Bir önceki yazımda bahsettiğim NSG ve ASG kavramlarından sonra aklıma bir de NSG ve Azure Firewall Hizmetleri arasındaki farklara değinmek geldi. Azure Firewall bildiğiniz gibi ücretli bir servis ve genelde eğitimlerim sırasında “neden ücretsiz olarak sunulan NSG ile devam etmeyelim?” sorusunu çokça duyuyorum. Tabi ki farkı var.
Hızlıca; güvenlik önemli konularını geçerek direkt olarak nedir ne değildir konularına geçelim.
ASG’u ayrı tutarak; Azure’da, kaynaklara gelen ve giden trafiği yönetmek için kullanılabilecek iki güvenlik özelliği olduğunu söyleyebiliriz. Azure Firewall ve Network Security Group (NSG). Gelin bu iki servisin içeriklerini birlikte inceleyelim ve hangi senaryoda, hangi çözümün kullanılması gerektiğine birlikte karar verelim.
Azure firewall ve NSG’a Genel Bakış
NSG, ağ katmanındaki trafiği dinler ve 5 koşula dayanarak trafiğe izin verir ve/veya reddeder.
- Protokol. (TCP, UDP, ICMP)
- Kaynak. (IP Adresi)
- Kaynak Bağlantı Noktası yani Port.
- Hedef
- Hedef Bağlantı Noktası yani Port
Bir NSG objenizi; sanal sunucunun network interface’i ya da bulunduğu subnet’i ile ilişkilendirebilirsiniz. Bir NSG birden fazla subnet ya da NIC’a bağlanabilir. Genel olarak Subnet’e bağlanması önerilir çünkü NIC’a atamalar karmaşıklığa sebep olacaktır.
NSG objesini Subnet ile ilişkilendirmek her ne kadar işinizi kolaylaştırsada, IP adreslerini tanımlamak ve bunları akılda tutmak zor olacaktır. İşte bu noktada da Application Security Group (ASG) imdadınıza yetişir. Aynı uygulamaları ASG ile gruplarsınız ve kural yazarken hedefe ASG gösterebilirsiniz.
Azure Firewall ise HA kabiliyetine sahip bir yönetilen Güvenlik Duvarı hizmetidir. Uygulama ve Network katmanlarında güvenlik hizmeti sağlar. VNET ve Subscription arası çalışabilir. HUB and Spoke modelindeki yapılar için uygundur. Asıl konusu da bu aslında. Ölçekleme ya da işlediği data şeklinde 2 farklı fiyatlama modeli vardır.
HUB and Spoke nedir?
Microsoft Azure’un önerdiği mimaridir. HUB’ı bir abonelike ya da RG olarak düşünebilirsiniz. Burada ortak kaynaklar barınır. Firewall, Loadbalancer, Monitoring yazılımınız gibi. Spoke ise servislerinizdir. SAP, Exchange, Uygulama-1 veya Uygulama-2 Gibi. Herşey HUB üzerinden akar.
Bir de bu yapının resmini ekleyelim ki görsel olarak da tam anlamıyla net olsun. Bu mimaride eğer PaloAlto on Azure ya da Forinet on Azure gibi bir çözüm yoksa Azure Firewall en doğru çözüm olacaktır.
Azure Firewall ve NSG Karşılaştırması
NSG, çok basit de olsa bir güvenlik duvarıdır. Maliyetin önemli olduğu durumlarda hayat kurtarır. Ağ katmanındaki trafiği filtreleyen, yazılım tanımlı bir çözümdür. Ancak Azure Güvenlik Duvarı yüksek erişilebilirlik özelliği ile kullanılan, daha sağlam bir çözümdür. L3-L4 trafiğinin yanı sıra L7 uygulama trafiğini de filtreleyebilir/analiz edebilir. Yönetilen bir güvenlik duvarı hizmetidir. Azure Güvenlik Duvarı, bir NSG ile aynı özellikleri sunmanın dışında daha fazlasını da sağlar.
Karşılaştırma:
Özellik | Network Security Group (NSG) | Azure Firewall |
Protocol tabanlı trafik filtreleme | ✓ | ✓ |
Service Tag Desteği | ✓ | ✓ |
Uygulama FQDN Etiketi Desteği | X | ✓ |
Diafnostic Log için Azure Monitör Entegrasyonu | ✓ | ✓ |
SNAT ve DNAT Desteği | X | ✓ |
Threat Intelligence-based Filtreleme | X | ✓ |
- Service Tag – Hizmet Etiketi: Hizmet etiketleri; Azure Loadbalancer, Event Hub gibi servisleri betimler. Microsoft tarafından bu IP’ler yönetilir. Örneğin bir WEB sunucusu Event Hub’a gidicek ya da oradan trafik alacak. Onlarca IP adresini yazmaktansa Service Tag seçilir ve arka tarafta bu sürekli güncel kalır. Bu NSG’de olduğu gibi Azure Firewall’da da kullanılabilir.
- FQDN Etiketleri: Servis Etiketlerine benzer. Azure Backup, Windows Uodate, Windows Diagnostics gibi servisler barındırır. Servis Etiketlerinden daha azdır. Aşağıdaki linkten tam listeyi görebilirsiniz. Bu yalnızca Azure firewall ile sahip olabileceğiniz bir yetenek.
https://docs.microsoft.com/en-us/azure/firewall/fqdn-tags
- SNAT – Kaynak Ağ Adresi Çevirisi: Azure Firewall özelliğidir. Azure Firewall üzerinden gelen Public IP adresini hedefe kadar taşımanızı sağlar.
- DNAT – Source Destination Address Çevirisi: Güvenlik Duvarı üzerinden gelen Public IP adresini, hedefe internal adres ile getirir.
Önemli Fark
Azure Firewall ile NSG birbirlerine muadil değildir. NSG obje bazlı güvenliktir ve vNET içerisinde kullanılmalıdır. Azure Firewall ise vNET’e gelen trafik gibidir.
Şöyle ifade edeyim:
NSG = Windows Firewall
Azure Firewall = Veri Merkezindeki Firewall
Örnek Topoloji:
Yukarıdaki şemada iki Spoke’un bir HUB’a bağlı olduğunu görüyorsunuz. Spoke ve HUB içlerinde NSG ile korunuyor ancak Spoke ve HUB aralarında Azure Firewall ile konuşuyor. Her bit dış kümeyi, bir veri merkezi gibi düşünebilirsiniz ya da izole ortamlar.