Azure Firewall ve Network Security Group (NSG) Arasındaki Farklar

Bir önceki yazımda bahsettiğim NSG ve ASG kavramlarından sonra aklıma bir de NSG ve Azure Firewall Hizmetleri arasındaki farklara değinmek geldi. Azure Firewall bildiğiniz gibi ücretli bir servis ve genelde eğitimlerim sırasında “neden ücretsiz olarak sunulan NSG ile devam etmeyelim?” sorusunu çokça duyuyorum. Tabi ki farkı var.

Hızlıca; güvenlik önemli konularını geçerek direkt olarak nedir ne değildir konularına geçelim.

ASG’u ayrı tutarak; Azure’da, kaynaklara gelen ve giden trafiği yönetmek için kullanılabilecek iki güvenlik özelliği olduğunu söyleyebiliriz. Azure Firewall ve Network Security Group (NSG). Gelin bu iki servisin içeriklerini birlikte inceleyelim ve hangi senaryoda, hangi çözümün kullanılması gerektiğine birlikte karar verelim.

Azure firewall ve NSG’a Genel Bakış

NSG, ağ katmanındaki trafiği dinler ve 5 koşula dayanarak trafiğe izin verir ve/veya reddeder.

  1. Protokol. (TCP, UDP, ICMP)
  2. Kaynak. (IP Adresi)
  3. Kaynak Bağlantı Noktası yani Port.
  4. Hedef
  5. Hedef Bağlantı Noktası yani Port

Bir NSG objenizi; sanal sunucunun network interface’i ya da bulunduğu subnet’i ile ilişkilendirebilirsiniz. Bir NSG birden fazla subnet ya da NIC’a bağlanabilir. Genel olarak Subnet’e bağlanması önerilir çünkü NIC’a atamalar karmaşıklığa sebep olacaktır.

NSG objesini Subnet ile ilişkilendirmek her ne kadar işinizi kolaylaştırsada, IP adreslerini tanımlamak ve bunları akılda tutmak zor olacaktır. İşte bu noktada da Application Security Group (ASG) imdadınıza yetişir. Aynı uygulamaları ASG ile gruplarsınız ve kural yazarken hedefe ASG gösterebilirsiniz.

Azure Firewall ise HA kabiliyetine sahip bir yönetilen Güvenlik Duvarı hizmetidir. Uygulama ve Network katmanlarında güvenlik hizmeti sağlar. VNET ve Subscription arası çalışabilir. HUB and Spoke modelindeki yapılar için uygundur. Asıl konusu da bu aslında. Ölçekleme ya da işlediği data şeklinde 2 farklı fiyatlama modeli vardır.

HUB and Spoke nedir?

Microsoft Azure’un önerdiği mimaridir. HUB’ı bir abonelike ya da RG olarak düşünebilirsiniz. Burada ortak kaynaklar barınır. Firewall, Loadbalancer, Monitoring yazılımınız gibi. Spoke ise servislerinizdir. SAP, Exchange, Uygulama-1 veya Uygulama-2 Gibi. Herşey HUB üzerinden akar.

Bir de bu yapının resmini ekleyelim ki görsel olarak da tam anlamıyla net olsun. Bu mimaride eğer PaloAlto on Azure ya da Forinet on Azure gibi bir çözüm yoksa Azure Firewall en doğru çözüm olacaktır.

Azure Firewall ve NSG Karşılaştırması

NSG, çok basit de olsa bir güvenlik duvarıdır. Maliyetin önemli olduğu durumlarda hayat kurtarır. Ağ katmanındaki trafiği filtreleyen, yazılım tanımlı bir çözümdür. Ancak Azure Güvenlik Duvarı yüksek erişilebilirlik özelliği ile kullanılan, daha sağlam bir çözümdür. L3-L4 trafiğinin yanı sıra L7 uygulama trafiğini de filtreleyebilir/analiz edebilir. Yönetilen bir güvenlik duvarı hizmetidir. Azure Güvenlik Duvarı, bir NSG ile aynı özellikleri sunmanın dışında daha fazlasını da sağlar.

Karşılaştırma:

ÖzellikNetwork Security Group (NSG)Azure Firewall
Protocol tabanlı trafik filtreleme
Service Tag Desteği
Uygulama FQDN Etiketi DesteğiX
Diafnostic Log için Azure Monitör Entegrasyonu
SNAT ve DNAT DesteğiX
Threat Intelligence-based FiltrelemeX

https://docs.microsoft.com/en-us/azure/firewall/fqdn-tags

Önemli Fark

Azure Firewall ile NSG birbirlerine muadil değildir. NSG obje bazlı güvenliktir ve vNET içerisinde kullanılmalıdır. Azure Firewall ise vNET’e gelen trafik gibidir.

Şöyle ifade edeyim:

NSG = Windows Firewall

Azure Firewall = Veri Merkezindeki Firewall

Örnek Topoloji:

Yukarıdaki şemada iki Spoke’un bir HUB’a bağlı olduğunu görüyorsunuz. Spoke ve HUB içlerinde NSG ile korunuyor ancak Spoke ve HUB aralarında Azure Firewall ile konuşuyor. Her bit dış kümeyi, bir veri merkezi gibi düşünebilirsiniz ya da izole ortamlar.

Exit mobile version