT bağlantı noktası tükenmesini önlemek için birden çok genel IP adresi ekleyin. Yüksek trafikli senaryolarda gelişmiş SNAT özellikleri için Azure NAT Ağ Geçidi'ni kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı performansı için en iyi yöntemler.

Veri koruma

Azure Güvenlik Duvarı veri koruması, aktarımdaki trafiğin güvenliğini sağlamaya ve sertifikaları doğru yönetmeye odaklanır. Azure Güvenlik Duvarı ağ trafiğini işlediğinden, veri güvenliğini korumak için doğru şifreleme ve sertifika yönetiminin sağlanması çok önemlidir.

  • Bekleyen veriler için platform tarafından yönetilen şifrelemeyi kullanma: Azure Güvenlik Duvarı, Microsoft tarafından yönetilen platform anahtarlarını kullanarak bekleyen tüm müşteri içeriğini otomatik olarak şifreler. Bu, Key Vault'taki müşteri sertifikalarından oluşturulan türetilmiş sertifikaları içerir ve yapılandırma verilerinizin ek yapılandırma olmadan korunmasını sağlar.

  • Uygun sertifika yönetimiyle TLS incelemesi uygulayın: TLS inceleme özelliklerini kullanırken Azure Güvenlik Duvarı'nı Azure Key Vault'ta depolanan sertifikaları kullanacak şekilde yapılandırın. Güvenlik duvarı, müşteri sertifikanızdan türetilmiş sertifikalar oluşturarak güvenlik zincirini korur ve trafik denetleme özelliklerini etkinleştirir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Premium sertifikalarını.

  • Güvenli aktarım protokollerini zorunlu kılma: Güvenlik duvarı ilkelerinizi web uygulamaları ve hizmetleri için HTTPS uygulayacak şekilde yapılandırın ve TLS v1.2 veya üzerinin kullanıldığından emin olun. Güçlü şifreleme standartlarını korumak için SSL 3.0 ve TLS v1.0 gibi eski protokolleri devre dışı bırakın.

  • Ayrıntılı denetim için URL filtrelemeyi kullanma: FQDN filtreleme özelliklerini yalnızca etki alanı adları yerine tüm URL'leri dikkate alacak şekilde genişletmek için URL filtrelemeyi etkinleştirin. Bu, web trafiği üzerinde daha hassas denetim sağlar ve meşru etki alanları aracılığıyla kötü amaçlı içeriğe erişme riskini azaltır. Daha fazla bilgi için bkz Azure Güvenlik Duvarı Premium özellikleri.

Ayrıcalıklı erişim

Azure Güvenlik Duvarı için ayrıcalıklı erişim güvenliği, yönetim erişimini denetlemeye ve güvenlik duvarı yönetim işlemleri için uygun idareyi uygulamaya odaklanır.

  • İdare ve uyumluluk için Azure İlkesi'ni kullanma: Tehdit analizini etkinleştirme, kullanılabilirlik alanları arasında dağıtım yapma ve yalnızca şifrelenmiş trafiğe izin verilmesini sağlama gibi güvenlik gereksinimlerini zorunlu kılmak için Azure İlkesi tanımlarını uygulayın. Uyumluluğu korumak için "Azure Güvenlik Duvarı İlkesi Tehdit Bilgileri'ni etkinleştirmelidir" gibi yerleşik ilkeleri kullanın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı dağıtımlarınızın güvenliğini sağlamaya yardımcı olmak için Azure İlkesi'ni kullanma.

  • RBAC ile en az ayrıcalık erişimi uygulama: Güvenlik duvarı yapılandırmalarını ve ilkelerini kimlerin değiştirebileceğini sınırlamak için rol tabanlı erişim denetimi uygulayın. Kullanıcıların sorumlulukları için yalnızca gerekli minimum izinlere sahip olduğundan emin olmak için belirli Azure Güvenlik Duvarı rollerini ve özel rolleri kullanın.

  • Kural iyileştirme için ilke analizini etkinleştirme: Kullanılmayan kuralları belirlemek, kural performansını iyileştirmek ve temiz güvenlik ilkelerini korumak için Azure Güvenlik Duvarı İlkesi Analizi'ni kullanın. Bu, saldırı yüzeyini azaltmaya yardımcı olur ve güvenlik duvarı performansını artırır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı dağıtımlarınızın güvenliğini sağlamaya yardımcı olmak için Azure İlkesi'ni kullanma.

Log tutma ve tehdit algılama

Kapsamlı günlüğe kaydetme ve izleme, Azure Güvenlik Duvarı güvenliği için gereklidir ve tehdit algılama, güvenlik araştırması ve uyumluluk raporlamasını etkinleştirir. Uygun günlük yapılandırması, ağ trafiği desenleri ve güvenlik olayları için görünürlük sağlar.

  • Azure Güvenlik Duvarı tanılama günlüğünü etkinleştirme: Azure Güvenlik Duvarı günlüklerini ve ölçümlerini yakalamak için tanılama ayarlarını yapılandırın ve bunları Log Analytics çalışma alanı, depolama hesabı veya olay hub'ı gibi tercih ettiğiniz veri havuzuna gönderin. Bu, izin verilen ve reddedilen trafik, tehdit bilgileri isabetleri ve güvenlik duvarı performansı hakkında ayrıntılı bilgi sağlar. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme.

  • Gelişmiş tehdit algılama için Microsoft Sentinel ile tümleştirme: Gelişmiş güvenlik analizini, diğer güvenlik olaylarıyla bağıntıyı ve otomatik yanıt özelliklerini etkinleştirmek için Azure Güvenlik Duvarı günlüklerini Microsoft Sentinel'e bağlayın. Kötü amaçlı yazılımları algılamak ve tehdit desenlerini analiz etmek için Azure Güvenlik Duvarı bağlayıcısını kullanın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı ve Microsoft Sentinel ile kötü amaçlı yazılımları algılama.

  • Tehdit bilgileri uyarılarını izleme: Bilinen kötü amaçlı kaynaklardan gelen trafiği hızla tanımlamak ve yanıtlamak için tehdit bilgileri uyarılarını izlemeyi yapılandırın. Yüksek öncelikli tehdit bilgileri eşleşmeleri için, saldırganların kalıcılık kurmadan önce engellenmesi için otomatik yanıtlar ayarlayın.

  • Performans izlemeyi ve uyarıyı yapılandırma: Aktarım hızı, gecikme süresi, SNAT bağlantı noktası kullanımı ve kural isabeti sayıları gibi güvenlik duvarı performans ölçümlerini izlemek için Azure İzleyici'yi kullanın. En iyi güvenlik duvarı performansını sağlamak ve hizmet kesintisini önlemek için kritik eşikler için uyarılar ayarlayın. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı performansı için en iyi yöntemler.

  • IDPS imza kuralı özelleştirmesini uygulama: Yüksek öncelikli tehditler için modlarını uyarıdan uyarı ve reddetmeye değiştirerek IDPS imza kurallarını özelleştirin veya hatalı pozitifler oluşturan imzaları devre dışı bırakın. CVE-ID veya diğer özniteliklere göre belirli imzaları bulmak için akıllı arama özelliklerini kullanın.

  • Günlük saklama ilkelerini yapılandırma: Uyumluluk gereksinimlerinize ve araştırma gereksinimlerinize göre uygun günlük saklama ilkeleri ayarlayın. Günlüklerin güvenlik araştırmalarını destekleyecek ve mevzuat yükümlülüklerini karşılayacak kadar uzun süre tutuldığından emin olun.

Varlık yönetimi

Azure Güvenlik Duvarı için varlık yönetimi, yapılandırma izleme ve zorlama için Azure İlkesi'ni kullanarak güvenlik duvarı dağıtımlarınızda tutarlı güvenlik duruşu sağlamayı içerir.

  • Yapılandırma zorlaması için Azure İlkesi uygulama: Ortamınızda Azure Güvenlik Duvarı yapılandırmalarını izlemek ve zorunlu kılmak için Azure İlkesi'ni kullanın. Gelişmiş güvenlik özellikleri için tehdit bilgileri etkinleştirme, kullanılabilirlik alanı dağıtımı ve Premium SKU kullanımı gerektiren ilkeler dağıtın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı dağıtımlarınızın güvenliğini sağlamaya yardımcı olmak için Azure İlkesi'ni kullanma.

  • Bulut için Microsoft Defender tümleştirmesini kullanma: Güvenlik önerileri ve uyumluluk değerlendirmeleri almak için Azure Güvenlik Duvarı kaynaklarınız için Bulut için Microsoft Defender izlemeyi etkinleştirin. Bu, merkezi güvenlik yönetimi sağlar ve yapılandırma kaymalarını veya güvenlik boşluklarını belirlemeye yardımcı olur.

  • Azure Güvenlik Duvarı Premium'a yükseltme: IDPS, TLS incelemesi, URL filtreleme ve web kategorileri gibi gelişmiş güvenlik özelliklerine erişmek için Standart'tan Premium SKU'ya yükseltmeyi göz önünde bulundurun. Premium, yüksek düzeyde düzenlenmiş ortamlar için uygun gelişmiş tehdit koruması sağlar. Daha fazla bilgi için bkz. Gereksinimlerinizi karşılamak için doğru Azure Güvenlik Duvarı SKU'su seçme.

  • Performans için kural yapılandırmasını iyileştirme: Kural Koleksiyonu Gruplarını ve Kural Koleksiyonlarını kullanarak güvenlik duvarı kurallarını düzenleyerek bunların kullanım sıklığına göre önceliklerini belirleyin. Tek tek IP kurallarının sayısını azaltmak ve Azure Güvenlik Duvarı sınırları içinde kalmanızı sağlamak için IP Gruplarını kullanın. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı performansı için en iyi yöntemler.

  • İlke tabanlı dağıtım standartlarını yapılandırma: Azure İlkesi'nin "reddetme" ve "yoksa dağıtma" etkileri aracılığıyla dağıtım standartları oluşturun ve uygulayın. Bu, tüm yeni Azure Güvenlik Duvarı dağıtımlarının kuruluşunuzun güvenlik gereksinimlerini otomatik olarak karşılamasını sağlar.

  • Güvenlik temelleriyle uyumluluğu izleme: Bulut için Microsoft Defender'ın mevzuat uyumluluğu panosunu kullanarak Azure Güvenlik Duvarı yapılandırmalarınızı Microsoft bulut güvenlik karşılaştırmasına göre düzenli olarak gözden geçirin. Bu, tutarlı güvenlik duruşlarının korunmasına yardımcı olur ve iyileştirme alanlarını tanımlar.

Sonraki Adımlar