1. Ana Sayfa
  2. Microsoft Azure
  3. Azure Network Security Group (NSG) Nedir ? – Bölüm 1

Azure Network Security Group (NSG) Nedir ? – Bölüm 1

Network Security Group (NSG) Nedir ? Bir önceki makalemde Portal üzerinde Resource Manager ile Site to Site Vpn adımlarını elimden geldiği kadar anlatmaya çalışmıştım.

Bu adımları yaparken Virtual Network (VNet) oluşturarak Azure üzerinde oluşturacağımız kaynaklar için belirli subnet kullanabilir duruma gelmiştik.

Azure Resource Manager ile Site to Site (S2S) VPN Nasıl Yapılır

Bu makalemde “Oluşturacağımız kaynakların güvenliğini nasıl sağlayacağız ?” konusuna değinmeye çalışacağım.

Group ‘a geçmeden önce daha önce kullanılan teknoloji olan Endpoint Access Control List (ACLs) ne olduğunu inceleyerek, NSG geçmenin daha uygun olacağını düşünüyorum.

ACLSs ile Azure üzerinde oluşturduğumuz sunucuya gelen paketleri filtreleme yapabiliyorduk.

Örnek vermek gerekirse;

Azure üzerinde oluşturduğunuz sanal sunucularda genel olarak gelen trafik kapalıdır. Sunucuya 3389 portu üzerinden RDP ile ulaşmak isterseniz aşağıdaki gibi ACLs yazmanız gerekiyor.


Resim-1

Fazla detaya inmeden ACLs ile bir sunucuya en fazla 50 tane yazabiliyor, Blacklist ekleyip, Aynı ACLs içine birden fazla kural koyabiliyorduk.

Bu noktaya kadar dikkatinizi çeken ya da aklınıza takılan soruyu tahmin edebiliyorum J

1-2 sunucu için bu kurallar problem değil yazılır.. Peki ya büyük organizasyonlarda ya da tam anlamıyla network’ü yönetmek istersem ne yapmalıyım dediğinizde çözümünüz Azure Network Security Group ‘ tur.

NSG ile Virtual Network (VNet) içindeki network trafiğini kontrol edebilirsiniz ya da sadece bir sunucuya da atayabilirsiniz.

Unutmadan; Endpoint-based ACLs ile Network Security Groups aynı sunucu üstünde kullanamazsınız.

NSG uygulamanın Azure üzerinde birçok farklı yöntemi vardır. Desteklenen modeller için aşağıdaki tabloyu incelemenizi tavsiye ederim.


Resim-2

Yukardaki tabloya göre Azure Klasik portalde oluşturduğum VM’e NSG uygulayabiliyoruz.

Bu sayede NSG uyguladığımız kuralları VM’in gelen / giden tüm trafiğine uygulamış oluyoruz.

Diğer bir ilişkilendirme seçeneği ise NSG’yi bir NIC ‘e uygulamak. Böylelikle NSG’deki ağ erişim kuralları yalnızca bu NIC’ye uygulanır. Yani birden çok NIC’nin bulunduğu bir VM’de, bir NSG tek bir NIC’ye uygulandığı zaman diğer NIC’lere giden trafiği etkilemez. Bu özelliği sadece yeni portalde Resource Manager ile yapabiliyoruz.

Son olarak Bir NSG’yi bir Vnet yada alt subnet’ler ile ilişkilendirebilirsiniz, NSG’deki ağ erişim kuralları alt ağdaki tüm IaaS ve PaaS kaynaklarına uygulanır.

Örnek vermek gerekirse ;


Resim-3

Şekilde olduğu gibi Azure üzerinde oluşturduğumuz Vnet de FrontEnd ve BackEnd subnet’leri olduğunu düşünelim.

FrontEnd Subnet’tinde Web sunucularımız, BackEnd üzerinde DB sunucularımız mevcut.

NSG bu ortamda;

FrontEnd ile BackEnd arasındaki trafiğin ayrılması için,

İnternet’ten FrontEnd veya BackEnd VM’lerine erişimi kısıtlamak sadece kendi içlerinde haberleşmesini sağlamak amacıyla,

Yada sadece FrontEnd deki sunucuların 3389 ve 1433 portları ile BackEnd sunucularına erişimini sağlamak gibi bir çok senaryo için kullanabilirsiniz.

NSG genel ayarlarını yapmak için Network Guru ‘su olmanıza gerek yok J

Aşağıda ki 5 bilgi sizde varsa ve ne yapacağınıza karar verdiyseniz bunlar yeterli.

  • Source IP Address
  • Destination IP Address
  • Port
  • Protocol
  • Action – Allow or Deny

 

Birazda limitlerinden bahsedelim,

Öncelikle Azure üzerinde oluşturduğunuz Vnet’ler ücretsizdir ve her subscription için max. 50 Adet Vnet oluşturabilirsiniz.

Public IP Adresleri, Reserved IP Adresleri ve VPN Gateway’ler ücrete tabidir.

Fiyatlama için aşağıda ki hesaplama aracını kullanabilirsiniz.

https://azure.microsoft.com/tr-tr/pricing/calculator/

NSG limitlerine gelirsek,

  • Her Subscription için max 100 NSGs oluşturabilirsiniz.
  • Bir NSG’ye en fazla 200 kural yazabilirsiniz.
  • Bir VM yada bir Subnet sadece bir NSG ile ilişkilendirilebilir.
  • Yazdığınız kurallara 100 and 4096 arasında öncelik atayabilirsiniz.
  • Source IP Address olarak CIDR of Source IP Range tanımlayabilirsiniz
  • Source Port Range: 0 ile 65000 arası olabilir
  • Destination IP Range olarak CIDR of Source IP Range tanımlayabilirsiniz
  • Destination Port Range: 0 ile 65000 arası olabilir
  • TCP, UDP yada her iki protokolü birlikte kullanabilirsiniz.
  • Düşük önceliğe sahip kural , yüksek kuraldan daha önce işlenir

 

Bir sonraki makalede NSG kullanım senaryosu üzerinden devam edeceğiz.

Faydalı olması dileğimle..

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

https://www.mshowto.org

Yorum Yap

Yazar Hakkında

1979 İstanbul doğumludur. Trakya Üni. Elektronik Bölümünü bitirdikten sonra sektörün önde gelen entegratör firmalarında çeşitli pozisyonlarda çalışmış şuan da Netaş’da Kurumsal Uygulama Çözümleri Danışmanı olarak çalışmaktadır. Yaklaşık olarak 12 yıldır Bilgi Teknolojileri sektörünün içerisinde hizmet vermekte olup özellikle son 7 yıldır profesyonel olarak Microsoft Teknolojileri üzerine uzmanlaşmıştır.

Yorum Yap

Yorumlar (1)