Az - Azure Network

Basic Information

Azure, kullanıcıların Azure bulutunda izole ağlar oluşturmasına olanak tanıyan sanaldan ağlar (VNet) sağlar. Bu VNets içinde, sanal makineler, uygulamalar, veritabanları gibi kaynaklar güvenli bir şekilde barındırılabilir ve yönetilebilir. Azure'daki ağ iletişimi, bulut içindeki (Azure hizmetleri arasında) iletişimi ve dış ağlar ile internet bağlantısını destekler. Ayrıca, VNets'in diğer VNets ve yerel ağlarla bağlanması mümkündür.

Virtual Network (VNET) & Subnets

Azure Sanal Ağı (VNet), bulutta kendi ağınızın bir temsilidir ve aboneliğinize ayrılmış Azure ortamında mantıksal izolasyon sağlar. VNets, Azure'da sanal özel ağlar (VPN'ler) oluşturmanıza ve yönetmenize olanak tanır, Sanal Makineler (VM'ler), veritabanları ve uygulama hizmetleri gibi kaynakları barındırır. Ağ ayarları üzerinde tam kontrol sunar, IP adresi aralıkları, alt ağ oluşturma, yönlendirme tabloları ve ağ geçitleri dahil.

Alt ağlar, belirli IP adresi aralıkları ile tanımlanan bir VNet içindeki alt bölümlerdir. Bir VNet'i birden fazla alt ağa bölerek, kaynakları ağ mimarinize göre organize edebilir ve güvence altına alabilirsiniz. Varsayılan olarak, aynı Azure Sanal Ağı (VNet) içindeki tüm alt ağlar birbirleriyle iletişim kurabilir herhangi bir kısıtlama olmaksızın.

Örnek:

• MyVNet IP adresi aralığı 10.0.0.0/16.

• Alt Ağ-1: 10.0.0.0/24 web sunucuları için.

• Alt Ağ-2: 10.0.1.0/24 veritabanı sunucuları için.

Enumeration

Bir Azure hesabındaki tüm VNets ve alt ağları listelemek için Azure Komut Satırı Arayüzü (CLI) kullanabilirsiniz. İşte adımlar:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

# List VNets
Get-AzVirtualNetwork | Select-Object Name, Location, @{Name="AddressSpace"; Expression={$_.AddressSpace.AddressPrefixes}}

# List subnets of a VNet
Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName> |
Select-Object -ExpandProperty Subnets |
Select-Object Name, AddressPrefix

Ağ Güvenlik Grupları (NSG)

Bir Ağ Güvenlik Grubu (NSG), Azure Sanal Ağı (VNet) içindeki Azure kaynaklarına giden ve gelen ağ trafiğini filtreler. Güvenlik kuralları seti barındırır ve bu kurallar, kaynak portu, kaynak IP, port hedefi ile gelen ve giden trafik için hangi portların açılacağını belirtebilir ve bir öncelik atamak mümkündür (öncelik numarası ne kadar düşükse, öncelik o kadar yüksektir).

NSG'ler alt ağlara ve NIC'lere atanabilir.

Kural örneği:

• Herhangi bir kaynaktan web sunucularınıza HTTP trafiğine (port 80) izin veren bir gelen kural.

• Belirli bir hedef IP adresi aralığına yalnızca SQL trafiğine (port 1433) izin veren bir giden kural.

Sayım

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

# List NSGs
Get-AzNetworkSecurityGroup | Select-Object Name, Location
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>

# Get NSG rules
(Get-AzNetworkSecurityGroup -ResourceGroupName <NSGName> -Name <ResourceGroupName>).SecurityRules

# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets

Azure Firewall

Azure Firewall, bulut kaynaklarını trafiği denetleyerek ve inceleyerek koruyan yönetilen bir ağ güvenlik hizmetidir. Durum bilgisi olan bir güvenlik duvarıdır ve 3. ile 7. katmanlar arasındaki kurallara göre trafiği filtreler, hem Azure içinde (doğu-batı trafiği) hem de dış ağlara/ dış ağlardan (kuzey-güney trafiği) iletişimi destekler. Sanal Ağ (VNet) düzeyinde dağıtılır ve VNet'teki tüm alt ağlar için merkezi koruma sağlar. Azure Firewall, trafik taleplerini karşılamak için otomatik olarak ölçeklenir ve manuel kurulum gerektirmeden yüksek kullanılabilirlik sağlar.

Üç SKU'da mevcuttur—Temel, Standart ve Premium, her biri belirli müşteri ihtiyaçlarına göre özelleştirilmiştir:

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# List Azure Firewalls
Get-AzFirewall

# Get network rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NetworkRuleCollections

# Get application rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).ApplicationRuleCollections

# Get nat rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NatRuleCollections

Azure Yönlendirme Tabloları

Azure Yönlendirme Tabloları, bir alt ağ içindeki ağ trafiğinin yönlendirilmesini kontrol etmek için kullanılır. Paketlerin nasıl iletileceğini belirten kuralları tanımlar; bu, Azure kaynaklarına, internete veya bir Sanal Cihaz veya Azure Güvenlik Duvarı gibi belirli bir sonraki adrese yönlendirme yapabilir. Bir yönlendirme tablosunu bir alt ağ ile ilişkilendirebilirsiniz ve o alt ağ içindeki tüm kaynaklar, tablodaki yönlendirmeleri takip eder.

Örnek: Bir alt ağ, dışa doğru trafiği inceleme için bir Ağ Sanal Cihazı (NVA) üzerinden yönlendirmesi gereken kaynakları barındırıyorsa, tüm trafiği (örneğin, 0.0.0.0/0) NVA'nın özel IP adresine yönlendirmek için bir yönlendirme tablosunda bir yönlendirme oluşturabilirsiniz.

Numaralandırma

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

# List Route Tables
Get-AzRouteTable

# List routes for a table
(Get-AzRouteTable -Name <RouteTableName> -ResourceGroupName <ResourceGroupName>).Routes

Azure Özel Bağlantı

Azure Özel Bağlantı, Azure hizmetlerine özel erişim sağlamayı mümkün kılan bir hizmettir ve Azure sanal ağınız (VNet) ile hizmet arasındaki trafiğin tamamen Microsoft'un Azure omurga ağı içinde seyahat etmesini sağlar. Bu yapı, hizmeti VNet'inize getirir. Bu kurulum, verileri genel internete maruz bırakmadığı için güvenliği artırır.

Özel Bağlantı, Azure Depolama, Azure SQL Veritabanı ve Özel Bağlantı aracılığıyla paylaşılan özel hizmetler gibi çeşitli Azure hizmetleri ile kullanılabilir. Kendi VNet'inizden veya farklı Azure aboneliklerinden hizmetleri güvenli bir şekilde tüketmenin bir yolunu sunar.

Örnek:

Güvenli bir şekilde VNet'inizden erişmek istediğiniz bir Azure SQL Veritabanı senaryosunu düşünün. Normalde, bu genel internet üzerinden geçiş yapmayı gerektirebilir. Özel Bağlantı ile, Azure SQL Veritabanı hizmetine doğrudan bağlanan VNet'inizde bir özel uç nokta oluşturabilirsiniz. Bu uç nokta, veritabanını kendi VNet'inizin bir parçasıymış gibi gösterir ve özel bir IP adresi aracılığıyla erişilebilir hale getirir, böylece güvenli ve özel erişim sağlanır.

Sıralama

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

# List Private Link Services
Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName

# List Private Endpoints
Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, PrivateEndpointConnections

Azure Servis Uç Noktaları

Azure Servis Uç Noktaları, sanal ağınızın özel adres alanını ve VNet'inizin kimliğini doğrudan bir bağlantı üzerinden Azure hizmetlerine genişletir. Servis uç noktalarını etkinleştirerek, VNet'inizdeki kaynaklar Azure hizmetlerine güvenli bir şekilde bağlanabilir, örneğin Azure Storage ve Azure SQL Database, Azure'un omurga ağı kullanılarak. Bu, VNet'ten Azure hizmetine giden trafiğin Azure ağı içinde kalmasını sağlar, daha güvenli ve güvenilir bir yol sunar.

Örnek:

Örneğin, bir Azure Storage hesabı varsayılan olarak genel internet üzerinden erişilebilir. VNet'iniz içinde Azure Storage için bir servis uç noktası etkinleştirerek, yalnızca VNet'inizden gelen trafiğin depolama hesabına erişmesini sağlayabilirsiniz. Depolama hesabı güvenlik duvarı, yalnızca VNet'inizden gelen trafiği kabul edecek şekilde yapılandırılabilir.

Numaralandırma

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

# List Virtual Networks with Service Endpoints
Get-AzVirtualNetwork

# List Subnets with Service Endpoints
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).Subnets

Service Endpoint'leri ve Özel Bağlantılar Arasındaki Farklar

Microsoft, docs sayfasında Özel Bağlantıların kullanılmasını önermektedir:

Service Endpoint'leri:

• VNet'inizden Azure hizmetine giden trafik, kamu internetini atlayarak Microsoft Azure omurga ağı üzerinden geçer.

• Endpoint, Azure hizmetine doğrudan bir bağlantıdır ve VNet içinde hizmet için özel bir IP sağlamaz.

• Hizmetin kendisi, hizmet güvenlik duvarını bu tür trafiği engelleyecek şekilde yapılandırmadığınız sürece, VNet'iniz dışından kamu endpoint'i aracılığıyla hala erişilebilir.

• Alt ağ ile Azure hizmeti arasında bire bir ilişki vardır.

• Özel Bağlantılardan daha az maliyetlidir.

Özel Bağlantılar:

• Özel Bağlantı, Azure hizmetlerini VNet'inize özel bir endpoint aracılığıyla haritalar; bu, VNet'iniz içinde özel bir IP adresine sahip bir ağ arayüzüdür.

• Azure hizmetine bu özel IP adresi kullanılarak erişilir, bu da onu ağınızın bir parçası gibi gösterir.

• Özel Bağlantı aracılığıyla bağlanan hizmetlere yalnızca VNet'inizden veya bağlı ağlardan erişilebilir; hizmete kamu internet erişimi yoktur.

• Azure hizmetlerine veya Azure'da barındırılan kendi hizmetlerinize güvenli bir bağlantı sağlar ve başkaları tarafından paylaşılan hizmetlere de bağlantı sunar.

• VNet'inizde özel bir endpoint aracılığıyla daha ayrıntılı erişim kontrolü sağlar; bu, service endpoint'leri ile alt ağ düzeyinde daha geniş erişim kontrolüne kıyasla daha özelleşmiş bir kontrol sunar.

Özetle, hem Service Endpoint'leri hem de Özel Bağlantılar Azure hizmetlerine güvenli bağlantı sağlarken, Özel Bağlantılar, hizmetlerin kamu internetine maruz kalmadan özel olarak erişilmesini sağlayarak daha yüksek bir izolasyon ve güvenlik seviyesi sunar. Öte yandan, Service Endpoint'leri, VNet içinde özel bir IP gerektirmeden Azure hizmetlerine basit ve güvenli erişim gereken genel durumlar için daha kolay bir şekilde kurulabilir.

Azure Front Door (AFD) & AFD WAF

Azure Front Door, küresel web uygulamalarınızın hızlı teslimatı için ölçeklenebilir ve güvenli bir giriş noktasıdır. Çeşitli hizmetleri, küresel yük dengeleme, site hızlandırma, SSL yük dengelemesi ve Web Uygulama Güvenlik Duvarı (WAF) yetenekleri gibi tek bir hizmette birleştirir. Azure Front Door, kullanıcıya en yakın kenar konumuna dayalı akıllı yönlendirme sağlar, böylece optimal performans ve güvenilirlik sunar. Ayrıca, URL tabanlı yönlendirme, çoklu site barındırma, oturum bağlılığı ve uygulama katmanı güvenliği sunar.

Azure Front Door WAF, web tabanlı saldırılardan web uygulamalarını korumak için tasarlanmıştır ve arka uç kodunda değişiklik gerektirmez. SQL enjeksiyonu, çapraz site betikleme ve diğer yaygın saldırılar gibi tehditlere karşı korumak için özel kurallar ve yönetilen kural setleri içerir.

Örnek:

Dünyanın dört bir yanında kullanıcıları olan küresel bir dağıtım uygulamanız olduğunu hayal edin. Azure Front Door'u, kullanıcı isteklerini uygulamanızı barındıran en yakın bölgesel veri merkezine yönlendirmek için kullanabilirsiniz; böylece gecikmeyi azaltır, kullanıcı deneyimini iyileştirir ve WAF yetenekleri ile web saldırılarına karşı savunursunuz. Belirli bir bölge kesinti yaşarsa, Azure Front Door trafiği otomatik olarak bir sonraki en iyi konuma yönlendirebilir ve yüksek kullanılabilirlik sağlar.

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Azure Front Door Instances
Get-AzFrontDoor

# List Front Door WAF Policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>

Azure Uygulama Geçidi ve Azure Uygulama Geçidi WAF

Azure Uygulama Geçidi, web uygulamalarınıza trafik yönetmenizi sağlayan bir web trafiği yük dengeleyicidir. Uygulama Teslim Kontrolörü (ADC) olarak hizmette Katman 7 yük dengeleme, SSL sonlandırma ve web uygulama güvenlik duvarı (WAF) yetenekleri sunar. Ana özellikler arasında URL tabanlı yönlendirme, çerez tabanlı oturum bağlılığı ve güvenli soket katmanı (SSL) yük dengelemesi bulunur; bu özellikler, küresel yönlendirme ve yol tabanlı yönlendirme gibi karmaşık yük dengeleme yetenekleri gerektiren uygulamalar için kritik öneme sahiptir.

Örnek:

Bir e-ticaret web siteniz olduğunu düşünün; bu site, kullanıcı hesapları ve ödeme işlemleri gibi farklı işlevler için birden fazla alt alan adı içeriyor. Azure Uygulama Geçidi, URL yolu temelinde uygun web sunucularına trafiği yönlendirebilir. Örneğin, example.com/accounts adresine gelen trafik kullanıcı hesapları hizmetine yönlendirilebilir ve example.com/pay adresine gelen trafik ödeme işleme hizmetine yönlendirilebilir. Ve WAF yeteneklerini kullanarak web sitenizi saldırılardan koruyun.

Numaralandırma

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

# List the Web Application Firewall configurations for your Application Gateways
(Get-AzApplicationGateway -Name <AppGatewayName> -ResourceGroupName <ResourceGroupName>).WebApplicationFirewallConfiguration

Azure Hub, Spoke & VNet Peering

VNet Peering, Azure'da farklı Sanal Ağların (VNet'lerin) doğrudan ve kesintisiz bir şekilde bağlanmasını sağlayan bir ağ özelliğidir. VNet peering aracılığıyla, bir VNet'teki kaynaklar, sanki aynı ağdaymış gibi başka bir VNet'teki kaynaklarla özel IP adresleri kullanarak iletişim kurabilir. VNet Peering, yerel ağlarla da kullanılabilir; bir site-to-site VPN veya Azure ExpressRoute kurarak.

Azure Hub ve Spoke, Azure'da ağ trafiğini yönetmek ve organize etmek için kullanılan bir ağ topolojisidir. "Hub", farklı "spokelar" arasındaki trafiği kontrol eden ve yönlendiren merkezi bir noktadır. Hub genellikle ağ sanal cihazları (NVA'lar), Azure VPN Gateway, Azure Firewall veya Azure Bastion gibi paylaşılan hizmetleri içerir. "Spokelar", iş yüklerini barındıran ve hub'a VNet peering kullanarak bağlanan VNNet'lerdir, bu da onların hub içindeki paylaşılan hizmetlerden yararlanmalarını sağlar. Bu model, birden fazla VNet'teki iş yüklerinin kullanabileceği ortak hizmetleri merkezileştirerek karmaşıklığı azaltarak temiz bir ağ düzenini teşvik eder.

Örnek:

Satış, İK ve Geliştirme gibi ayrı departmanlara sahip bir şirketi hayal edin, her birinin kendi VNet'i (spokelar) vardır. Bu VNNet'ler, merkezi bir veritabanı, bir güvenlik duvarı ve bir internet geçidi gibi paylaşılan kaynaklara erişim gerektirir, bunların hepsi başka bir VNet'te (hub) bulunmaktadır. Hub ve Spoke modelini kullanarak, her departman bu paylaşılan kaynaklara hub VNet aracılığıyla güvenli bir şekilde bağlanabilir ve bu kaynakları kamu internetine açmadan veya çok sayıda bağlantı ile karmaşık bir ağ yapısı oluşturmadan erişebilir.

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List all VNets in your subscription
Get-AzVirtualNetwork

# List VNet peering connections for a given VNet
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).VirtualNetworkPeerings

# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall

Site-to-Site VPN

Azure'daki Site-to-Site VPN, yerel ağınızı Azure Sanal Ağı (VNet) ile bağlamanıza olanak tanır ve Azure içindeki VM'ler gibi kaynakların yerel ağınızda varmış gibi görünmesini sağlar. Bu bağlantı, iki ağ arasındaki trafiği şifreleyen bir VPN geçidi aracılığıyla kurulur.

Örnek:

Ana ofisi New York'ta bulunan bir işletmenin, Azure'daki VNet'ine güvenli bir şekilde bağlanması gereken yerel bir veri merkezi vardır; bu VNet, sanallaştırılmış iş yüklerini barındırmaktadır. Site-to-Site VPN kurarak, şirket yerel sunucular ile Azure VM'leri arasında şifreli bağlantı sağlayabilir, böylece kaynaklara her iki ortamda da sanki aynı yerel ağdaymış gibi güvenli bir şekilde erişilebilir.

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

# List VPN Gateways
Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>

# List VPN Connections
Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>

Azure ExpressRoute

Azure ExpressRoute, yerel altyapınız ile Azure veri merkezleri arasında özel, ayrılmış, yüksek hızlı bir bağlantı sağlayan bir hizmettir. Bu bağlantı, kamu internetini atlayarak bir bağlantı sağlayıcısı aracılığıyla yapılır ve tipik internet bağlantılarından daha fazla güvenilirlik, daha hızlı hızlar, daha düşük gecikmeler ve daha yüksek güvenlik sunar.

Örnek:

Bir çok uluslu şirket, yüksek veri hacmi ve yüksek veri akışı ihtiyacı nedeniyle Azure hizmetlerine tutarlı ve güvenilir bir bağlantı gerektirir. Şirket, yerel veri merkezini doğrudan Azure'a bağlamak için Azure ExpressRoute'u tercih eder, bu da günlük yedeklemeler ve gerçek zamanlı veri analitiği gibi büyük ölçekli veri transferlerini artırılmış gizlilik ve hız ile kolaylaştırır.

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

# List ExpressRoute Circuits
Get-AzExpressRouteCircuit