Bugün, Azure Sanal WAN’ın (vWAN) birden çok alanında, ağ, güvenlik ve yönlendirme işlevlerini tek bir operasyonel arabirim sağlamak üzere bir araya getiren bir hizmet olarak ağ iletişimi konularında duyurular yapmaktan heyecan duyuyoruz. Kurumlar maliyetlerini düşürürken bulutu giderek daha fazla benimsedikçe, geniş alan ağlarını birleştirmek, hızlandırmak ve hatta yenilemek isteyen BT ekipleri Azure Sanal WAN’ı göz önünde bulundurmalıdır. Sanal WAN’ı kullanmaya başlamak için tüm bu kullanım örneklerine sahip olmanız gerekmez, yalnızca bir tanesiyle başlayabilirsiniz. Yerleşik kullanım kolaylığı ve basitliği ile vWAN, geniş alan ağınızı bağlamak, korumak, yönlendirmek ve izlemek için tek adresli bir mağazadır.

“Microsoft Azure Sanal WAN, Accenture için sonuçları artırıyor. Kod tabanlı dağıtımlarla 250’den fazla kurumsal ağı Sanal WAN’a geçirmek, müşterilerimiz için esnek, daha ucuz ve tutarlı ağlar oluşturur. Artık yeni şantiyeleri saatler içinde kolayca bağlayabiliyoruz.” —Conrad Johnson, Bulut Ağları Servis Direktörü, Accenture.

Aşağıdaki alanlarda önemli duyurular vardır:

  • Uzak kullanıcı bağlantısı (noktadan siteye VPN olarak da bilinir).
  • Yönlendirme.
  • Şube bağlantısı (siteden siteye VPN olarak da bilinir).
  • Özel bağlantı (ExpressRoute olarak da bilinir).
  • Üçüncü taraf ağ sanal gereç entegrasyonları.

Uzak kullanıcı bağlantısı (noktadan siteye VPN olarak da bilinir)

Çok havuzlu kullanıcı grubu desteği önizlemesi

Uzak kullanıcı (noktadan siteye) VPN için çok havuzlu kullanıcı grubu desteği, bağlanan kullanıcılara kimlik bilgilerine göre farklı IP adresi havuzları atamanıza olanak tanır. Bu özellik sayesinde, uzak kullanıcılarınızı farklı gruplara ayırabilir, her gruba benzersiz IP adresleri atayabilir ve hem Azure’da hem de şirket içinde barındırılan iş açısından kritik uygulamalara erişimi denetlemek ve kısıtlamak için atanan IP’leri kullanabilirsiniz.

Sanal WAN içindeki kullanıcı grupları, Azure Active Directory üyeliğine, Sertifika Ortak Adı etki alanına veya özel RADIUS özniteliklerine göre tanımlanabilir.

Şekil A

Bu örnekte, Contoso şirketinin insan kaynakları, finans ve mühendislik olmak üzere üç departmanı vardır. Contoso ayrıca bir ExpressRoute bağlantı hattı aracılığıyla Sanal WAN’a bağlı çeşitli iş uygulamalarını barındıran bir şirket içi veri merkezine sahiptir. Contoso, segmentlere ayırmak için Azure Active Directory gruplarından ve Sanal WAN uzak kullanıcı/noktadan siteye VPN gruplarından yararlanır ve İK, finans ve mühendislik kullanıcılarına farklı IP’ler atar.

Contoso daha sonra Azure Güvenlik Duvarı’nı ve şirket içi Güvenlik Duvarı kurallarını, her işlevsel departmanın yalnızca ilgili uygulamalara erişmesine izin verecek şekilde yapılandırır. Örneğin, Azure Güvenlik Duvarı, İK sanal ağındaki uygulamalara erişimi İK kullanıcılarıyla kısıtlayacak şekilde yapılandırılır. Benzer şekilde, şirket içi güvenlik duvarları da kullanıcıların ihtiyaca göre uygulamalara erişmesine izin verecek şekilde yapılandırılır.

Yönlendirme

Güvenli hub yönlendirme amacı önizlemesi

Yönlendirme amacı ve yönlendirme ilkeleri, Azure Sanal WAN dağıtımlarınızın güvenliğini basitleştirmenize olanak tanır. Tek bir tıklamayla, Azure Güvenlik Duvarı tarafından incelenmek üzere tüm trafiği (bölgeler arası ve daldan dala dahil) gönderebilir veya sanal WAN hub’ında dağıtılan Yeni Nesil Güvenlik Duvarı (NGFW) Ağ Sanal Gereçleri’ni seçebilirsiniz. Sanal WAN’ın yönlendiricisi, hataya açık yapılandırmalardan kaçınabilmeniz için BGP kullanarak tüm bunları sizin için dinamik olarak yönetir.1

ŞekilBandC

Bir hub’da yönlendirme ilkesi yapılandırmak, bu hub’ı bölgesel bir güvenlik sınırı haline getirir; bu hub’a giren veya çıkan tüm trafik, hedefine iletilmeden önce incelenmek üzere Azure Güvenlik Duvarı’na veya NVA’ya gönderilir. Yönlendirme ilkeleri, aynı hub’a bağlı kaynaklar ile farklı hub’lar arasındaki Doğu-Batı (VNet-VNet, daldan dala (ExpressRoute, P2S VPN, S2S VPN), Kuzey-Güney (daldan VNet) trafiğini incelemek için Azure Güvenlik Duvarı/NVA’yı kabloya çarpma çözümü olarak dağıtmanıza olanak tanır. Azure Güvenlik Duvarı veya Ağ sanal gereci Güvenlik Duvarı, Sanal Ağlar ve şirket içi için internet trafiği için çıkış noktası olarak da kullanılabilir.

Hub yönlendirme tercihi (HRP) genel kullanıma sunuldu

Bir sanal hub yönlendiricisi, şirket içi bir hedef yol öneki için S2S VPN, ER ve SD-WAN NVA bağlantıları üzerinden birden çok yol öğrendiğinde, sanal hub yönlendiricisi yerleşik bir yol seçim algoritması kullanarak yönlendirme kararları verir. Sanal hub yönlendirme tercihini seçebilmek, şirket içine doğru akan trafik için bir sanal hub yönlendiricisindeki yönlendirme kararlarını etkileme olanağı sağlar.

Düşündüm

Hub yönlendirme tercihi, bir sanal hub yönlendiricisi S2S VPN, ER ve SD-WAN NVA bağlantıları üzerinden birden çok yol öğrendiğinde trafiğinizin nasıl yönlendirileceğini seçmenize olanak tanıyarak altyapınız üzerinde daha fazla denetim sahibi olmanızı sağlar. Hub yönlendirme tercihi, istediğiniz trafik akışını oluşturmak için ExpressRoute, AS Yolu ve VPN arasında seçim yapma olanağı sağlar.

Rotalar aşağıdaki sırayla seçilir:

  1. En Uzun Önek Eşleşmesi (LPM) olan rotaları seçin.
  2. BGP yolları yerine statik yolları tercih edin.
  3. Hub yönlendirme tercihi, ExpressRoute, AS Yolu ve VPN arasında seçim yapmanızı sağlar.

Genel kullanıma sunulan sanal WAN hub’ına bağlı bir bağlı olan VNet içindeki iş yükleri için sonraki atlama IP’sini atlamaBypass next hop IP for workloads within a spoke VNet connected to the virtual WAN hub general available

Sanal WAN’ların en popüler yönlendirme kullanım örneklerinden biri, sanal WAN hub’ına bağlı bir bağlı bileşen VNet’inde NVA dağıtmak ve ardından trafiği NVA üzerinden yönlendirmektir. Sanal WAN hub’ına bağlı bir bağlı olan VNet içindeki iş yükleri için bir sonraki atlama IP’sini atlamak, herhangi bir ek yapılandırma olmadan NVA’nızla VNet’teki diğer kaynakları dağıtmanıza ve bunlara erişmenize olanak tanır.

Şekil E

Sanal WAN hub’ına bağlı bir bağlı olan VNet içindeki iş yükleri için bir sonraki atlama IP’sini atlamak, NVA’ları dağıtma konusunda daha fazla esnekliğe sahip olmanızı sağlar. Bu özellik, NVA üzerinden tüm trafiği zorlamadan NVA’ları ve diğer iş yüklerini aynı VNet’e dağıtmanıza olanak tanır.

Border Gateway Protocol (BGP) Sanal hub ile eşleme genel kullanıma sunuldu

Sanal hub ile BGP eşlemesi, Sınır Ağ Geçidi Protokolü (BGP) yönlendirme protokolünü kullanarak sanal hub yönlendiricisiyle doğrudan eşleme yeteneğini ortaya çıkarır. Bu özellik artık Network Virtual Appliance (NVA) ile sanal hub yönlendiricisi arasında statik yollar yapılandırma gereksinimini ortadan kaldırır.

Sanal hub ile BGP eşlemesi, bağlı bir VNet ‘te NVA dağıtmanıza ve şube ve şirket içi sitelerinizle dinamik olarak rota alışverişinde bulunmanıza olanak tanır. Daha sonra BGP kullanarak aynı NVA’yı sanal hub ile dinamik olarak eşleyebilirsiniz. Artık statik yollar kullanmadan şubeniz ve sanal hub arasında rota alışverişi yapabilirsiniz!

Şube bağlantısı (siteden siteye VPN olarak da bilinir)

BGP kontrol paneli genel kullanıma sunuldu

BGP panosu, BGP’yi tek bir yerde kullanmak üzere yapılandırılmış siteden siteye VPN’leriniz için BGP eşlerini, reklamı yapılan yolları ve öğrenilen yolları izleme olanağı sağlar.

Şekil G

BGP panosu, Sanal WAN’a bağlı şubeleriniz için daha fazla görünürlük sağlar. Artık şube ofisinizin sanal WAN yönlendiricisine hangi yolları gönderdiğini ve Sanal WAN yönlendiricisinin şube ofislerinize hangi yolları gönderdiğini görebilirsiniz.

Azure içinde bir Sanal WAN sistemine siteden siteye bağlantı kurmak için kullanılabilecek Sanal Ağ ağ geçidi olarak da bilinen vWAN olmayan bir VPN ağ geçidi kullanmak isteyen müşteriler için aşağıdaki Sanal WAN özellikli özellikler kullanıma sunulmaya değer.

ExpressRoute özel eşlemesi üzerinden Sanal Ağ Geçidi VPN’si (AZ ve AZ olmayan bölgeler) genel kullanıma sunuldu

Müşteriler artık AZ olmayan bölgelerde ExpressRoute özel eşleme bağlantısı üzerinden VPN kullanabilir. Daha önce, bu özellik yalnızca kullanılabilirlik alanlarına sahip bölgeler için kullanılabiliyordu. Aşağıdaki ağ geçidi SKU’ları VPN bağlantısı ayarlamak için kullanılabilir:The following gateway SKUs can be used up VPN connectivity:

  • VpnGw1/2/3/4/5 Erişilebilirlik alanı olmayan bölgeler için standart genel IP’ye sahip SKU’lar
  • Bir veya daha fazla erişilebilirlik alanına sahip bölgeler için standart genel IP’ye sahip VpnGw1AZ/2AZ3AZ/4AZ/5AZ SKU’ları

Bir sanal ağ geçidine bağlanan noktadan siteye kullanıcılar, şirket içi kaynaklara erişmek için ExpressRoute’u (siteden siteye tünel aracılığıyla) kullanabilir.

Müşteriler, ExpressRoute özel eşlemesi üzerinden siteden siteye VPN bağlantılarını, aynı VPN ağ geçidinde Internet üzerinden siteden siteye VPN bağlantısıyla aynı anda dağıtabilir.

Özel trafik seçiciler (portal)–genel kullanıma sunuldu

Müşteriler, VPN tünelinin her iki ucundaki adres öneklerini daraltmak için trafik seçicileri ayarlamak isteyebilir. Özel trafik seçiciler, özellikle büyük VNet adres alanlarına sahip ancak IPsec/IKE anlaşması için alt ağlarından birini kullanmak isteyen müşteriler için kullanışlıdır. Müşteriler yeni bir bağlantı oluştururken veya mevcut bir bağlantıyı güncelleştirirken özel trafik seçiciler ekleyebilir.

Daha önce, PowerShell kullanarak özel trafik seçicileri etkinleştirdik. Müşteriler artık portalı Sanal Ağ Geçidi VPN bağlantılarında özel trafik seçiciler ayarlamak için de kullanabilir.

TrafficSelectorPolicy parametresi, her trafik seçicinin CIDR biçiminde yerel ve uzak adres aralıkları koleksiyonu tuttuğu bir dizi trafik seçiciden oluşur.

İkincil profil kullanan Azure VPN istemcisi için yüksek kullanılabilirlik genel kullanıma sunuldu

Müşteriler artık birincil ağ geçidi yapılandırmalarına ikincil bir ağ geçidi tercihi eklemek için Windows’ta Azure VPN istemcisini kullanabilir. Bu özellik, önceden yapılandırılmış ek bir profile sahip olarak noktadan siteye müşteriler için bağlantı kullanılabilirliğini artırır. Herhangi bir nedenle, birincil ağ geçidi bir kesintiyle karşılaşırsa, VPN istemcisi ikincil ağ geçidine bağlanmak için otomatik olarak yük devreder.

ŞekilJ

Özel bağlantı (ExpressRoute olarak da bilinir)

Sanal WAN bağlantısının görünürlüğüne sahip ExpressRoute bağlantı hattı

Daha önce Azure Portal’da, Sanal WAN hub’ına bağlı bir ExpressRoute bağlantı hattına giderken, ExpressRoute bağlantı hattının Bağlantılar sayfası, sanal hub’ın ExpressRoute ağ geçidine olan bağlantıları görüntülemiyordu. Bu özellik sayesinde, sanal hub ‘ın ExpressRoute ağ geçitlerine yapılan bu bağlantılar artık görülebilir.

Bu özellik, sanal hub ‘daki ExpressRoute ağ geçitlerine bu bağlantıları görüntüleyerek, Azure mimariniz için daha fazla görünürlük sağlar. Bu yalnızca topolojinizi daha iyi anlamanıza olanak sağlamakla kalmaz, aynı zamanda ExpressRoute bağlantınızı daha iyi izlemenize ve sorun gidermenize olanak tanır.

Üçüncü taraf entegrasyonları

Fortinet SDWAN genel kullanıma sunuldu

Fortinet SD-WAN’ın Sanal WAN’da genel kullanıma sunulduğunu duyurmaktan mutluluk duyuyoruz. Fortinet’in güvenlik odaklı yaklaşımı, yeni nesil Azure Güvenlik Duvarı ve SD-WAN’ı, yüksek oranda kullanılabilir sanal gereçleri dağıtmak ve önyüklemek ve bulut bağlantısı noktasında tam güvenlik denetimi sağlamak için tek bir sorunsuz çözüm kümesinde birleştirir.

Fortinet SD-WAN, Fortinet SD-WAN şube cihazları, Azure Sanal Ağlar’da barındırılan uygulamalarınız ve ExpressRoute’a bağlı şirket içinde barındırılan hizmetler arasında yönlendirmeyi zahmetsizce basitleştirmek için BGP kullanarak Sanal Hub Yönlendiricisi ile dinamik olarak rota alışverişinde bulunur.2

Şekil L

Aruba EdgeConnect Enterprise SDWAN önizleme

Azure Sanal WAN’da Aruba EdgeConnect Enterprise SD-WAN çözümünün önizlemesini duyurmaktan mutluluk duyuyoruz. Aruba EdgeConnect Enterprise SD-WAN çözümü, Azure üzerinden ve Azure üzerinden iyileştirilmiş, güvenli ve otomatik şube bağlantısı sağlar.

Şekil N

Aruba EdgeConnect Enterprise çözümü, uygulamaya duyarlı trafik yönlendirmesiyle şube ofislerini ve veri merkezlerini Azure Sanal WAN’a bağlayan tam otomatik, ölçeklenebilir ve yazılım tanımlı bir deneyim sunar.

Kontrol noktası NG Güvenlik Duvarı önizlemesi

Check Point’in Sanal WAN’daki Yeni Nesil Güvenlik Duvarı’nın önizlemesini duyurmaktan mutluluk duyuyoruz. Bu derin tümleştirme, Sanal WAN hub’ında bir Check Point Cloud Guard Network Security (CGNS) NVA dağıtmanıza olanak tanıyarak yüksek kullanılabilirlik sağlama, önyükleme veya yükseltmeleri yönetme konusunda endişelenmenize gerek kalmadan Check Point özelliklerinden yararlanmanızı sağlar. NVA eşleri, Sanal WAN hub’ları içindeki ve arasındaki yönlendirme kararlarını akıllıca işleyen Sanal WAN hub yönlendiricisi ile BGP kullandığından, bu NVA tümleştirmesinin en büyük yararı basitleştirilmiş yönlendirmedir.

Check Point CGNS, kötü amaçlı yazılım saldırılarını önlemek için gelişmiş tehdit algılama gibi birçok yeni nesil güvenlik duvarı özelliği sağlar. Ayrıca, Check Point Güvenlik Yönetimi ile Check Point güvenlik ilkelerini tek bir cam bölme üzerinden yapılandırabilirsiniz.2

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Fill out this field
Fill out this field
Lütfen geçerli bir e-posta adresi girin.
You need to agree with the terms to proceed

Menü