Azure Networking Özellikleri Ekim 2017 – Security

2017 Ignite etkinliğinde duyurulan Azure Networking’in yeni özellikleri hakkında Türkçe kaynak ve kısa tanımların olması acısından bu yazıyı yazma gereği duydum. Özelliklerin Network dünyasındaki tanımlarından ziyade Azure ’a ne getirdiğini ve nasıl çalıştığını da kısa cümlelerle belirtmek gibi bir amacım var.

Yazıyı, Azure Networking Özellikleri Ekim 2017 başlığı ile çalıştığım bir MS kaynağındaki gibi 5 başlıkta toparlayacağım.

Security anlamında gelen yenilikler’ DDoS koruması ile başlayalım.

DDoS Protection for Virtual Networks

DDoS güvenliği başlığını görüp de, yeni gelmiş(!) diyen bazı sesler duydum 😊 tabi ki hayır. Azure veri merkezlerinin bölgesel olarak DDoS koruması olduğunu biliyoruz ve bunu Microsoft kaynaklarında da bulabilirsiniz. Ancak söylenen şu ki, veri merkezini korumak için kullanılan bir katman. Bunun en güzel testlerini PaaS servisleri ile yapabilirsiniz. IaaS ve PaaS hizmetlerine erişimde takip ettiğiniz network katmanı/sıralaması farklıdır.

Yeni DDoS koruma hizmeti, vNET içerisindeki uygulamanızı da DDoS saldırılarına karşı korur. Konuya başlarken Azure da zaten bölgesel olarak var demiştik. Bu DDoS koruma servisi size aynı zamanda yapılandırma, uyarı ve telemetri nitelikleri kazandırır. vNET de bulunan herkesin erişebileceği kaynakları (CRM, IIS, SharePoint vs.) kaynakları sürekli ve otomatik olarak korur. Ve sıra söylemeyi çok sevdiğim şeye geldi; machine learning ile öğrenme yeteneği sayesinde kötü amaçlı trafiği akıllıca tespit edebiliyor. 😊

  • Bu özellik mevcut ya da yeni vNET ‘iniz için aktif edilebilir.
  • Azure Monitör servisi ile de entegre edilebilir.
  • Ücretsiz vNET güvenlik özelliği olan NSG yapısını tamamlayıcı bir nitelik taşır.

Virtual Network Service Endpoints

Azure SQL ve Azure Storage gibi PaaS hizmetlerinin ilk oluştuğunda internete direk acık servisler olması hakkında birçok yorum alıyorduk. Her biri için ayrı çözümler sunmak zorunda kalıyorduk vs.

vNET Service Endpoints özelliği Azure Storage hizmetine ya da Azure SQL hizmetinize vNET üzerinden erişmenizi, internet erişimine kapatmanızı sağlar. Bu özellik ilerleyen zamanlarda daha da genişleyecek.

  • Şuanda (Ekim 2017)
    • Azure Storage için West Central US, West US2, East US, West US, Australia East ve Australia South East lokasyonlarında,
    • Azure SQL Database için West Central US, WestUS2 ve East US lokasyonlarında çalışıyor.
  • On-Premises erişimi için internet üzerinden ya da ExpressRoute kullanarak erişilmesi gibi bir limitasyonu var. Yalnızca vNET ’in olduğu lokasyonda ki Azure hizmetleri erişebilir. Eminim S2S VPN üzerinden erişim yeteneği gelecektir.
  • Bu yetenek için PaaS hizmetine bir subnet ayırmalısınız.

Application Gateway and Web Application Firewall (WAF)

Daha önce uygulama tabanlı güvenlik katmanından, yeteneklerinden ve Traffic Manager/Load Balancer gibi diğer servislerden farkını açıklamıştım.

Kısaca bulut tabanlı web uygulamalarınız için yük dengeleme ve güvenlik sağlar. Aynı zamanda cookie tabanlı oturum, SSL Offloading, URL ya da Host tabanlı routing, SSL re-encryption ve WAF niteliklerini sağlar. Azure ‘un Layer 7 seviyesinde güvenlik çözümü olarak sunduğu bir hizmettir.

Peki neler geldi;

  • SSL Policy desteği ve öncelik sıralaması yeteneği. (Aslında önceliklendirme hariç bu yetenek vardı. İyileştirmeler yapıldı diyelim.)
  • Multi-Tenant BackEnd desteği ve içerisinde Web App bulundurma yeteneği.
  • Open Source OWASP ModSecurity temel kural seti 3.0 desteği geldi.
  • Belirli kuralları etkinleştirme ya da devre dışı bırakma özelliği. (bu da vardı ama izlemesi ve belirlemesi biraz zordu. Onu da Security Center ile çözdüler.)
  • Security Center entegrasyonu için daha anlaşılır ve detaylı izleme/yönetme.

Simplifying Networking Security Management

Bildiğiniz gibi NSG vNET ‘iniz de ki sunucular arası ya da subnetler arası kullandığımız bir güvenlik duvarı hizmeti ve IP tabanlı.

Duyurulan şey ise NSG de ip tabanlı kurallar yazmak karmaşık, yavaş ve hataya eğilimli oluyor ’un altını çizerek artık; servis etiketi ile kural yazılabilmesi ve bir kural içine birden fazla ip adresi eklenebilmesi özellikleridir.

 

Service Tags – Azure Hizmetlerine Network Erişiminin Sağlanması

Hizmet etiketi, Microsoft tarafından sağlanan, arkasında Azure veri merkezlerin de ki hizmetlere ait tüm IP adreslerini barındıran ve Microsoft tarafından güncel tutulan bir IP sınıfıdır. Firewall cihazlarında “Exchange” isminde port grup ya da ip grup oluşturmuşsunuzdur. İşte Microsoft da security rule’lar yazarken uğraşmayalım diye “Storage”, “SQL, “Traffic Manager” gibi objeler yaratmış ve içine servisle ilgili IP Adreslerini tanımlamış. Bu arada evet şimdilik bu üç servis için var sadece. Diğerleri de ilerleyen aylarda gelecek.

Application Security Groups – Hizmet Grubu

Yine Hizmet Etiketi özelliğine benziyor. Amacı VM grup ya da Web App grubu oluşturmak. “DMZ VMs” adında bir etiket oluşturarak içerisine DMZ de ki sunucularınızı ekleyebilirsiniz. Daha sonra bu etiketi Security kuralı yazarken kullanabilirsiniz. Tek tek sunucuları ekleme zahmetinden ya da sunucu unutma zahmetinden kurtulmuş olursunuz.

Network Security Group Augmented Rules

Bunu yazmasam mı diye düşündüm ama çok sorulduğu için ve beklendiği için yazıyorum. Simplifying Networking Security Management başlığında da belirttiğim gibi çoklu IP, Port ve kural ekleme esneklikleri arttırılmış kurallar grubu başlığında inceleniyor.