CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Azure Ağ Güvenliği ile Siber Güvenliğinizi Güçlendirin

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Azure Ağ Güvenliği, NSG, ASG ve Azure Firewall ile siber savunmanızı oluşturmanızı sağlar.

Azure Ağ Güvenliği ile Siber Güvenliğinizi Güçlendirin

Azure üzerinde ağ güvenliği sağlamak ve siber tehditlere karşı önlem almak isteyenler için NSG, ASG ve Azure Firewall hakkında detaylı bilgiye ulaşın. Siber güvenliğinizi güçlendirin!

Giriş ve Konumlandırma

Azure Ağ Güvenliği ile Siber Güvenliğinizi Güçlendirin

Siber güvenlik, günümüz dijital çağında işletmelerin karşılaştığı en büyük zorluklardan biri haline gelmiştir. Her geçen gün artan veri ihlalleri, kötü niyetli siber saldırılar ve sürekli evrilen tehdit ortamı, şirketlerin veri ve sistemlerini korumak için daha gelişmiş güvenlik çözümlerine yönelmesini zorunlu kılmaktadır. İşte bu bağlamda, Azure Ağ Güvenliği, bulut tabanlı altyapılar üzerinde uygulanan ağ güvenliği stratejilerinin temel taşlarından biri olarak öne çıkmaktadır.

Ağ Güvenliği Nedir?

Azure üzerindeki sanal ağ (VNet) kaynaklarına gelen ve giden trafiği kontrol eden mekanizmalara genel olarak ağ güvenliği denir. Azure, güvenlik politikalarının merkezileştirilmesine ve birden fazla katmanda uygulanmasına olanak tanır. Böylelikle, sistem yöneticileri, yalnızca kritik kaynakları korumakla kalmaz, aynı zamanda bağlantı trafiğini de sürekli olarak izleyerek olası tehditlere karşı anında müdahale edebilirler.

Neden Önemli?

Azure Ağ Güvenliği, birkaç temel bileşen üzerinden çalışarak, yöneticilere kritik bir savunma katmanı sunar. IP adresleri, portlar ve protokoller bazında trafik filtreleme sağlayan Network Security Group (NSG) ve uygulama grupları üzerinden kural yazmaya olanak tanıyan Application Security Group (ASG), Azure'un sunduğu önemli yapılar arasında yer almaktadır. İyi yapılandırılmış bir ağ güvenliği, veri güvenliğini artırmakla birlikte işletmenin itibarını da korur.

Siber saldırganlar, genellikle ağın en zayıf kısımlarını hedef alarak, sistemlere sızmalarını sağlarlar. Bu nedenle, ağ güvenliğinin olmazsa olmaz bileşenlerinden biri olan NSG, gelen ve giden trafiği düzenleyerek olası tehditleri bertaraf eder. Network Security Group’ların doğru bir şekilde yapılandırılması, tüm ağın güvenliğini doğrudan etkiler. NSG kurallarının belirli bir öncelik sırasına göre işlenmesi, daha düşük numaralı bir kuralın geçerliliğini artırır ve böylece kritik verilerin korunmasına katkıda bulunur:

NSG kuralları, düşük numaralı öncelik değerinden başlayarak sırayla işlenir ve ilk eşleşen kural trafiğin akıbetini belirler.

Bu yapılandırma, sistem yöneticilerinin ağ üzerinde detaylı bir trafik düzenlemesi yapmasına imkan tanır. Örneğin, sadece belirli IP adreslerine veya portlara izin vererek, genel bir saldırı yüzeyini küçültmek mümkündür.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlandırma

Günümüzde siber güvenlik, yalnızca IT departmanlarının sorumluluğunda değildir. İşletme genelinde bir güvenlik kültürü oluşturmak ve tüm çalışanları bu konuda eğitmek, potansiyel tehditlerin bertaraf edilmesi açısından kritik öneme sahiptir. Penetration testing (pentest) işlemleri, sistem güvenliğini test etmeye yönelik uygulamalardır ve bu süreçte Azure ağ güvenliğinin sunduğu güçlü mekanizmalar etkin bir şekilde kullanılabilir.

Yönetilen güvenlik çözümleri, bu test süreçlerinin bir parçası olarak değerlendirilmelidir. Azure Firewall, sisteminize entegre bir şekilde çalışarak, gelişmiş özellikler sunmaktadır. Bu firewall katmanları, temel L3-L7 filtreleme ve tehdit istihbaratı bazlı engelleme imkanı tanırken; premium katmanı ise saldırı tespit ve engelleme sistemleri gibi daha gelişmiş güvenlik önlemleri sağlar.

Okuyucuyu Teknik İçeriğe Hazırlama

Azure ağ güvenliği konusunda atılacak adımlar, yalnızca kurulumdan ibaret değildir. Ağ güvenliği bileşenlerini tanımak, her bir mekanizmanın işlevini anlamak ve olası tehditlerle başa çıkma yöntemlerini öğrenmek, kapsamlı bir güvenlik stratejisi oluşturmanın temel unsurlarıdır. Bu yazının ilerleyen bölümlerinde, Azure'daki NSG, ASG, firewall yapıları ve daha pek çok güvenlik bileşeninin derinlemesine incelenmesi yapılacaktır. Bu bilgiler, hem siber güvenlik uzmanları hem de genel IT yöneticileri için önemli bir kılavuz niteliği taşıyacaktır.

Azure Ağ Güvenliği, siber güvenlik alanında bilinçli ve etkili adımlar atmak isteyen işletmeler için vazgeçilmez bir araçtır. Bu nedenle, bunun nasıl uygulanacağını ve yönetileceğini öğrenmek, gelecekteki siber tehditlere karşı koyma yeteneğinizi güçlendirecektir.

Teknik Analiz ve Uygulama

Azure Ağ Güvenliği Nedir?

Azure Ağ Güvenliği, Microsoft Azure platformunda sanal ağ (VNet) kaynaklarına gelen ve giden trafiği kontrol eden temel güvenlik mekanizmalarını kapsamaktadır. Bu altyapının temel bileşenleri arasında Network Security Group (NSG) ve Application Security Group (ASG) bulunmaktadır. Bu yapıların her biri, ağ trafiği üzerinde farklı seviyelerde kontrol ve yönetim sağlamak için kullanılır.

NSG ve ASG Kavramları

Network Security Group (NSG), IP adresi, port ve protokol bazlı trafik filtrelemesi sağlayan bir güvenlik katmanıdır. NSG, belirli bir sanal ağ altındaki kaynakların güvenliğini sağlamak ve zararlı trafiği engellemek amacıyla kullanılabilir. ASG ise uygulama bazında güvenlik kuralları yazmak için tasarlanmış bir yapıdır ve IP adresleri yerine uygulama gruplarını (örneğin, WebServers gibi) kullanır.

Örnek NSG Kuralı Oluşturma:

Azure CLI kullanarak bir NSG kuralı oluşturma:

az network nsg rule create --resource-group myResourceGroup --nsg-name myNetworkSecurityGroup --name MyNSGRule --priority 100 --direction Inbound --access Allow --protocol Tcp --source-address-prefixes '*' --source-port-ranges '*' --destination-address-prefixes '*' --destination-port-ranges 80

Yukarıdaki komut, 80 numaralı porta gelen TCP trafiğini izin veren bir NSG kuralı oluşturur.

NSG Kural Önceliği (Priority)

NSG kuralları, belirlenen öncelik numarasına dayanarak işlenir. Düşük numaralı öncelik değeri olan kurallar, yüksek numaralı kurallardan önce işlenir. İlk eşleşen kural, trafiğin akıbetini belirler. Dolayısıyla, kuralların yazım sırası ve öncelikleri dikkatle ayarlanmalıdır.

Varsayılan Güvenlik Kuralları

Her NSG içinde, silinemeyen ancak daha düşük numaralı kurallarla ezilebilen temel kurallar bulunmaktadır. Bu kurallar, varsayılan olarak gelen bazı trafiği engeller veya izin verir. Varsayılan kuralların yapısı, uygulama tabanlı güvenlik politikalarının işleyişinde önemli bir rol oynamaktadır.

Azure Firewall Katmanları

Azure Firewall, ağ güvenliği stratejisinin önemli bir parçasıdır ve üç katmanda hizmet verir: Basic, Standard ve Premium. Her katman, belirli özellikler sunmakta ve kullanım gereksinimlerine göre seçilmelidir.

  • Basic: Küçük ölçekli yapılar için maliyet odaklı temel firewall yetenekleri sunar.
  • Standard: L3-L7 filtreleme ve Tehdit İstihbaratı (TI) bazlı engelleme sağlar.
  • Premium: Gelişmiş özellikler sunarak, IDPS (Saldırı Tespit/Engelleme) ve TLS incelemesi gibi yetenekler sağlar.

Azure Firewall katmanlarının uygun seçimi, organizasyonun güvenlik ihtiyaçlarına göre değişiklik göstermektedir.

DNAT ve Hedef Dönüşümü

DNAT (Dynamic Network Address Translation) kuralları, firewall üzerindeki genel IP adresine gelen trafiği iç ağdaki belirli bir sunucuya ve porta yönlendirmek için kullanılır. Bu yapı, iç ağdaki belirli hizmetlere dışarıdan erişim sağlamak için gereklidir.

DNAT Kuralı Oluşturma:

Azure CLI ile DNAT kuralı ekleme:

az network firewall nat rule create --resource-group myResourceGroup --firewall-name myFirewall --name MyDNATRule --ip-configuration myIpConfig --frontend-ip-configuration myFrontendConfig --protocols Tcp --destination-ports 8080 --target-ports 80 --translated-address 10.0.0.4

Bu komut, dış IP adresine gelen 8080 numaralı port trafiğini iç ağdaki 10.0.0.4 IP adresine yönlendirecek bir DNAT kuralı oluşturur.

Service Tags (Servis Etiketleri)

Service Tags, Azure servislerinin IP adreslerini manuel girmek yerine, bu servisleri temsil eden ve Microsoft tarafından güncellenen yapıları temsil eder. Özellikle büyük ölçekli yapılar için, güvenlik kurallarını yazarken daha az karmaşık bir yöntem sunar.

Ağ Analizi ve Araçlar

Azure, ağ sorunlarını teşhis etmek ve trafiği izlemek için çeşitli araçlar sunmaktadır. Bunlar arasında Connection Troubleshooter ve IP Flow Verify bulunmaktadır. Bu araçlar, iki kaynak arasındaki ağ erişim problemlerini hızlıca teşhis etme ve belirli bir paketin NSG tarafından engellenip engellenmediğini test etme işlevi görür.

Connection Troubleshooter Kullanımı:

az network troubleshooter show --resource-group myResourceGroup --name myTroubleshooter --vm-name myVM

Yukarıdaki komut, belirtilen sanal makineye ait bağlantı problemlerini analiz etmek için kullanılır.

Ağ Saldırılarını İzleme

Ağ izleme süreçleri, SOC (Security Operations Center) analistlerinin saldırıları tespit etme ve yönetme yeteneklerini artırmaktadır. Analistler, ağ izleme günlüklerini kullanarak bağlantı reddetme oranlarındaki ani artışları ve şüpheli port taramalarını tespit etmelidir. Traffic Analytics servisi, VNet içindeki trafik akışlarını görselleştirir ve potansiyel riskleri raporlar.

Mikro-segmentasyon Stratejisi

Mikro-segmentasyon, ağı küçük alt gruplara bölerek ve her grup arasına sıkı kurallar koyarak saldırganın yatay hareketini kısıtlama stratejisidir. Bu yöntem, iç ağ güvenliğini artırmak için etkili bir yaklaşımdır. Uygun güvenlik kuralları ve politikaları oluşturulmalı, her segmentin güvenliği sağlanmalıdır.

Sonuç olarak, Azure ağ güvenliği çözümleri, güçlü bir savunma mekanizması sunarak siber güvenlik stratejilerinin temel bir parçası haline gelmektedir. NSG, ASG ve Azure Firewall gibi araçlar aracılığıyla, kurumlar kendi ağlarını daha güvenli hale getirmekte ve potansiyel tehditlere karşı önlem almaktadır.

Risk, Yorumlama ve Savunma

Giriş

Azure ağ güvenliği, bulut ortamlarında veri güvenliğini sağlamak için kritik öneme sahiptir. Ağ güvenliği katmanları, ağ trafiğini optimize eden ve güvenlik açıklarını minimize eden yapı taşlarını içerir. Azure'da ağ güvenliğini sağlamak için kullanılan temel unsurlardan biri, Network Security Group (NSG) ve Application Security Group (ASG) gibi mekanizmalardır. Bu bölümde, siber güvenlik açısından risk değerlendirme, yorumlama ve savunma stratejilerine odaklanacağız.

Risklerin Belirlenmesi ve Yorumlama

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, bulut altyapılarında sıklıkla karşılaşılan bir risktir. Örneğin, NSG kurallarının yanlış tanımlanması, istenmeyen trafik akışlarına neden olabilir. İyi yapılandırılmış NSG kuralları, trafiği doğru şekilde yönetirken, hatalı bir yapılandırma, veri sızıntısına ve yetkisiz erişimlere zemin hazırlayabilir. Aşağıdaki örnek, bir NSG kuralının yanlış yapılandırılmasının tehlikelerini öncelikle ortaya koymaktadır:

Açık NSG Kuralı:
- Protokol: Any
- Port: 80
- Açık: Yes

Burada "Any" ifadesi kullanılarak her tür protokole izin verilmesi durumunda, sunucuya yapılan Saldırı Tespit ve Engelleme Önlemleri (IDPS) etkisiz hale getirilebilir. Bu tür bir açığın varlığı, dışarıdan gelen zararlı yazılımların ağınıza sızmasına neden olabilir.

Sızan Veriler ve Topoloji

Veri sızıntıları genellikle yanlış yapılandırmadan kaynaklanmaktadır. Sızan veriler, kullanıcıların kimlik bilgileri, kişisel bilgiler veya kurumsal bilgiler olabilir. Azure üzerinde yapılan güvenlik testleri ile service tags kullanarak potansiyel güvenlik açığı taşıyan bileşenleri tespit etmek mümkündür.

Örneğin, Azure üzerinde verilere erişim sağlayan bir uygulama sunucusu düşünelim. Eğer bu sunucuya yönelik erişim denemeleri devamlı artıyorsa, bu durum bilinçli bir siber saldırının belirtisi olabilir. Bu tür saldırılar, genellikle payload (yük) yükleme ve veri sızdırma formatında gerçekleşir.

Ayrıca, Azure Firewall'ın kullandığı DNAT (Destination Network Address Translation) mekanizması sayesinde, sızma testiyle belirlenen açık portlar kapatılarak, sunucunun iç adresine yönlendirilmiş olan tüm gereksiz ulaşımlar engellenebilir.

Savunma Stratejileri ve Uygulama

Profesyonel Önlemler

Azure ağ güvenliği için önerilen başlıca profesyonel önlemler şunlardır:

  1. Mikro-segmentasyon: Ağı daha küçük parçalara bölerek her segment arası için sıkı güvenlik kuralları koymak, saldırganların hareket etmesini zorlaştırır.
  2. Kural Yönetimi: NSG kurallarının sıralanması ve gereksiz kuralların kaldırılması, takip edilmesi gereken önemli bir süreçtir. Düşük numaralı kurallar, yüksek numaralı kuralları etkisiz hale getirir, bu nedenle öncelik sıralamasına dikkat edilmelidir.
  3. Flow Logs Kullanımı: NSG üzerinde geçiş yapan tüm trafiğin kayıt altına alınması, kötüye kullanımı ve anormal durumları erken tespit etmek adına önemlidir.
  4. Gelişmiş İstihbarat Kullanımı: Azure Firewall’ın sunduğu Premium ve Standard katmanları, tehdit istihbaratı ile entegre çalışarak potansiyel saldırıları önlemede önemli katkı sağlar.

Hardening Önerileri

Harden edilmiş bir ortam oluşturmak için dikkat edilmesi gereken noktalar:

  • Güvenlik Grupları: NSG ve ASG yapılandırmalarının sıkı kurallarla güncellenmesi.
  • Hizmet Etiketleri: Microsoft tarafından güncellenen hizmet etiketlerini kullanarak IP bazlı kuralların optimizasyonu.
  • Ağ Sorunlarını Teşhis Etme: "Connection Troubleshooter" ve "IP Flow Verify" gibi araçları kullanarak otomatik sorun doğrudan tespit edilebilir.

Sonuç

Azure ağ güvenliği, yanlış yapılandırmalar ve veri sızıntıları gibi risklerle doludur. Ancak, doğru yapılandırma ve profesyonel önlemlerin alınması ile bu riskler en aza indirilebilir. NSG ve Azure Firewall gibi mekanizmalar, siber güvenlik stratejinizi güçlendirecek ve olası saldırılara karşı proaktif bir yaklaşım sağlayacaktır. Dolayısıyla, yapılandırma ve izleme süreçlerini sürekli gözden geçirmek, güvenliğinizi kalıcı olarak korumanıza yardımcı olacaktır.