2017 Ignite etkinliğinde duyurulan Azure Networking’in yeni özellikleri hakkında Türkçe kaynak ve kısa tanımların olması acısından bu yazıyı yazma gereği duydum. Özelliklerin Network dünyasındaki tanımlarından ziyade Azure ’a ne getirdiğini ve nasıl çalıştığını da kısa cümlelerle belirtmek gibi bir amacım var.
Yazıyı, Azure Networking Özellikleri Ekim 2017 başlığı ile çalıştığım bir MS kaynağındaki gibi 5 başlıkta toparlayacağım.
Security anlamında gelen yenilikler’ DDoS koruması ile başlayalım.

DDoS Protection for Virtual Networks

DDoS güvenliği başlığını görüp de, yeni gelmiş(!) diyen bazı sesler duydum ? tabi ki hayır. Azure veri merkezlerinin bölgesel olarak DDoS koruması olduğunu biliyoruz ve bunu Microsoft kaynaklarında da bulabilirsiniz. Ancak söylenen şu ki, veri merkezini korumak için kullanılan bir katman. Bunun en güzel testlerini PaaS servisleri ile yapabilirsiniz. IaaS ve PaaS hizmetlerine erişimde takip ettiğiniz network katmanı/sıralaması farklıdır.
Yeni DDoS koruma hizmeti, vNET içerisindeki uygulamanızı da DDoS saldırılarına karşı korur. Konuya başlarken Azure da zaten bölgesel olarak var demiştik. Bu DDoS koruma servisi size aynı zamanda yapılandırma, uyarı ve telemetri nitelikleri kazandırır. vNET de bulunan herkesin erişebileceği kaynakları (CRM, IIS, SharePoint vs.) kaynakları sürekli ve otomatik olarak korur. Ve sıra söylemeyi çok sevdiğim şeye geldi; machine learning ile öğrenme yeteneği sayesinde kötü amaçlı trafiği akıllıca tespit edebiliyor. ?

Virtual Network Service Endpoints

Azure SQL ve Azure Storage gibi PaaS hizmetlerinin ilk oluştuğunda internete direk acık servisler olması hakkında birçok yorum alıyorduk. Her biri için ayrı çözümler sunmak zorunda kalıyorduk vs.
vNET Service Endpoints özelliği Azure Storage hizmetine ya da Azure SQL hizmetinize vNET üzerinden erişmenizi, internet erişimine kapatmanızı sağlar. Bu özellik ilerleyen zamanlarda daha da genişleyecek.

Application Gateway and Web Application Firewall (WAF)

Daha önce uygulama tabanlı güvenlik katmanından, yeteneklerinden ve Traffic Manager/Load Balancer gibi diğer servislerden farkını açıklamıştım.
Kısaca bulut tabanlı web uygulamalarınız için yük dengeleme ve güvenlik sağlar. Aynı zamanda cookie tabanlı oturum, SSL Offloading, URL ya da Host tabanlı routing, SSL re-encryption ve WAF niteliklerini sağlar. Azure ‘un Layer 7 seviyesinde güvenlik çözümü olarak sunduğu bir hizmettir.
Peki neler geldi;

Simplifying Networking Security Management

Bildiğiniz gibi NSG vNET ‘iniz de ki sunucular arası ya da subnetler arası kullandığımız bir güvenlik duvarı hizmeti ve IP tabanlı.
Duyurulan şey ise NSG de ip tabanlı kurallar yazmak karmaşık, yavaş ve hataya eğilimli oluyor ’un altını çizerek artık; servis etiketi ile kural yazılabilmesi ve bir kural içine birden fazla ip adresi eklenebilmesi özellikleridir.

Service Tags – Azure Hizmetlerine Network Erişiminin Sağlanması

Hizmet etiketi, Microsoft tarafından sağlanan, arkasında Azure veri merkezlerin de ki hizmetlere ait tüm IP adreslerini barındıran ve Microsoft tarafından güncel tutulan bir IP sınıfıdır. Firewall cihazlarında “Exchange” isminde port grup ya da ip grup oluşturmuşsunuzdur. İşte Microsoft da security rule’lar yazarken uğraşmayalım diye “Storage”, “SQL, “Traffic Manager” gibi objeler yaratmış ve içine servisle ilgili IP Adreslerini tanımlamış. Bu arada evet şimdilik bu üç servis için var sadece. Diğerleri de ilerleyen aylarda gelecek.

Application Security Groups – Hizmet Grubu

Yine Hizmet Etiketi özelliğine benziyor. Amacı VM grup ya da Web App grubu oluşturmak. “DMZ VMs” adında bir etiket oluşturarak içerisine DMZ de ki sunucularınızı ekleyebilirsiniz. Daha sonra bu etiketi Security kuralı yazarken kullanabilirsiniz. Tek tek sunucuları ekleme zahmetinden ya da sunucu unutma zahmetinden kurtulmuş olursunuz.

Network Security Group Augmented Rules

Bunu yazmasam mı diye düşündüm ama çok sorulduğu için ve beklendiği için yazıyorum. Simplifying Networking Security Management başlığında da belirttiğim gibi çoklu IP, Port ve kural ekleme esneklikleri arttırılmış kurallar grubu başlığında inceleniyor.