Bizi takip edin:

Azure Application Security Group Nedir?

Application Security Group(ASG)’lar, VM’leri mantıksal olarak gruplama imkanı sunarlar. Böylece VM’lerin inbound ve/veya outbound kurallarını düzenlemek için private IP adresleri veya subnetleri referans alma güçlüğünü ve bu güçlükten doğacak yönetimsel karmaşıklığı ortadan kaldırırlar.

ASG’ler, Network Security Group(NSG)’ları kullanmak için basitleştirilmiş bir yaklaşım sunarak Azure aboneliğinde daha az NSG kullanılmasına olanak tanırlar. ASG’ler, NSG’ye ait kuralların gözden geçirilmesi gerektiğinde kuralları okumayı kolaylaştırırlar. Ayrıca bu servis tıpkı Virtual Network servisi gibi ücretsiz bir servis olup tüm Azure bölgelerinde(region) kullanılabilir durumdadır.

1. İki Senaryonun Karşılaştırılması

Bu başlıkta geleneksel yöntem tercih edilerek NSG kurallarının oluşturulduğu senaryo ile ASG yardımıyla NSG kurallarının oluşturulduğu senaryo karşılaştırılacaktır.

Şekil-1

Şekil-1’de yer alan ağ mimarisinde izin verilecek(allow) kurallar port numaralarıyla beraber yeşil çizgilerle gösterilmiştir. ASG kullanmadan geleneksel yöntem tercih edilerek bu kuralları uygulamak için NSG içerisine ilgili VM’lerin private IP adreslerini referans alan 24 adet kural yazılması gerekir. Bu kuralların tümü Şekil-2’de yer alan tabloda gösterilmiştir.

Şekil-2

Virtual Network’e eklenecek her yeni VM için Şekil-2‘deki kuralların benzerlerinin defalarca kez girilmesi nedeniyle yönetim güçlüğünün artması dikkate değer bir gerçektir. ASG’ler bu yönetim güçlüğü problemine çözüm getirmek amacıyla Şekil-3’te olduğu gibi VM’leri mantıksal bir şekilde gruplayarak ilgili kuralların VM’lerin private IP adreslerini referans alması yerine mantıksal bir grubu referans almasına olanak tanır. Böylece ilk duruma karşın 24 adet kural eklemek yerine ASG yardımıyla sadece 4 adet kural eklenilerek eşdeğer durum elde edilir.

Şekil-3

2. Uygulama

Şekil-1’deki ağ mimarisinde yer alan NSG kurallarını daha az eforla ASG yardımıyla oluşturmak için bu başlık altındaki adımlar takip edilecektir:

2.1. Application Security Group Oluşturulması

ASG oluşturmak için Azure Portal’da bulunan arama çubuğuna Application security groups yazılıp bu servisin yönetim sayfasına erişilir. Karşılaşılan sayfada Add butonuna tıklanıp Şekil-4’teki gibi metin kutuları ağ yapısına uygun doldurulur. Bu başlık altındaki adımlar takip edilerek WebServers, AppServers ve DBServers isimli ASG’ler oluşturulmuştur.

Şekil-4

2.2. VM’lerin Application Security Group ile Gruplanması

Bir VM’yi bir ASG’ye dahil etmek için Azure Portal > Virtual Machines > VM’niz yoluna erişim sağladıktan sonra Şekil-5’de rakamla işaret edilen adımlar sırasıyla takip edilmelidir.

Şekil-5

Şekil-6’da olduğu gibi ekranın sağında bulunan pencerede ilgili ASG’yi seçildikten sonra yukarıdaki Save butonuna basılır. Bu pencerede bir VM’nin birden fazla ASG’ye eklenebileceğini tespit etmek mümkündür.

Şekil-6

Bu alt başlıkta sadece WEB-01 isimli VM’nin WebServers isimli ASG’ye eklenme kısmı gösterilmiştir. Bu alt başlıktaki adımlar tekrar takip edilerek aşağıda listelenen VM’lerin ok işaretiyle belirtilen ASG’lere eklenmesi gerekmektedir.

  • WEB-02, WEB-03 → WebServers

  • APP-01, APP-02, APP-03 → AppServers

  • DB-01, DB-02, DB-03 → DBServers

2.3. NSG’de Kuralların Yazılması

Bu başlıkta 9 adet VM’yi kapsayan NSG’nin sayfasına erişilerek Şekil-3’te yer alan 5 kuraldan ilk 4 tanesi eklenecektir. NSG’nin sayfasına erişmek için Azure Portal > Network security groups > NSG’niz yolu izlendikten sonra Şekil-7’de rakamla işaret edilen bağlantılara sırasıyla tıklanmalıdır.

Şekil-7

Ekranın sağına güvenlik kurallarının girilebileceği bir alan geldikten sonra Şekil-8’de belirtilen ilk 4 kural girilmelidir. Bu kuralları aşağıdaki gibi özetlemek mümkündür:

  1. AllowInternetToWeb80: Internet üzerinden WebServers isimli ASG’nin içindeki VM’lere TCP/80 numaralı porttan gelen taleplere izin vermeyi sağlayan bir kuraldır (Bkz. Şekil-8.a).

  2. AllowInternetToWeb80: Internet üzerinden WebServers isimli ASG’nin içindeki VM’lere TCP/443 numaralı porttan gelen taleplere izin vermeyi sağlayan bir kuraldır (Bkz. Şekil-8.b).

  3. AllowWebToApp: WebServers isimli ASG’nin içindeki VM’lerden AppServers isimli ASG’nin içindeki VM’lere TCP/443 numaralı porttan gelen taleplere izin vermeyi sağlayan bir kuraldır (Bkz. Şekil-8.c).

  4. AllowAppToDB: AppServers isimli ASG’nin içindeki VM’lerden DBServers isimli ASG’nin içindeki VM’lere TCP/1443 numaralı porttan gelen taleplere izin vermeyi sağlayan bir kuraldır (Bkz. Şekil-8.d).

Şekil-8

Web sunucularına 5 adet daha VM ekleyerek örnek(instance) sayısının arttırıldığı durumda yapılması gereken 2.2. VM’lerin Application Security Group ile Gruplanması başlığında olduğu gibi yeni eklenen VM’leri WebServers isimli ASG’ye dahil etmek olacaktır. ASG kullanmadan bu durumu gerçekleştirilirse her bir VM’ye 3 kural uygulandığından yeni eklenen 5 VM için toplam 15 kural uygulanması gerekir. ASG servisinden yararlanmanın yönetimsel karmaşıklığı azalttığını ve kullanıcı tarafından okunabilirliği arttırdığını bu örnekten de anlamak mümkündür.

3. Limitler

  • Bir VM’yi ASG’nin içerisine alabilmek için ASG kaynağı(resource) ile VM’nin NIC kaynağının(resource) aynı Azure bölgesinde(region) olması gereklidir.
  • Bir ASG içerisindeki tüm VM’ler aynı Virtual Network içerisinde yer alması gerekir (Bkz. Şekil-3Şekil-9.a).

  • Aynı Virtual Network içerisinde yer alıp farklı subnetlerde bulunan VM’leri ASG ile gruplamak mümkündür (Bkz. Şekil-9.a).

  • Bir NSG kuralı oluşturulurken kaynak(source) ve destination(hedef) alanlarının her ikisinde de ASG kullanılıyorsa bu iki ASG’nin içindeki tüm VM’ler Şekil-3 ve Şekil-9.a‘da olduğu gibi aynı Virtual Network içerisinde olması gerekir. Diğer bir deyişle Şekil-9.b‘deki network mimarisinde belirtilen şekilde ASG kullanmak mümkün değildir.

Şekil-9

4. Özet

Bu yazıda, VM’lerinizi mantıksal olarak gruplandırarak yönetim karmaşıklığını azaltan ve NSG kurallarının okunabilirliğini arttıran Application Security Group(ASG) isimli servis tanıtılmıştır. Bu yazının birinci başlığında servisin yeteneklerine, ikinci başlığında uygulama senaryosuna ve üçüncü başlıkta ise bu servisin limitlerine yer verilmiştir.

Referanslar

  1. Application security groups | Microsoft Docs

  2. Azure network security groups overview – Application security groups | Microsoft Docs

  3. Tutorial: Filter network traffic with a network security group using the Azure portal | Microsoft Docs

Önceki İçerik

Microsoft Azure Schedule Start – Stop

Sonraki İçerik

Gensenta ve Teams Digital ÜTT Toplantı Uygulaması

Start typing to see you are looking for.