💻
Cheet Sheets
  • 🦁Başlarken
  • 🟧DevOps Pre-Requisite
    • ❤️Why Linux? | Linux Basics #1
    • 💛Vi Editor | Linux Basics #2
    • 💙Basics Commands | Linux Basics #3
    • 🧡Package Managers | Linux Basics #4
    • 💚Services | Linux Basics #5
    • 💛Networking Basics
    • 🤎DNS Basics
    • 🩶Applications Basics
    • 🟨Java introduction
    • 🟩NodeJS Introduction
    • 🟦Python Introduction
    • 🟪GIT Introduction
    • 🟧Apache Web Server Introduction
    • ⬛Apache Tomcat
    • 🟫Python Flask
    • 🟥Node.js Express App
    • 🟨Databases
    • 🟩MySQL
    • 🟪MongoDB
    • 🟨SSL & TLS
    • 🟦YAML & JSON - JSON Path
    • ⬛Labs Resources
  • 🍎Kubernetes
    • 🍏Kubernetes: Nedir ?
    • 🍒Bileşenler
    • 🍵Kubectl ve Versiyon
    • ❤️Pod
    • 🏷️Label ve Selector
    • 🔎Annotation
    • 📲Namespaces
    • 📦Deployments
    • 🔁ReplicaSet
    • 🔙Rollout & Rollback
    • 🌐Networking - 1
    • 🌏Service
    • 🛠️Liveness Probe & Readiness Probe
    • 🥐Resource Limits
    • 💰Environment Variables
    • 📃Ephemeral Volumes
    • 🔑Secrets
    • 🌂ConfigMap
    • 🖥️Node Affinity
    • 🔌Pod Affinity
    • ✍️Taint and Toleration
    • 🔦DaemonSet
    • 🧀PV/PVC
    • 🌜Storage Class
    • 🗿StatefulSet
    • 🕹️Job & Cronjob
    • 🔐Authentication
    • 📏Role-based access control (RBAC)
    • 🈷️Service Account
    • 📈Ingress
    • 📂ImagePullPolicy & ImageSecret
    • 📖Static Pods
    • 🌐Network Policy
    • 🫐Helm Nedir?
    • 📽️Prometheus Stack - Monitoring
    • 💼EFK Stack - Monitoring
    • 🥳CRD & Operator
  • 🧑‍⚕️GIT & GITHUB
    • 👉Girizgah
    • 🌴Branch
    • 🤝Merge
    • 🤔Conflict - Rebase
    • 🇸🇴Alias
    • 🛑Gitignore
    • 🥢Diff
    • ◀️Checkout
    • 🔦Stash
    • 👉Other
  • ☁️AWS
    • 🪣S3
    • 🚙EC2
    • ⚖️ELB
    • 🤝Auto Scaling
    • 🗄️EFS
    • 🔐VPC
    • 🎆CloudFront
    • ❤️Route53
    • 🦈RDS
    • 🏢ElastiCache
    • 🔭CloudWatch
    • 👀CloudTrail
    • 📃CloudFormation
    • 🔕SNS
    • 📬SQS
    • 🎇SWF
    • 📧SES
    • 📦Kinesis
    • 📐AWSConfig
    • 👩‍🏭OpsWork
    • 🚀Lambda - Api Gateway
    • 📌ECS - EKS
    • 🔑KMS
    • 📂Directory Service
    • 🏐Snowball
    • 💾Storage Gateway
    • 💽Volume Gateway
    • 📼Tape Gateway
    • 🏠Organizations
    • 🔙Backup-Transfer-CloudShell
    • 🆔IAM
    • 📀DataSync
    • 🗃️FSx
    • 🎒Aurora Serverless
    • 🌐Global Accelerator
    • 💪HPC
    • 🎰Outposts
    • 🗼Others
  • 👨‍🔬Ansible
    • 👉Girizhah
    • 📔YAML
    • ⚙️Komponentler
    • 🎒Inventory
    • 🏑ad-hoc
    • ▶️Playbook
  • 👨‍⚕️PROMETHEUS
    • 📈Terminoloji
    • 🦯Ubuntu 20.04 Prometheus Kurulum
    • 🗒️prometheus.yml dosyasına ilk bakış:
    • 🧭promQL up query
    • 📇Exporters
    • 🔦promQL Data Types
    • 🦯Selectors & Matchers
    • 🔢Binary Operators
    • 💀ignoring and on
    • ✍️Aggregation Operators
    • 🧠Functions
    • 🖊️Alıştırma
    • 💻Client Libraries
    • 🐍Examining the data of our Python application
    • 🐐Examining the data of our GO application
    • ⏺️Recording Rules
    • 💡rate functions
    • ⏰Alerting
    • ⌚Alert Routing
    • ⏰Slack integration with Prometheus
    • 🤯PagerDuty integration with Prometheus
    • ◼️BlackBox exporter
    • 📍Push Gateway
    • 🪒Service Discovery
    • 🧊kube cadvisor with external prometheus
    • 👉aws with prometheus
    • ☁️CloudWatch Exporter
    • 👨‍🚒mysql exporter
    • 🛃Custom exporter with Python
    • ⚙️Prometheus with HTTP API
    • 🤖Prometheus Federation For Kubernetes
    • 📺Grafana
    • ⁉️Prometheus: Ne zaman kullanılmalı? Ne zaman kullanılmamalıdır?
  • 🍪Sheets
    • 🛳️Docker Sheets
    • 🐐Kube Sheets
  • 🔢12 Factor APP
    • 🏗️Introduction
    • 1️⃣Codebase
    • 2️⃣Dependencies
    • 3️⃣Concurrency
    • 4️⃣Processes
    • 5️⃣Backing Services
    • 6️⃣Config
    • 7️⃣Build, release, run
    • 8️⃣Port binding
    • 9️⃣Disposability
    • 🔟Dev/prod parity
    • 🕚Logs
    • 🕛Admin processes
  • ☁️Azure 104
    • 👨‍👨‍👧‍👧Azure Active Directory ( Entra ID )
    • 💰Subscriptions
    • 🌎Virtual Network (VNET)
    • 💻Virtual Machines
    • 🧑‍🌾Load Balancing
    • 🥍Network Advanced
    • 🪡Automating Deployment and Configuration
    • 💂Securing Storage
    • 📓Administering Azure Blobs and Azure Files
    • 🔧Managing Storage
    • 🎁App Service
    • 🛳️Azure Container
    • 🥇Backup And Recovery
    • 🪐Network Watcher
    • ⏰Resource Monitoring And Alerts
  • ⛅AZURE 305
    • 🆔identity and access management
    • 💼Desing Azure AD (Entra ID)
    • 👨‍💼Desing for Azure B2B
    • 🛃Desing for Azure B2C
    • 💳Design for MFA and Conditional Access
    • ⛑️Design for Identity Protection
    • 🚶Access Reviews
    • 🚦Managed identity Demostration
    • 🔐Key Vault Demostration
    • 👑Governance hierarchy
    • 💠Design for Management Groups
    • 🔑Desing for Subscriptions
    • 🍇Desing for resource groups
    • 📟Design for resource tags
    • 🚷Azure Policy & RBAC
    • 🫐Desing For Blueprints
    • 🪡Desing for Virtual Networks
    • 🛫Design for on-premises connectivity to Azure
    • 🔽Design for network connectivity
    • 📦Design for application delivery
    • 🥞Design for network security and application protection
    • 📕Choose a compute solution
    • 🌊Design for virtual machines
    • 🔋Azure Batch Demostration
    • 🛰️Design for Azure App Service
    • ⛲Design for Azure Container Instances
    • 🎢Design for Azure Kubernetes Service
    • 📠Azure Functions Demostration
    • 💪Azure Logic Apps Demostration
    • 🧑‍💼Design for data storage
    • 🎞️Design for Azure storage accounts
    • 🌟Choose the storage replication
    • 📹Azure blob storage - Lifecycle & immutable demo
    • 🥌Azure Files Demostration
    • 🕸️Design Azure disks
    • 🦼Design for storage security
    • 🔮Azure Table Storage And Cosmos DB Demostration
    • 🟧Azure SQL Solutions
    • 🎡Azure SQL Database - Purchasing models
    • 🕯️Database availability
    • 📜Data security strategy
    • 🧮Azure SQL Edge
    • 🚲Azure Data Factory
    • 🔅Azure Data Lake Storage
    • 🧘‍♂️Azure Databricks
    • 🎒Azure Synapse Analytics
    • 🅰️Azure Stream Analytics
    • 📼Data flow strategy
    • 🍥Cloud Adoption Framework
    • ☣️Azure Migration Framework
    • 🦿Assessing workloads
    • 🪡Migration tools
    • 🤖Azure Database migration
    • 👥Storage migration
    • 👜Azure Backup
    • ⏲️Azure Blob Backup and Recovery
    • 💈Azure files backup and recovery
    • 🎞️Azure VM backup and recovery
    • 🧺Azure SQL backup and recovery
    • ⏰Azure Site Recovery
    • 📩Differentiate event and message
    • ✈️Azure messaging solutions
    • 🚜Event Hub
    • 🥍Application optimization solution
    • 🎁Application lifecycle
    • 📺Azure Monitor
    • 🅱️Log Analytics
    • 👥Azure workbooks and Insights
    • 🚌Azure Data Explorer
  • Github Actions
    • Github Actions Nedir?
    • Workflow & Schedule Triggers
    • Single and Multiple Events
    • Manuel Events
    • Webhook Events
    • Conditional Keywords For Steps
    • Expressions - 1
    • Expressions - 2
    • Runners
    • Workflow Commands
    • Workflow Context
    • Dependent Jobs
    • Encrypted Secrets
    • Configuration Variables
    • Default & Custom Env Varb
    • Set Env Varb with Workflow Commands
    • Github Token Secret
    • Add Script to workflow
    • Push Package #1
    • Push Package #2 Docker
    • Service Containers
    • Routing workflow to runner
    • CodeQL Step
    • Caching Package and Dependency Files
    • Remove workflow Artifact
    • Workflow Status Badge
    • Env Protection
    • Job Matrix Configuration
    • Disable & Delete Workflows
    • Actions type for Action
    • Inputs and Outputs for actions
    • Action Versions
    • Files and Directories for Actions
    • Exit Codes
    • Reusable Workflow & Reuse Templates for Actions and Workflows
    • Configure Self Hosted Runners for Enterprise
  • Loki
    • What is Loki?
    • Architecture of Loki
    • Install Loki For Ubuntu
    • Install Promtail For Ubuntu
    • Querying Logs
    • Loki in Kubernetes
    • Deploying Loki in Kubernetes
    • Connecting to Grafana
    • Viewing Kubernetes logs
    • Promtail Customize & Pipeline
  • Ansible
    • Ansible Introduction
    • Introduction to Ansible Configuration Files
    • Ansible Inventory
    • Inventory Formats
    • Ansible Variables
    • Variable Types
    • Registering Variables and Variable Precedence
    • Variable Scoping
    • Magic Variables
    • Ansible Facts
    • Ansible Playbooks
    • Verifying Playbooks
    • Ansible lint
    • Ansible Conditionals
    • Ansible Conditionals based on facts, variables, re-use
    • Ansible Loops
    • Ansible Modules
    • Introduction to Ansible Plugins
    • Modules and Plugins Index
    • Introduction to Handlers
    • Ansible Roles
    • Ansible Collections
    • Introduction to Templating
    • Jinja2 Templates for Dynamic Configs
  • 🅰️Ansible Advanced
    • Playbook run options
Powered by GitBook
On this page
  • Service Endpoint;
  • Private Link;
  • Network Security Groups;
  • Azure Firewall;
  • Web Application Firewall (WAF);
  • DDoS Protection;
  • Azure Bastion;
  • JIT access;

Was this helpful?

  1. AZURE 305

Design for network security and application protection

PreviousDesign for application deliveryNextChoose a compute solution

Last updated 1 year ago

Was this helpful?

Service Endpoint;

Azure Service Endpoint, Azure sanal ağınızdan Azure hizmetlerine doğrudan ve güvenli bir bağlantı sağlayan bir özelliktir. Bu, sanal ağ kaynaklarınızın (örneğin, VM'ler veya uygulamalar) Microsoft'un omurga ağı üzerinden Azure hizmetlerine (örneğin, Azure Storage, Azure SQL Database) özel bir bağlantı kullanarak erişmesini sağlar. Bu özellik sayesinde, bu kaynaklara internet üzerinden erişilemezken, sanal ağınızdaki kaynaklardan erişilebilirler. Böylece güvenlik artırılır, çünkü hizmetlere yalnızca sanal ağınızdan erişilebilir ve bu hizmetler için herhangi bir genel IP adresi atanması gerekmez. Service Endpoint, aynı zamanda optimizasyon ve basit kurulum için Azure'un ağ altyapısını kullanır, böylece karmaşık bir yapılandırma yapmanıza gerek kalmaz.


Private Link;

Azure Private Link, Azure hizmetlerinizi ve Azure üzerinde barındırılan uygulamalarınızı özel ağınız üzerinden güvenli bir şekilde erişilebilir kılan bir hizmettir. Bu hizmet, sanal ağınızdan Azure hizmetlerine özel ve güvenli bir bağlantı kurmanızı sağlar, böylece hizmetlerinizin genel internet üzerinden erişilebilir olmasına gerek kalmaz. Private Link, Azure PaaS hizmetlerini, müşteriye ait veya ortak hizmetleri özel IP adresleri üzerinden doğrudan sanal ağınıza bağlamanıza olanak tanır. Bu, hem güvenlik seviyesini artırır hem de ağ trafiğinin Azure'un ağ omurgası üzerinden geçmesini sağlayarak genel internete maruz kalma riskini azaltır.


Network Security Groups;

Azure Network Security Groups (NSG'ler), Azure sanal ağınızdaki kaynaklara erişimi denetlemek için kullanılan bir güvenlik hizmetidir. Bir NSG, hem gelen (inbound) hem de giden (outbound) ağ trafiği için kurallar belirlemenizi sağlar. Bu kurallar, belirli IP adres aralıkları, port numaraları ve protokoller üzerinden trafiğin izin verilip verilmeyeceğini kontrol eder. NSG'ler, sanal makinelerinizi (VM'ler), sanal ağlarınızı ve diğer Azure hizmetlerinizi istenmeyen ağ trafiğinden korumak için etkili bir yol sunar. Yani, bir sanal güvenlik duvarı gibi düşünülebilir ve her sanal ağ arayüzüne (NIC), veya alt ağa (subnet) uygulanabilir.


Azure Firewall;

Azure Firewall, Azure tarafından sunulan bulut tabanlı bir güvenlik duvarı servisidir. Bu yönetilen servis, sanal ağ kaynaklarınızın korunmasını sağlar ve geniş ağ trafiği filtreleme kapasitesine sahiptir. Uygulama kuralları, ağ kuralları ve NAT kuralları oluşturmanıza olanak tanıyarak, gelen ve giden ağ trafiğini merkezi olarak yönetmenizi sağlar. Ayrıca, Azure'daki kaynaklarınız arasında zorunlu trafik yolları (forced tunnelling) ayarlayarak, veri sızıntılarını ve diğer güvenlik tehditlerini azaltmaya yardımcı olur. Azure Firewall, kuralları otomatik olarak ölçeklendirir ve bulut kaynaklarınızı korumak için sürekli güncellenir.


Web Application Firewall (WAF);

Azure Web Application Firewall (WAF) Azure’un güvenlik duvarı servisinin bir parçasıdır ve özellikle web uygulamalarını korumak için tasarlanmıştır. WAF, web uygulamalarınızı yaygın saldırılara ve güvenlik açıklarına karşı korur, örneğin SQL enjeksiyonu ve Cross-Site Scripting (XSS) gibi. Azure WAF, OWASP (Open Web Application Security Project) güvenlik kuralları listesini temel alır ve uygulamanızı bu tür tehditlere karşı proaktif bir şekilde savunur. Kuralları, uygulamanızın gereksinimlerine göre özelleştirebilir ve yönetebilirsiniz, bu da uygulamanızın güvenliğini sürekli olarak sağlamaya yardımcı olur.


DDoS Protection;

Azure DDoS Protection, Azure kaynaklarını Distributed Denial of Service (DDoS) saldırılarına karşı korumak için tasarlanmış bir hizmettir. Bu hizmet, Azure platformuna yapılan potansiyel DDoS saldırılarını algılar ve bu saldırılara karşı savunma yaparak Azure uygulamalarınızın sürekli olarak erişilebilir ve performanslı kalmasını sağlar. Azure DDoS Protection, otomatik ağ analizi ve makine öğrenimi ile saldırıları tanır ve uygun savunma mekanizmalarını devreye sokar. Temel koruma varsayılan olarak tüm Azure servislerinde mevcuttur ve gelişmiş koruma seçenekleri ek güvenlik ve özelleştirme için kullanılabilir.


Azure Bastion;

Azure Bastion, Azure sanal makinalarınıza (VM'ler) doğrudan Azure portal üzerinden erişim sağlayan bir hizmettir. Bu tamamen yönetilen bir hizmettir ve kullanıcıların herhangi bir ek istemci yazılımına ihtiyaç duymadan, güvenli bir şekilde VM'lerine SSH veya RDP (Remote Desktop Protocol) ile bağlanmalarına olanak tanır. Azure Bastion, güvenlik duvarlarının arkasında oluşturulur ve VM'lere herhangi bir public IP ataması yapmadan güvenli bir bağlantı noktası sunar.

Ayrıca, Jumpbox ise; Genellikle büyük bir sanal ağdaki diğer sanal makineler (VM'ler) için güvenli bir erişim noktası olarak kullanılan bir sanal makinedir. Bu, güvenlik amacıyla izole edilmiş bir ağda bulunan kaynaklara erişirken kullanılır. Jumpbox, ayrıca Bastion Host olarak da bilinir ve genellikle yalnızca yönetim görevleri için kullanılır. Kullanıcılar önce Jumpbox'a bağlanır ve ardından diğer VM'lere veya kaynaklara geçiş yapar. Bu yöntem, doğrudan internete maruz kalan VM'lerin sayısını azaltır ve potansiyel saldırı yüzeyini sınırlandırır.


JIT access;

Azure'da JIT (Just-In-Time) erişimi, Azure Security Center'in bir özelliği olarak sunulan ve sanal makinelerinize (VM) yapılan erişimi güvenli bir şekilde yönetmenizi sağlayan bir mekanizmadır. JIT erişimi, belirli bir zaman aralığı için RDP veya SSH gibi erişim portlarını açarak onaylanmış kullanıcılara geçici erişim izni verir. Bu, gerektiğinde gereken minimum süre için en az gerekli erişimi sağlayarak güvenlik duruşunuzu iyileştirir ve VM'lerinizi olası tehditlere karşı korur. Erişim talepleri, belirlenen politikalara göre otomatik olarak onaylanır veya reddedilir.

Just-In-Time (JIT) VM erişimi, Azure Security Center içinde oluşturulur. JIT erişimi etkinleştirmek için, Azure Security Center'daki 'Gelişmiş koruma' özelliklerine gidip sanal makinenizi seçmeniz ve JIT erişimi yapılandırmanız gerekmektedir. Orada, hangi portların JIT erişimi için açılacağını, isteklerin ne kadar süreyle açık kalacağını ve hangi IP adres aralıklarından erişim izni verileceğini belirleyebilirsiniz. Erişim izni talep edildiğinde, kullanıcıya belirlenen süre boyunca erişim verilir ve süre dolduğunda otomatik olarak kapatılır. Bu süreç, Azure aboneliğinize bağlı olarak ve Azure Security Center lisansınıza göre değişiklik gösterebilir.

⛅
🥞
Azure Service Endpoint Overview and ConfigurationRupesh Tiwari - Founder of Fullstack Master
Logo
Azure Private Link Configuration (Private Endpoint – Storage Account)Cloud Computing with a side of Chipz
Enable just-in-time access on VMs - Microsoft Defender for CloudMicrosoftLearn
Logo
Logo