NSG və ASG nədir?

Şəbəkə Təhlükəsizlik Qrupları (Network Security Group)

Azure Virtual Şəbəkə resurslarına girişin idarə edilməsi ən azından on-premise şəbəkələrdəki qədər vacibdir. Least Privilage prinsipi həm lokal şəbəkələrdə həm də cloud-da qorunmalıdır. Azure-da girişin məcburi məhdudlaşdırılmasını təmin etmək üçün Şəbəkə Təhlükəsizliyi Qrupundan (NSG) istifadə etmək olar.

NSG– sadə paket filtrlənməsi dəstəkləyən Firewall və ya router analoqudur.

Trafiki yoxladıqda NSG mexanizmi 5 parametri analiz edir:

 

  1. Source IP – Paketin hansı mənbə İp ünvandan göndərildiyi
  2. Source Port – Paketin hansı mənbə Portdan göndərildiyi
  3. Destination IP – Paketin istiqamətləndiyi İP ünvan
  4. Destination Port – Paketin istiqamətləndiyi Port
  5. Protocol – Paketin hansı protokol üzrə hərəkət etməsi (TCP/UDP)

 

Şəbəkə təhlükəsizlik qrupları özündə müəyyən qaydalar birləşdirir. Bu qaydalar inbound və ya outbound trafiklərə qadağalar və yaxud icazələr verilməsi üçün nəzərdə tutulmuşdur.

Unutmayın ki, bu funksiya paketlərin sadə filtrasiyasını təmin edir, məzmunu analiz etmir. NSG protokolun yoxlanılması, daxilolmaların tapılması və qarşısının alınmasını (İDS\İPS) səviyyəsində dəstəkləmir.

 

Default olaraq hər NSG üçün bir neçə rule yaradılır. Onları yadda saxlamaq məsləhətdir.

  • Allow all traffic within a specific virtual network.

Azure virtual şəbəkəyə aid olan virtual maşınlar öz aralarında məlumat ötürə bilirlər.

  • Allow Azure load balancing inbound.

Bu rule Azure Load balance-erlər trafikinə icazə verir

  • Deny all inbound

İnternetdən daxil olan bütün trafiki qadağan edir.

  • Allow all traffic outbound to the Internet

Bütün Vm-lərin internetə çıxışına icazə verir.

Tam Siyahı:

NSG-də yaradılan qaydalar arasında konflikt baş verərsə, bu zaman Prority nömrəsi yuxarı olan qayda işləyəcəkdir.

 

Program Təhlükəsizlik Qrupu (Application Security Group)

Application Security Group-lar vasitəsilə biz bir neçə Virtual maşını birləşdirə bilərik. Sonra isə bu qruplar vasitəsilə biz Şəbəkə təhlükəsizlik qaydaların toplu şəkildə təyin etmək imkanı əldə edirik. Nümunə üçün bizim 10 ədəd Web Server-lərimiz var və bu serverlər fərqli subnetlərdə yerləşir. Hər bir subnet və İp ünvana görə NSG qayda yazmamağımız üçün, bu virtual maşınları hər hansı bir ASG altında birləşdiririk. Sonra isə istədiyimiz qaydanı bu qrupa təyin edirik.

Application Security Group yaratmaq üçün:

  1. Azure portala daxil olun
  2. “All Services” düyməsi vasitəsilə “Application Security Group” bölməsini seçin
  3. “ADD” düyməsinə click edin
  4. Açılmış pəncərədə Subscription, RG, Ad və region daxil edərək “Review+Create” düyməsini basın.

 

 

5.Prosses bir neçə dəqiqə çəkir və yeni ASG yaradılır. İndi isə Virutal maşınlarımızı bu grupa əlavə edək.

6.Bunun üçün Virtual machines bölümünə keçərək ASG-yə daxil etmək istədiyimiz VM-ləri seçin.

7.Virtual maşın interfeysi açıldıqda, sol paneldən Networking bölümnə daxil olun.

8.Bu səhifədə Application Security Groups böməsinə keçin

9.“Configure Application Security Group” düyməsi vasitəsilə yaratdığımız ASG-ni seçin və “Save” düyməsinə click edin. Beləliklə Virtual maşın yaratdığımız ASG-nin üzvü oldu.

Biz artıq öz ASG -a istədiyimiz NSG qaydalarını təyin edə bilərik. Bu zaman ASG-nin tərkibində olan bütün Virtual maşınlar bu qaydalara əsasən işləyəcəkdir. Qeyd edim ki, Application Security Group-u, qayda yaradarkən həm source həm də destination kimi göstərə bilərik

Səs: 0. Bəyənilsin Zəifdir

Müəllif: MirCeyhun Musayev

Şərh yazın