Azure kaynaklarınızı yıkıcı siber saldırılara karşı koruma

Bu makalede, Microsoft Azure kaynaklarınızı yıkıcı siber saldırılara karşı korumak için Sıfır Güven ilkelerini aşağıdaki yollarla uygulamaya yönelik adımlar sağlanır:

Sıfır Güven ilkesi	Tanım
Açıkça doğrula	Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme.
En az ayrıcalıklı erişim kullan	Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
İhlal varsay	Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın. Sanal makineler için kaynak kilitleri, yedeklemeler ve olağanüstü durum kurtarma, veri koruma ve veri kullanılabilirlik hizmetleri ile kurtarma altyapınızın, yapılandırma tabanlı hizmetlerinizin ve platform otomasyonu ile DevOps araçlarının korunmasıyla savunmayı geliştirin. Tehdit algılama için Microsoft Sentinel'i ve gelişmiş çok aşamalı algılamayı kullanın ve Azure kaynakları için olay yanıtı planlarınızı hazırlayın.

Bu makale şunların nasıl yapılacağını gösteren yönergeleri içerir:

• Microsoft Azure kaynaklarınızı yıkıcı siber saldırılara karşı koruyun.
• Ortaya çıkan siber saldırıları tespit edin.
• Onlara nasıl yanıt versinler?

Bu makale, teknik uygulayıcıların İş Sıfır Güven güvenlik ihlali önleme ve kurtarma altyapısı uygulama senaryolarını desteklemesine yöneliktir.

Referans mimarisi

Aşağıdaki şekilde, bu Sıfır Güven kılavuzunun başvuru mimarisi ve her koruma kategorisi için gruplandırmalar gösterilmektedir.

Bu Azure ortamı şunları içerir:

Bileşen	Veri Akışı Açıklaması
A	Sanal makineler ve dosyaları
K	Veri hizmetleri ve verileri
C	Dosyalar, şablonlar ve otomasyon betikleri de dahil olmak üzere kurtarma altyapısı
D	Yapılandırma tabanlı hizmetler
E	Platform otomasyonu ve DevOps araçları (gösterilmez)

Her varlık türünü korumaya yönelik görevler bu makalenin 1. Adımında ayrıntılı olarak açıklanmıştır.

Bu makalede neler var?

Bu makalede, başvuru mimarisinde Sıfır Güven ilkelerini uygulama adımları adım adım izlenmektedir.

Adımlar	Görev
1	Siber saldırılara karşı korumayı yapılandırın.
2	Siber saldırıları algılamayı yapılandırın.
3	Olay yanıtı planlarınızı hazırlayın.

1. Adım: Siber saldırılara karşı korumayı yapılandırma

Birçok kuruluş, geçiş çalışmalarının bir parçası olarak Azure sanal makineleri için yedekleme ve olağanüstü durum kurtarma çözümleri uygular. Örneğin, Azure yerel çözümlerini kullanabilir veya bulut ekosisteminiz için kendi üçüncü taraf çözümlerinizi kullanmayı tercih edebilirsiniz.

Sanal makinelerin, uygulamalarının ve verilerinin korunması önemli olsa da, koruma kapsamını sanal makinelerin ötesine genişletmek de kritik önem taşır. Bu bölümde, Azure'daki farklı kaynak türlerini yıkıcı bir siber saldırıdan koruma konusunda dikkat edilmesi gereken noktaların ve önerilerin dökümü sağlanmaktadır.

Hizmete özgü noktalara ek olarak, yönetim düzlemlerini koruyarak hizmetlerin silinmesini önlemek için Kaynak Kilitleri'ni kullanmayı da göz önünde bulundurmalısınız. Kaynakları salt okunur hale getirmek için kaynak kilitlerini de kullanabilirsiniz. Kaynak kilitleri, azure kaynaklarının değiştirilmesini veya yok edilmesini engelleyerek bir siber saldırıda yok edilme olasılığını azaltmak için kontrollü erişimle çalışır.

Kaynak kilitlerinin beklenmeyen sonuçlar üretmesini önlemek için kilitlerinizi uygulamadan önce dikkat edilmesi gereken noktaları gözden geçirerek kilitleri yine de çalışmalarına izin veren bir şekilde uygun kaynaklara uyguladığınızdan emin olmanız gerekir. Örneğin, bir kaynak grubunun tamamı yerine bir sanal ağın (VNet) kilitlenmesi, kilidin kaynak grubu içindeki diğer kaynaklarda çok kısıtlayıcı olmasını engelleyebilir. Bu önemli noktalar nedeniyle, değiştirildiğinde veya silindiğinde en fazla kesintiye neden olacak kaynakları kilitlemeye öncelik vermelisiniz.

Kilitler, yük devredilmekte olan iş yükleri için Kurtarma Süresi Hedefleriyle ilgili bazı noktalara da sahip olabilir. Olağanüstü durum kurtarma planınız kilitleri hesaba katmalı ve kilitlerin kontrollü bir şekilde kaldırılması için test edilmiş bir prosedüre sahip olmanız gerekir. Yöneticilerinizi ve SecOps personelinizi hem günlük operasyonlar hem de acil durum senaryoları kapsamında kilitleri yönetme konusunda eğitmelisiniz.

Kilitleri kaldırma erişimi olan yöneticiler sınırlı olmalı ve Microsoft Entra Privileged Identity Management ile sağlanan gibi JIT erişimi içermelidir. Kaynaklardaki değişiklik kilitlerine erişim Microsoft.Authorization/locks/* kapsamıyla denetlenir ve ayakta erişim kapsamında verilmemelidir.

A. Sanal makineleri koruma

Ölçek kümeleri ve Kubernetes kümeleri dahil olmak üzere sanal makine tabanlı iş yükleri için, yönetim düzleminde kaynak kilitlerinin kullanımına ek olarak iki koruma katmanı planlamanız gerekir.

İlk olarak, Azure Kubernetes Service'i (AKS) içeren bir saldırı gerçekleştiğinde kayıp verileri geri yükleyebilmek için sanal makinelerden verileri yedeklemeyi planlamanız gerekir. Ayrıca, geçici silme denetimlerini kullanarak yedeklenen verilerin kendisini saldırılara karşı korumanız gerekir. Yedeklemeleri yapılandırma hakkında bilgi için bkz:

• Kurtarma Hizmetleri kasası oluşturma ve yapılandırma
• Azure'da sanal makineyi yedekleme
• Azure Kubernetes Service kümesi için yedeklemeyi yapılandırma
• AKS için Yedekleme ve Kurtarma
• Fidye yazılımlarına karşı koruma sağlamak için yedekleme ve geri yükleme planı
• Azure Backup için geçici silme

İkinci olarak, bölgenizdeki temel altyapıya saldırıldığında sunucuyu yeni bir konuma geri yükleyebilmeyi planlamanız gerekir. Sanal makinelerde çoğaltmayı yapılandırma hakkında bilgi için bkz . Azure VM'leri için olağanüstü durum kurtarmayı ayarlama. Bu, yük devretme sırasında kullanılan kaynaklara yönelik uygulamaların ve ayarların yapılandırılmasını içerir.

Önemli

Bir sanal makine ölçek kümesinin parçası olan sanal makineler için Azure Site Recovery'yi kullanırken, sanal makine durumunu çoğaltabilirsiniz. Ancak çoğaltılan cihazlar ölçeklendirmeyi desteklemez.

Kubernetes kümeleri gibi bazı sanal makine tabanlı iş yükleri için sunucuların gerçek durumu Azure Site Recovery aracılığıyla çoğaltılamaz. Etkin/pasif yapılandırma gibi başka çözümlere ihtiyacınız olabilir.

B. Veri hizmetlerini koruma

Veri hizmetleri, işlemler için gerekli verileri içeren, ancak kaynağın kendisi kadar önemli olmayan, resmi olmayan bir hizmet koleksiyonudur. Örneğin, aynı şekilde yapılandırılmış iki depolama hesabı ile aynı verileri barındırma arasında çok az fark vardır.

Veri hizmetleri, çalışan uygulamalardan ve yönetim düzleminin yapılandırmasından ayrı işletim sistemi yapılandırmalarına sahip olabilecek sanal makinelerden farklıdır. Sonuç olarak şu hizmetler:

• Genellikle depolama hesabının coğrafi olarak yedekli depolama (GRS) katmanlarının bir parçası olarak başka bir bölgeye çoğaltma özelliği gibi kendi yük devretme araçlarını içerir.
• Verilerin saldırılara karşı nasıl korunacakları ve bir saldırı durumunda verilerin yeniden kullanılabilir hale getirilebilecekleri konusunda kendi dikkate alınacak noktaları vardır.

Aşağıdaki tabloda yaygın olarak kullanılan hizmetler için veri koruma ve kullanılabilirlik başvuruları sağlanmaktadır, ancak kullanılabilir seçenekleri anlamak için her hizmetin ürün belgelerini araştırmanız gerekir.

Hizmet	Veri koruması	Veri kullanılabilirliği
Azure Dosyaları	Azure Dosya paylaşımlarını yedekleme Azure dosya paylaşımlarının yanlışlıkla silinmesini önleme	Azure dosya paylaşımlarında geçici silmeyi etkinleştirme
Azure Blob Storage	Blob verilerinde belirli bir noktaya geri yüklemeyi etkinleştirme İş açısından kritik blob verilerini sabit depolama alanıyla depolama	Azure blobu için veri korumasına genel bakış Kapsayıcıları geçici silmeyi etkinleştirme ve yönetme Bloblar için geçici silmeyi etkinleştirme
Azure SQL veritabanı	Azure SQL Veritabanı'da otomatik yedeklemeler	Etkin coğrafi çoğaltma Azure SQL Veritabanı için yük devretme grupları
SQL Yönetilen Örnekleri	Azure SQL Yönetilen Örneği'de otomatik yedeklemeler	Azure SQL Yönetilen Örneği için yük devretme grupları
Azure VM'leri üzerinde SQL	Azure VM'lerinde SQL server için yedekleme ve geri yükleme	Azure Sanal Makineler üzerinde SQL server ile yük devretme kümesi örnekleri
Anahtar kasaları	Azure Key Vault yedekleme ve geri yükleme	Anahtar kasaları için geçici silme ve temizleme korumasını etkinleştirme Azure Key Vault kullanılabilirliği ve yedekliliği

Uyarı

Bazı depolama hesabı kurtarma senaryoları desteklenmez. Daha fazla bilgi için bkz . Desteklenmeyen depolama kurtarma.

C. Kurtarma altyapısını koruma

İş yüklerinizdeki kaynakları korumaya ek olarak, kurtarma yordamları belgeleri, yapılandırma betikleri ve şablonlar gibi bir kesintiden sonra işlevselliği geri yüklemek için kullandığınız kaynakları da korumanız gerekir. Saldırganlar kurtarma altyapınızı hedefleyebilir ve kesintiye uğratabilirse, saldırıdan kurtarmada önemli gecikmelere yol açan ve kuruluşunuzu fidye yazılımı senaryolarına karşı savunmasız bırakan tüm ortamınız tehlikeye girebilir.

Azure Backup tarafından korunan veriler için, Azure yedeklemesi için geçici silme kullanılması, silinmiş olsa bile yedekleme verilerini kurtarmanıza olanak tanır. Ayrıca, gelişmiş geçici silme, geçici silme atamasını zorlar ve bir bekletme süresi tanımlamanızı sağlar.

Güvenliği daha da geliştirmek için kritik işlemler için çok kullanıcılı yetkilendirme (MUA) uygulayın. Bu, iki veya daha fazla kullanıcının yürütülmeden önce kritik işlemleri onaylamasını gerektirir. Bu, tek bir kullanıcının ve dolayısıyla tek bir kullanıcı hesabına sahip bir saldırganın yedekleme bütünlüğünü tehlikeye atmasını sağlayarak ek bir güvenlik katmanı ekler. Yedekleme ilkelerinizi yetkisiz değişikliklere ve silmelere karşı korumak için MUA'yı etkinleştirin ve yapılandırın.

Kaynaklar risk altında olduğunda yetkisiz erişimi ve algılamayı önlemek için Azure Site Recovery'yi kaynak kilitleri ve JEA/JIT erişimiyle koruyabilirsiniz.

Azure Disk Şifrelemesi (ADE) veya Müşteri Tarafından Yönetilen Anahtarlar (CMK) ile şifrelenmiş Azure Site Recovery ile sanal makineleri çoğaltırken, şifreleme anahtarlarının hedef bölge için Azure Key Vault'ta depolandığından emin olun. Anahtarların hedef bölgede depolanması, yük devretme sonrasında anahtarlara sorunsuz erişimi kolaylaştırır ve veri güvenliği sürekliliğini korur. Azure Key Vault'un yıkıcı siber saldırılara karşı korunması için geçici silme ve temizleme koruması gibi gelişmiş tehdit koruması özelliklerini etkinleştirin.

Şifrelenmiş sanal makineler için adım adım çoğaltma kılavuzu için aşağıdakilere bakın:

• ADE korumalı VM'lerin çoğaltması
• VM'leri CMK diskleriyle çoğaltma

D. Yapılandırma tabanlı hizmetleri koruma

Yapılandırma tabanlı hizmetler, yönetim düzleminde yapılandırmaları dışında veriye sahip olmayan Azure hizmetleridir. Bu kaynaklar genellikle altyapı tabanlıdır ve iş yüklerini destekleyen temel hizmetlerdir. Sanal ağlar, yük dengeleyiciler, ağ ağ geçitleri ve uygulama ağ geçitleri bunlara örnek olarak verilebilir.

Bu hizmetler durum bilgisi olmadığından, korunacak işletim verileri yoktur. Bu hizmetleri korumak için en iyi seçenek, yıkıcı bir saldırı sonrasında bu hizmetlerin durumunu geri yükleyebilen Bicep gibi kod olarak altyapı (IaC) dağıtım şablonlarına sahip olmaktır. Dağıtımlar için betikleri de kullanabilirsiniz, ancak IaC dağıtımları yalnızca birkaç hizmetin etkilendiği mevcut bir ortamda işlevselliği geri yüklemek için daha iyi çalışır.

Aynı şekilde yapılandırılmış bir kaynak dağıtılabildiği sürece hizmetler çalışmaya devam edebilir. Bu kaynakların kopyalarını yedeklemeyi ve korumayı denemek yerine, programlı dağıtımı kullanarak bir saldırıdan kurtarabilirsiniz.

IaC kullanma hakkında daha fazla bilgi için bkz . Kod olarak altyapıyı kullanma önerileri.

E. Platform otomasyon ve DevOps araçlarını koruma

Programlı dağıtımları veya diğer otomasyon türlerini kullanıyorsanız platform otomasyonu ve DevOps araç kaynaklarının da güvenliğinin sağlanması gerekir. Dağıtım altyapınızı korumaya yönelik örnekler için bkz . DevOps CI/CD işlem hatlarının güvenliğini sağlama ve Geliştirme yaşam döngüsünün güvenliğini sağlama önerileri.

Ancak, kullandığınız kaynak denetim araçlarına göre değişiklik gösteren kodun kendisini korumayı da planlamanız gerekir. Örneğin, GitHub'da kaynak kod depolarınız için bir depo yedekleme yönergeleri vardır.

Ayrıca kaynak kodunuzu ve işlem hatlarınızı saldırı ve yok edilmeye karşı en iyi şekilde nasıl koruyacağınızı belirlemek için belirli hizmetlerinizi de gözden geçirmeniz gerekir.

Sanal makinelerde barındırılan derleme aracıları gibi bileşenler için, gerektiğinde aracılarınızın kullanılabilir olduğundan emin olmak için uygun sanal makine tabanlı koruma planını kullanabilirsiniz.

2. Adım: Siber saldırıları algılamayı yapılandırma

Azure altyapınıza yönelik saldırıları algılamak için bulut tabanlı uygulamaları çeşitli siber tehditlere ve güvenlik açıklarına karşı korumak için tasarlanmış güvenlik önlemleri ve uygulamalardan oluşan buluta özel bir uygulama koruma platformu (CNAPP) olan Bulut için Microsoft Defender ile başlayın.

Bulut için Defender, Azure bileşenlerine yönelik ek planlarla birlikte Azure bileşenlerinden sinyaller toplar ve sunucular, kapsayıcılar, depolama, veritabanları ve diğer iş yükleri için belirli korumalar sağlar.

Aşağıdaki diyagramda, Bulut için Defender ve Microsoft Sentinel aracılığıyla Azure hizmetlerinden güvenlik olayı bilgilerinin akışı gösterilmektedir.

Şekilde:

• Azure hizmetleri Bulut için Microsoft Defender sinyaller gönderir.
• sunucular için Defender gibi ek planlarla Bulut için Microsoft Defender gelişmiş tehdit algılama sinyallerini analiz eder ve güvenlik bilgileri ile olay yönetimi (SIEM) verilerini Microsoft Sentinel'e gönderir.
• Microsoft Sentinel siber saldırı algılama, araştırma, yanıt ve proaktif avlanma için SIEM verilerini kullanır.

Bu makalenin 1. adımındaki önerilerle Azure kaynaklarınızı daha iyi koruduktan sonra, Microsoft Sentinel kullanarak yıkıcı siber saldırıları algılamaya yönelik bir planınız olması gerekir. Başlangıç noktası, Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılamayı kullanmaktır. Bu, veri yok etme, hizmet reddi, kötü amaçlı yönetim etkinliği ve daha fazlası gibi belirli senaryolar için algılamalar oluşturmanıza olanak tanır.

İş yüklerinizi yanıt için hazırlamanın bir parçası olarak şunları yapmanız gerekir:

• Bir kaynağın saldırı altında olup olmadığını nasıl belirleyeceğini belirleyin.
• Sonuç olarak bir olayı nasıl yakalayabileceğinizi ve oluşturabileceğinizi belirleyin.

3. Adım: Olay yanıtı planlarınızı hazırlama

Olaylar oluşmadan önce yıkıcı siber saldırılar için iyi tanımlanmış ve uygulamaya hazır olay yanıtı planlarına sahip olmanız gerekir. Bir olay sırasında devam eden saldırıları önlemeyi veya zarar görmüş verileri ve hizmetleri geri yüklemeyi belirlemek için zamannız olmayacaktır.

Azure uygulamalarının ve paylaşılan hizmetlerin tümü sanal makineleri, veri hizmetlerini, yapılandırma hizmetlerini ve otomasyon/DevOps hizmetlerini geri yüklemeye yönelik playbook'ları içeren yanıt ve kurtarma planlarına sahip olmalıdır. Her uygulama veya hizmet alanının tanımları ve iyi tanımlanmış bağımlılıkları olmalıdır.

Playbook'larınız:

• Aşağıdaki senaryolar için süreçlerinizi ekleyin:

  • Azure VM'lerinin ikincil bölgeye yük devretmesi
  • Azure portalda Azure VM verilerini geri yükleme
  • Azure’da dosyaları sanal makineye geri yükleme
  • Azure Backup'ta gelişmiş geçici silmeyi kullanarak geçici olarak silinen verileri ve kurtarma noktalarını kurtarma
  • Olağanüstü durumdan sonra Kubernetes kümelerinin durumunu geri yükleme
  • Silinmiş bir depolama hesabını kurtarma
  • Geçici olarak silinen anahtar kasalarını kurtarma
  • Geçici olarak silinen gizli dizileri, anahtarları ve sertifikaları bir anahtar kasasından kurtarma
  • Azure SQL Veritabanı için olağanüstü durum kurtarma kılavuzu

• Bu hizmeti oluşturan diğer tüm kaynaklar için geri yükleme işlemini ekleyin.

• SecOps bakım işlemlerinizin bir parçası olarak düzenli aralıklarla test edin.

Önerilen eğitim

• Privileged Identity Management Uygulama
• Yedekleme ve olağanüstü durum kurtarma için bir çözüm tasarlama
• Bulut için Microsoft Defender ile bulut güvenliği duruşunuzu geliştirme
• Microsoft Sentinel kullanarak algılamalar oluşturma ve araştırma gerçekleştirme

Sonraki adımlar

Güvenlik ihlali önleme ve kurtarma altyapınızı uygulamaya devam edin.

Başvurular

Bu makalede bahsedilen çeşitli hizmetler ve teknolojiler hakkında bilgi edinmek için bu bağlantılara bakın.

• Kaynak Kilitleri
• Microsoft Entra Privileged Identity Management
• Azure yedeklemesi için geçici silme
• Çok kullanıcılı yetkilendirme (MUA)
• Bicep
• Bulut için Microsoft Defender
• Microsoft Sentinel