Azure Ağ İzleyicisi dağıtımınızın güvenliğini sağlama

Azure Ağ İzleyicisi, Azure IaaS kaynakları için izleme, tanılama ve trafik günlüğü araçları sağlar. Paketleri yakalamanızı, akış günlüklerini analiz etmenizi, bağlantı sorunlarını tanılamanızı ve ağ güvenlik grubu kurallarını incelemenizi sağlar. Ağ İzleyicisi ağ trafiğiniz ve yapılandırmanız hakkında geniş bir görünürlüğe sahip olduğundan dağıtımının, veri çıkışlarının ve buna erişen kimliklerin güvenliğini sağlamak kritik önem taşır. Bu makalede Azure Ağ İzleyicisi için güvenlik önerileri sağlanır.

Azure ağ güvenlik hizmetlerine ve bunların birlikte çalışma şekline genel bakış için bkz. Ağ güvenliği Azure nedir?.

Bu makaledeki güvenlik önerileri Sıfır Güven ilkelerini uygular: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Kapsamlı Sıfır Güven kılavuzu için bkz. Sıfır Güven Kılavuzu Merkezi.

Hizmete özgü güvenlik

çoğu Ağ İzleyicisi aracı yalnızca gözleme yöneliktir, ancak paket yakalama gibi özellikler hedef VM'lerde AzureNetworkWatcherExtension'ı yükleyip kullanır ve işlem ve uzantı izinleri gerektirir. Ağ İzleyicisi paket yükleri, akış kayıtları ve topoloji bilgileri gibi hassas verileri topladığı için Ağ İzleyicisi ve veri depolarını güvenlik duyarlı bileşenler olarak ele alır:

  • Ağ İzleyicisi’ın etkin olduğu bölgeleri kısıtlayın: Ağ İzleyicisi, sanal ağ kaynaklarınızın bulunduğu her bir bölgede otomatik olarak etkinleştirilir. Belirli bir bölgede tanılamaya ihtiyacınız yoksa, saldırı yüzeyinizi azaltmak için orada Ağ İzleyicisi devre dışı bırakın, ancak dikkatli bir şekilde plan yapın: Bölgesel bir Ağ İzleyicisi örneğini silmek, geri döndürme seçeneği olmadan çalışan tüm Ağ İzleyicisi işlemleri, geçmiş verileri ve uyarıları siler. Daha fazla bilgi için bkz. Azure Ağ İzleyicisi etkinleştirme veya devre dışı bırakma.

  • Akış günlüğü depolama hesaplarını güvenliğe duyarlı olarak değerlendirin: Akış günlükleri ve paket yakalamaları ayrıntılı ağ trafiği verilerini içerir. Bu verileri barındıran depolama hesaplarına erişimi, diğer güvenlik duyarlı veri depolarına uyguladığınız titizlikle kısıtlayın. Daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.

  • Ağ İzleyicisi kapsamını anlama: Ağ İzleyicisi kapsamı abonelik başına ve bölge başına belirlenmiştir. Her abonelikte bölge başına bir Ağ İzleyicisi örneği olabilir. Birden çok abonelikte çalışırken kimliğinizi ve erişim denetimlerinizi uygun şekilde planlayın. Daha fazla bilgi için bkz. Azure Ağ İzleyicisi nedir?.

Ağ güvenliği

Ağ İzleyicisi, öncelikle ağ güvenliğini analiz etmek için kullanılan bir araçtır. Aşağıdaki öneriler, Ağ İzleyicisi bağlı olan ağ yollarının ve depolama kaynaklarının güvenliğini sağlamaya odaklanır. Sanal ağlarınızın güvenliğini sağlama önerileri için bkz. Azure Sanal Ağ dağıtımınızı koruma.

  • NSG akış günlükleri yerine sanal ağ akış günlüklerini kullanın: NSG akış günlükleri 30 Eylül 2027'de kullanımdan kaldırılacak ve 30 Haziran 2025'te yeni NSG akış günlükleri oluşturulmayacak. Mevcut dağıtımları, sanal ağ düzeyinde çalışan, iç içe NSG değerlendirmelerinden kaynaklanan yinelenen günlük kaydını ortadan kaldıran ve şifreleme durumunun izlenmesini sağlayan sanal ağ akış günlüklerine geçirin. Yedekli verileri ve maliyeti önlemek için aynı kapsamdaki sanal ağ akış günlüklerini etkinleştirmeden önce NSG akış günlüklerini devre dışı bırakın. Daha fazla bilgi için bkz. NSG akış günlüklerinden sanal ağ akış günlüklerine geçiş ve Sanal ağ akışı günlüklerine genel bakış.

  • Akış günlüğü depolama hesaplarına ağ erişimini kısıtlama: Akış günlüklerini alan depolama hesaplarında güvenlik duvarlarını ve sanal ağ kurallarını yapılandırın. Depolama hesabını bir güvenlik duvarının arkasına yerleştirirseniz, Ağ İzleyicisi’ın akış günlüğü verilerini yazabilmesi için güvenilir Microsoft hizmetlerine izin verin veya depolama hesabı için özel uç nokta ya da hizmet uç noktası kullanın. Daha fazla bilgi için bkz. Ağ İzleyicisi sık sorulan sorular.

  • Akış günlüğü depolama hesapları için özel uç noktaları kullanın: Akış günlükleriniz hassas trafik meta verileri içeriyorsa, veri aktarımını Microsoft omurga ağında ve genel İnternet dışında tutmak için depolama hesabındaki özel uç noktaları kullanın. Daha fazla bilgi için bkz. Azure Depolama için özel uç noktaları kullanma.

  • Güvenli paket yakalama depolaması: Paket yakalamaları tam yük verileri içerebilir ve VM'nin yerel diskinde veya bir depolama blobunda depolanır. Akış günlüğü depolamaya uyguladığınız paket yakalama depolama hesaplarına aynı ağ erişim kısıtlamalarını uygulayın. Daha fazla bilgi için Paket yakalamaya genel bakış konusuna bakın.

Kimlik ve erişim yönetimi

  • Ağ İzleyicisi işlemleri için en az ayrıcalıklı rolleri atayın: Network Contributor yerleşik rolü, Ağ İzleyicisi özelliklerine erişim sağlar, ancak Microsoft.Storage/*, Microsoft.Compute/* ve Microsoft.OperationalInsights/workspaces/* eylemlerini kasıtlı olarak dışlar. Yalnızca akış günlüklerini, paket yakalamalarını veya trafik analizini yapılandırması gereken kimliklere ek izinler atayın. Daha fazla bilgi için Ağ İzleyicisi'ı kullanmak için gereken RBAC izinleri konusuna bakın.

  • Belirli görevler için özel RBAC rolleri oluşturun: Abonelik düzeyinde Contributor veya Owner rolü atamak yerine, her ekip için yalnızca gerekli Ağ İzleyicisi eylemlerini içeren özel roller oluşturun. Örneğin, bir izleme ekibinin akış günlüklerine okuma erişimine ihtiyacı olabilir, ancak paket yakalamaları oluşturma yeteneğine ihtiyaç duymayabilir. Daha fazla bilgi için Azure özel roller'e bakın.

  • Sanal ağ akış günlükleri için yönetilen kimlikleri kullanma: Depolama hesaplarına akış günlüğü yazma yetkisi vermek için kullanıcı tarafından atanan yönetilen kimliği yapılandırın. Bu yaklaşım, depolama hesabı anahtarları veya SAS belirteçleri gereksinimini ortadan kaldırır ve Sıfır Güven ilkeleriyle uyumlu hale gelir. Hedef depolama hesabındaki yönetilen kimliğe Storage Blob Data Contributor rolünü atayın. Daha fazla bilgi için bkz. Sanal ağ akış günlükleri için yönetilen kimlik.

  • Paket yakalamalarını kimlerin başlatabileceğini sınırlayın: Paket yakalama bir VM uzantısı oluşturur ve ham ağ trafiğine erişebilir. Yük düzeyinde denetim için yasal bir ihtiyacı olan güvenlik ve operasyon ekiplerine Microsoft.Network/networkWatchers/packetCaptures/write iznini kısıtlayın. Daha fazla bilgi için Ağ İzleyicisi'ı kullanmak için gereken RBAC izinleri konusuna bakın.

  • Trafik analizi izinlerinin kapsamını dikkatle belirleyin: Trafik analizi, Ağ İzleyicisi’a ek olarak Log Analytics çalışma alanları, veri toplama kuralları ve veri toplama uç noktaları için de izinler gerektirir. Yönetim gruplarından devralınan izinler trafik analizi için desteklenmez; bunları abonelik veya kaynak grubu düzeyinde atayın. Daha fazla bilgi için Ağ İzleyicisi'ı kullanmak için gereken RBAC izinleri konusuna bakın.

Veri koruma

  • Akış günlüğü depolama hesaplarında şifrelemeyi etkinleştir: Bekleyen akış günlüğü verileri için Microsoft tarafından yönetilen anahtarlar veya müşteri tarafından yönetilen anahtarlarla Azure Depolama şifreleme kullanın. Müşteri tarafından yönetilen anahtarlar kullanıyorsanız anahtarı döndürmenin sanal ağ akış günlüklerinin durmasına neden olduğunu unutmayın; anahtar döndürmeden sonra akış günlüklerini devre dışı bırakıp yeniden etkinleştirmeniz gerekir. Daha fazla bilgi için Durağan veriler için Azure Depolama şifrelemesi sayfasına bakın.

  • Depolanan paket yakalama verilerini koruyun: Azure Blob Depolama'da depolanan paket yakalama verileri, Azure Depolama şifrelemesi tarafından bekleyen durumda şifrelenir. Yakalama verilerini bir VM’nin yerel diskinde depolarken, Azure Disk Şifrelemesi veya konak düzeyinde şifreleme kullanarak diski şifreleyin. Daha fazla bilgi için Paket yakalamaya genel bakış konusuna bakın.

  • Paket yakalama depolaması için anahtar erişimini etkinleştirme: Paket yakalama, depolama hesaplarına yazma yetkisi vermek için SAS belirteçlerini kullanır ve bu SAS belirteçlerini yetkilendirmek için depolama hesabında anahtar erişimi etkinleştirilmelidir. Anahtar erişimi etkin değilse, paket yakalamalarını bunun yerine VM'nin yerel diskine kaydedin. Daha fazla bilgi için Paket yakalamaya genel bakış konusuna bakın.

  • Trafik analizi için Log Analytics çalışma alanı erişimini kısıtlama: Trafik analizi, toplanmış ve zenginleştirilmiş akış verilerini bir Log Analytics çalışma alanına gönderir. Bu verileri kimlerin sorgulayabileceğinizi kısıtlamak için çalışma alanı düzeyinde erişim denetimi veya kaynak düzeyinde RBAC kullanın. Daha fazla bilgi için bkz. Log Analytics çalışma alanlarına erişimi yönetme.

Kayıt ve izleme

  • Ağ İzleyicisi işlemleri için etkinlik günlüğü toplamayı etkinleştir: kaynakları, akış günlüklerini ve paket yakalamalarını kimlerin oluşturduğunu, değiştirdiğini veya sildiğini denetleyebilmek için Azure Etkinlik Günlüğünü bir Ağ İzleyicisi Log Analytics çalışma alanına veya depolama hesabına yönlendirin. Daha fazla bilgi için bkz. Azure Etkinlik Günlüğü.

  • > Microsoft SentinelIntegrate Microsoft Sentinel with traffic analytics.

  • Ağ anomalilerini algılamak için trafik analizini kullanın: İnternet'e açık bağlantı noktalarını, bilinen hatalı IP adresleriyle iletişim sağlayan VM'leri ve beklenmeyen bölgeler arası trafiği tanımlamak için akış günlüklerinizde trafik analizini etkinleştirin. Sürekli güvenlik görünürlüğü için Azure portalındaki trafik analizi panosunu kullanın. Daha fazla bilgi için bkz. Trafik analizi.

  • Trafik analitiği aracılığıyla Sıfır Güven segmentasyonu uygulayın: Trafik analitiği verilerini kullanarak varsayılan izin veren bir ağ duruşundan varsayılan olarak reddeden bir ağ duruşuna geçin. Seçmeli izin kuralları oluşturmak, yüksek riskli bölgelerden gelen trafiği algılamak ve ağ segmentasyon boşluklarını belirlemek için gözlemlenen trafik desenlerini analiz edin. Daha fazla bilgi için bkz. Trafik analiziyle Sıfır Güven ilkelerini uygulayın.

Uyumluluk ve idare

  • Azure İlkesi ile akış günlüğü etkinleştirmesini zorunlu kılma: Abonelikleriniz genelinde sanal ağ akış günlüklerini denetlemek ve otomatik dağıtımını yapmak için yerleşik Azure ilkelerini kullanın. Bu yaklaşım, yeni sanal ağlarda akış günlüğünün otomatik olarak etkinleştirilmesini sağlar ve uyumsuz kaynaklara bayrak ekler. Daha fazla bilgi için bkz. Azure İlkesi kullanarak sanal ağ akış günlüklerini yönetme.

  • Azure İlkesi: Akış günlüklerinizde trafik analizinin etkinleştirilip etkinleştirilmediğini denetlemek için yerleşik ilkeleri kullanın. Trafik analizi için yerleşik deployIfNotExists ilkeleri, 30 Haziran 2025'ten sonra artık yeni oluşturulamayan ve 30 Eylül 2027'de kullanımdan kaldırılacak olan NSG akış günlüklerini yapılandırır; yeni dağıtımlar için sanal ağ akış günlüklerini kullanın. Daha fazla bilgi için bkz. Azure İlkesi kullanarak trafik analizini yönetme ve NSG akış günlüklerinden sanal ağ akış günlüklerine geçiş.

  • Uyumluluk denetimleri için NSG tanılamalarını ve etkili güvenlik kurallarını kullanın: Ağ değişiklikleri yapmadan önce ve sonra, belirli trafik akışlarına doğru izin verilip verilmediğini doğrulamak için NSG tanılamalarını kullanın. Denetim belgeleri için tüm gelen ve giden kuralların indirilebilir CSV'sini dışarı aktarmak için etkili güvenlik kurallarını kullanın. Daha fazla bilgi için bkz. NSG tanılamalarına genel bakış ve Etkin güvenlik kurallarına genel bakış.

  • Değişikliklerden önce ve sonra IP akışı kurallarını doğrulama: Değişiklikleri üretime dağıtmadan önce belirli VM'lere hedeflenen izin verme ve reddetme kurallarının uygulandığını onaylamak için IP akışı doğrulamasını kullanın. Bu, yanlış yapılandırılmış NSG veya Azure Sanal Ağ Yöneticisi kurallarından kaynaklanan istenmeyen açığa çıkmayı önler. Daha fazla bilgi için bkz. IP akışı doğrulamaya genel bakış.

Yedekleme ve kurtarma

  • Akış günlüğü bekletme ilkelerini yapılandırma: NSG akış günlükleri için bekletme ilkelerini, 365 güne kadar tanımlanan bir süre sonunda eski verileri otomatik olarak silecek şekilde ayarlayın. Sanal ağ akış günlükleri için, otomatik katmanlama ve silme için genel amaçlı v2 depolama hesaplarında Azure Depolama yaşam döngüsü yönetimini kullanın. Daha fazla bilgi için bkz. NSG akış günlüklerine genel bakış ve Veri yaşam döngüsünü yöneterek maliyetleri iyileştirme.

  • Akış günlüğü verileri için coğrafi olarak yedekli depolama kullanın: Akış günlükleri uyumluluk veya adli araştırmalarınız için kritik öneme sahipse, bölgesel kesintilere karşı koruma sağlamak için bunları coğrafi olarak yedekli depolama (GRS) veya okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) hesabında depolayın. Daha fazla bilgi için bkz. Azure Depolama yedekliliği.

  • Trafik analizi yapılandırmalarını geri alın: İlişkili Log Analytics çalışma alanları, veri toplama kuralları ve akış günlüğü ayarları da dahil olmak üzere trafik analizi yapılandırmalarınızı belgeleyin veya dışarı aktarın. Ortamınızı yeniden oluşturmanız gerekiyorsa, yapılandırma kaydına sahip olmak kurtarma süresini azaltır. Daha fazla bilgi için bkz. Trafik analizi.

  • Müşteri tarafından yönetilen anahtar döndürme etkisini planlama: Akış günlüğü depolama hesaplarınızda müşteri tarafından yönetilen anahtarlar kullanıyorsanız, anahtar döndürme işleminden sonra akış günlüklerini devre dışı bırakma ve yeniden etkinleştirme işlemini belgeleyin. Günlüklemedeki boşlukları önlemek için bu prosedürü operasyonel runbook'larınıza ekleyin. Daha fazla bilgi için bkz. Sanal ağ akışı günlüklerine genel bakış.

Sonraki Adımlar