Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure, bulut dağıtımlarınızın tüm katmanları arasında kapsamlı güvenlik hizmetleri ve teknolojileri sağlar. Bu makalede, daha fazla bilgi için ayrıntılı genel bakış makalelerinin bağlantıları ile birlikte etki alanına göre düzenlenmiş ana güvenlik özellikleri tanıtılır.
Belirli en iyi güvenlik uygulamaları ve ayrıntılı uygulama kılavuzu için, bu belgenin tamamında bağlantılı etki alanına özgü genel bakış makalelerine bakın.
Kimlik ve erişim yönetimi
| Hizmet | Açıklama |
|---|---|
| Microsoft Entra ID | Çoklu oturum açma (SSO), çok faktörlü kimlik doğrulaması (MFA), Koşullu Erişim ve parolasız kimlik doğrulamasını destekleyen bulut tabanlı kimlik ve erişim yönetimi hizmeti. |
| Azure rol tabanlı erişim denetimi (RBAC) | Ayrıntılı ve hassas erişim yönetimi, yerleşik ve özel rollere sahip olarak, yönetim grubu, abonelik, kaynak grubu veya kaynak kapsamı düzeyinde atanabilir. |
| Microsoft Entra Privileged Identity Management | Onay iş akışları, erişim gözden geçirmeleri ve denetim geçmişi ile Azure ve Microsoft Entra rollerine tam zamanında ayrıcalıklı erişim. |
| Microsoft Entra erişim incelemeleri | Grup üyelikleri, uygulama erişimi ve rol atamalarının otomatik öneri ve düzeltmelerle zamanlanmış gözden geçirmeleri. |
| Microsoft Entra uygulama ara sunucusu | Microsoft Entra kimlik doğrulaması ve Koşullu Erişim kullanarak VPN olmadan şirket içi web uygulamalarına uzaktan erişimin güvenliğini sağlayın. |
| Microsoft Entra Connect / Cloud Sync | Birleştirilmiş kimlik yönetimi için şirket içi Active Directory ile Microsoft Entra Id arasında karma kimlik eşitlemesi. |
Ayrıntılı kimlik güvenliği özellikleri ve en iyi yöntemler için bkz. Azure kimlik yönetimi güvenliğine genel bakış.
Ağ güvenliği
| Hizmet | Açıklama |
|---|---|
| Azure Sanal Ağ | Alt ağlar, yönlendirme tabloları ve DNS ayarlarıyla yalıtılmış özel ağ. Tüm Azure ağ güvenliğinin temeli. |
| Ağ Güvenlik Grupları (NSG'ler) | Ayrıntılı erişim denetimi için 5-tuple kuralları, hizmet etiketleri ve uygulama güvenlik grupları ile durum bilgili paket filtreleme. |
| Azure Güvenlik Duvarı | Yerleşik yüksek erişilebilirliğe sahip bulut tabanlı durum koruyan güvenlik duvarı. Standart SKU L3-L7 filtreleme sunar; Premium SKU, IDPS ve TLS incelemesi ekler. |
| Web Uygulaması Güvenlik Duvarı (WAF) | OWASP İlk 10 güvenlik açığı, SQL ekleme, siteler arası betik ve bot saldırılarına karşı merkezi koruma. |
| Azure DDoS Koruması | Hacimsel ve protokol saldırılarına karşı uyarlamalı ayarlama, gerçek zamanlı risk azaltma ve saldırı analizi ile sürekli trafik izleme. |
| Azure Özel Bağlantı | Sanal ağınızdaki özel bir uç nokta üzerinden Azure PaaS hizmetlerine özel bağlantı, genel İnternet'in kullanıma açık olmasını ortadan kaldırır. |
| Sanal Ağ hizmet uç noktaları | Azure omurga ağı üzerinden Azure hizmetlerine doğrudan bağlantı sağlayarak yalnızca sanal ağlarınıza erişimi kısıtlayın. |
| Azure VPN Ağ Geçidi | Siteden siteye ve noktadan siteye bağlantılar için IPsec/IKE VPN tünelleri kullanılarak şifrelenmiş şirket içi bağlantılar. |
| Azure ExpressRoute | Gelişmiş güvenlik ve güvenilirlik için genel İnternet'i atlayarak Microsoft bulut hizmetlerine ayrılmış özel WAN bağlantısı. |
| Azure Uygulama Ağ Geçidi | TLS sonlandırma, çerez tabanlı oturum bağlılığı, URL tabanlı yönlendirme ve tümleşik WAF ile bir katman 7 yük dengeleyici. |
| Azure Front Door | Uç hızlandırma, tümleşik WAF, platform düzeyinde DDoS koruması ve Özel Bağlantı arka uç kaynaklarıyla genel HTTP yük dengeleyici. |
| Azure Ağ İzleyicisi | NSG akış günlükleri, paket yakalama ve bağlantı sorunlarını giderme gibi ağ izleme, tanılama ve güvenlik analizi. |
Kapsamlı ağ güvenliği yönergeleri ve en iyi yöntemler için bkz. Azure ağ güvenliğine genel bakış.
Veri şifreleme
| Hizmet | Açıklama |
|---|---|
| Azure Depolama Hizmeti Şifreleme |
Azure Blob depolama, Azure Dosyalar, Kuyruk depolama ve Tablo depolama alanındaki bekleyen tüm veriler için otomatik AES 256 şifrelemesi. |
| Azure SQL Veritabanı Saydam Veri Şifrelemesi (TDE) | Bekleyen durumdaki veritabanlarının, yedeklemelerin ve işlem günlüklerinin gerçek zamanlı olarak şifrelenmesi. Müşteri tarafından yönetilen anahtar desteğiyle varsayılan olarak etkindir. |
| Her Zaman Şifreli | Azure SQL Veritabanı için istemci tarafı şifrelemesi, veritabanı yöneticilerinden bile verilerin yaşam döngüsü boyunca şifrelenmiş kalmasını sağlar. |
| Azure Disk Şifrelemesi | Platform tarafından yönetilen anahtarları, müşteri tarafından yönetilen anahtarları veya her ikisiyle de çift şifrelemeyi kullanarak işletim sistemi ve veri diskleri için şifreleme. |
| Azure Cosmos DB şifrelemesi | Hizmet tarafından yönetilen anahtarları kullanarak durağan verilerin otomatik şifrelenmesi, isteğe bağlı müşteri tarafından yönetilen anahtar (CMK) desteğiyle. |
| Azure Data Lake şifrelemesi | Bekleyen saydam şifreleme, Microsoft tarafından yönetilen veya müşteri tarafından yönetilen anahtarlar için seçeneklerle varsayılan olarak etkindir. |
| Aktarım sırasında TLS şifrelemesi | Mükemmel İletme Gizliliği (PFS) ile tüm Azure hizmet iletişimleri için Aktarım Katmanı Güvenliği (TLS 1.2+). |
| MACsec veri bağlantısı şifrelemesi | Veri merkezleri arasındaki tüm Azure trafiği için IEEE 802.1AE kullanarak noktadan noktaya şifreleme. |
Ayrıntılı şifreleme seçenekleri ve en iyi yöntemler için bkz. Azure şifrelemeye genel bakış.
Anahtar ve şifre yönetimi
| Hizmet | Açıklama |
|---|---|
| Azure Key Vault | FIPS 140-2 Düzey 1 (Standart katman) veya FIPS 140-3 Düzey 3 (HSM ile Premium katman) doğrulaması ile anahtarlar, gizli diziler ve sertifikalar için güvenli depolama. |
| Azure Key Vault Yönetilen HSM | Tek kiracılı, FIPS 140-3 Düzey 3 doğrulanmış HSM hizmeti, gizli anahtar desteğiyle tam müşteri denetimi sunar. Azure PaaS hizmetleriyle tümleştirilir. |
| Azure Cloud HSM | PkCS#11, SSL/TLS boşaltma ve şirket içi geçiş senaryolarını destekleyen tam olarak yönetilen, tek kiracılı FIPS 140-3 Düzey 3 doğrulanmış HSM kümesi. Yalnızca IaaS. |
| Azure Ödeme HSM | Tek kiracılı, FIPS 140-2 Düzey 3 doğrulanmış, ödeme işleme işlemleri için PCI HSM v3 uyumlu HSM. |
Kapsamlı anahtar yönetimi seçenekleri için bkz. Azure'da anahtar yönetimi.
Tehdit algılama ve yanıt
| Hizmet | Açıklama |
|---|---|
| Bulut için Microsoft Defender | Azure, AWS, GCP ve hibrit ortamlarda duruş yönetimi (CSPM), iş yükü koruması (CWP) ve gelişmiş tehdit algılama ile birleşik bulut güvenliği. Microsoft Defender portalıyla tümleşik. |
| Microsoft Sentinel | Makine öğrenmesi, kullanıcı ve varlık davranışı analizi (UEBA), tehdit bilgileri tümleştirmesi ve otomatik playbook'larla bulutta yerel SIEM ve SOAR çözümü. |
| Microsoft Entra Kimlik Koruması | Makine öğrenmesini kullanarak anormal oturum açma davranışlarını ve güvenliği aşılmış hesapları algılayan risk tabanlı kimlik koruması. |
| Cloud Uygulamaları için Microsoft Defender | Bulut Erişim Güvenlik Aracısı (CASB), gölge BT bulma dahil olmak üzere bulut uygulamaları için görünürlük, veri denetimi ve tehdit koruması sağlar. |
| Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma | Azure Cloud Services ve Sanal Makineler için gerçek zamanlı koruma, zamanlanmış tarama ve otomatik kötü amaçlı yazılım düzeltme. |
Tehdit algılama özellikleri ve en iyi yöntemler hakkında kapsamlı bilgi için bkz. Azure tehdit koruması.
Platform bütünlüğü
| Hizmet | Açıklama |
|---|---|
| Üretici yazılımı güvenliği | Üretimden dağıtıma kadar, Azure donanımlarının güvenli tedarik zinciri ve üretim yazılımı bütünlüğü doğrulaması. |
| UEFI Güvenli Önyükleme | Yalnızca imzalı işletim sistemlerinin ve sürücülerin önyüklenmesini sağlayarak üretici yazılımı düzeyinde kötü amaçlı yazılımlara karşı koruma sağlar. |
| Platform kodu bütünlüğü | Azure altyapısında yürütülmeden önce tüm kodu doğrulayan kod bütünlüğü ilkeleri. |
| Ölçülen önyükleme ve ana bilgisayar onaylama | Önyükleme dizisinin kriptografik doğrulaması, ana bilgisayarların güvenli ve güvenilir bir durumda olduğundan emin olmak için yapılır. |
| Proje Cerberus | Platform kimliği ve bütünlük doğrulaması sağlayan güvenin donanım kökü. |
| Hipervizör güvenliği | Sağlamlaştırılmış hipervizör, sanal makineler ve konak ortamı arasında güçlü yalıtıma sahiptir. |
Ayrıntılı platform güvenlik mimarisi için bkz. Azure platform bütünlüğüne ve güvenliğine genel bakış.
Sanal makine güvenliği
| Hizmet | Açıklama |
|---|---|
| Güvenilir başlatma | Güvenli Önyükleme, vTPM ve Önyükleme Bütünlüğünü İzleme ile 2. Nesil VM'ler için varsayılan ayar, önyükleme setlerine, rootkit'lere ve çekirdek düzeyinde kötü amaçlı yazılımlara karşı koruma sağlar. |
| Azure gizli bilgi işlem | Amd SEV-SNP veya kullanımdayken veri koruması için Intel TDX kullanan donanım tabanlı güvenilen yürütme ortamları (TEE). |
| Gizli VM’ler | Hiper yöneticiden ve ana bilgisayar yönetim kodundan donanım tabanlı yalıtım ile tam VM bellek şifrelemesi. |
| Sunucular için Microsoft Defender | Uç nokta tümleştirmesi için Microsoft Defender ile tehdit algılama, güvenlik açığı değerlendirmesi, tam zamanında VM erişimi ve dosya bütünlüğü izleme. |
| Tam zamanında (JIT) VM erişimi | Gelen trafiği kilitleyerek ve isteğe bağlı yönetim bağlantı noktalarına zaman sınırlı erişim sağlayarak saldırı yüzeyini azaltır. |
| Uyarlamalı uygulama denetimleri | Vm'lerinizde hangi uygulamaların çalışabileceğini denetlemek için makine öğrenmesi tabanlı uygulama izin listesi. |
| Azure Backup | Bağımsız, yalıtılmış yedeklemeler, fidye yazılımı koruması, yumuşak silme ve Kurtarma Hizmetleri kasası yönetimi ile. |
| Azure Site Recovery | Azure'a veya ikincil siteye çoğaltma, yük devretme ve kurtarma için olağanüstü durum kurtarma düzenlemesi. |
Kapsamlı VM güvenlik özellikleri ve yönergeleri için bkz. Azure Sanal Makineler güvenliğine genel bakış.
Kapsayıcı güvenliği
| Hizmet | Açıklama |
|---|---|
| Kapsayıcılar için Microsoft Defender | AKS, EKS, GKE ve şirket içi kümelerde çalışma zamanı koruması, güvenlik açığı değerlendirmesi ve Kubernetes tehdit algılama. |
| Azure Container Registry | Güvenlik açığı taraması, içerik güveni (görüntü imzası), coğrafi çoğaltma ve özel uç noktalar içeren yönetilen kapsayıcı kaydı. |
| Azure Kubernetes Service (AKS) güvenliği | Microsoft Entra tümleştirmesi, Azure RBAC, ağ ilkeleri, pod güvenliği ve gizli dizi yönetimi ile Yönetilen Kubernetes. |
| ACI'de gizli kapsayıcılar | doğrulanabilir yürütme ilkeleri ve uzaktan doğrulama ile AMD SEV-SNP kullanan donanım tabanlı TEE koruması. |
| Kubernetes kontrollü dağıtım | Denetim veya reddetme modunda güvenlik kurallarını ihlal eden kapsayıcı görüntülerinin dağıtımını engelleyen erişim denetimi. |
| Kapsayıcı görüntüsü tarama | KAYıT defterlerindeki kapsayıcı görüntüleri ve AKS kümelerindeki çalışma zamanı kapsayıcıları için aracısız güvenlik açığı değerlendirmesi. |
Kapsamlı kapsayıcı güvenliği kılavuzu için bkz. Bulut için Microsoft Defender'da kapsayıcı güvenliği.
Veritabanı güvenliği
| Hizmet | Açıklama |
|---|---|
| Azure SQL Veritabanı güvenliği | Ağ yalıtımı, Microsoft Entra kimlik doğrulaması, TDE şifrelemesi, Always Encrypted ve denetim ile kapsamlı güvenlik. |
| SQL için Microsoft Defender | SQL enjeksiyonu, kaba kuvvet saldırıları, anormal aktiviteler ve güvenlik açığı istismarlarını algılayan gelişmiş tehdit koruması. |
| SQL Güvenlik Açığı Değerlendirmesi | İşlem yapılabilir güvenlik önerileriyle veritabanı güvenlik açıklarını bulur, izler ve düzeltmeye yardımcı olur. |
| Satır Düzeyi Güvenlik (RLS) | Ayrıntılı veri erişimi denetimi için kullanıcı kimliği, rolü veya yürütme bağlamı temelinde satır erişimini kısıtlar. |
| Dinamik Veri Maskeleme | Temel alınan verileri değiştirmeden hassas verileri ayrıcalıklı olmayan kullanıcılara maskeleyerek risk riskini azaltır. |
| Azure SQL Veritabanı Kayıt Defteri | Kurcalanmaya karşı koruma özellikleri ve değiştirilemez işlem kayıtlarıyla veri bütünlüğü doğrulaması ve uyumluluk. |
| Azure Cosmos DB güvenliği | Hareketsiz ve taşınırken veri şifreleme, NoSQL ve çok modelli iş yükleri için ağ izolasyonu, Rol Tabanlı Erişim Kontrolü (RBAC) ve denetim kaydı. |
Kapsamlı bir veritabanı güvenlik denetim listesi için bkz. Azure veritabanı güvenlik denetim listesi.
DevOps güvenliği
| Hizmet | Açıklama |
|---|---|
| DevOps için Microsoft Defender | Kod tarama, kod olarak altyapı (IaC) taraması ve gizli bilgiler algılama ile Azure DevOps ve GitHub ile bağlanan entegre DevOps güvenliği. |
| GitHub Gelişmiş Güvenlik tümleştirmesi | Çalışma zamanı bağlamıyla önceliklendirme ve yapay zeka destekli Copilot Autofix çözümü ile koddan buluta güvenlik açıklarının izlenmesi. |
| İşlem hattı içi kapsayıcı taraması | Kayıt deposuna göndermeden önce anlık geri bildirimle CI/CD iş akışları sırasında CLI tabanlı kapsayıcı güvenlik açığı taraması. |
| Bağımlılık güvenlik açığı taraması | GitHub ve Azure DevOps depolarındaki işletim sistemi ve kitaplık güvenlik açıklarının Trivy destekli tespiti. |
DevOps güvenlik en iyi uygulamaları için bkz. Bulut için Defender'da DevOps güvenliği.
İzleme ve idare
| Hizmet | Açıklama |
|---|---|
| Azure İzleyici | Ölçümler, günlükler, Log Analytics çalışma alanları, Application Insights, uyarılar ve çalışma kitapları ile kapsamlı izleme. |
| Azure İlkesi | İlke tanımları, girişimler, uyumluluk raporlama ve otomatik düzeltme ile kuruluş standartlarını zorunlu kılma idare hizmeti. |
| Microsoft Defender Bulut için mevzuat uyumluluğu | Microsoft bulut güvenliği karşılaştırması, ISO 27001, NIST, PCI DSS ve diğer standartlarla uyumlu yerleşik ve özel uyumluluk değerlendirmeleri. |
| Azure Etkinlik Günlüğü | 90 günlük saklama ile yönetim işlemlerini, hizmet durumu olaylarını ve kaynak değişikliklerini kaydeden abonelik düzeyinde denetim günlüğü. |
| Azure Güncelleştirme Yöneticisi | Azure, şirket içi ve çoklu bulut genelinde Windows ve Linux VM'leri için zamanlanmış ve sıcak düzeltme ile birleşik düzeltme eki yönetimi. |
| Azure Kaynak Grafı | Belirli yapılandırmalara veya uygun ölçekte güvenlik duruşlarına sahip kaynakları belirlemek için hızlı abonelikler arası sorgulama. |
| Microsoft Maliyet Yönetimi | Güvenlik olaylarını gösterebilecek yetkisiz kaynak dağıtımlarını tanımlamak için maliyet izleme, bütçeler ve anomali algılama. |
Ayrıntılı güvenlik yönetimi özellikleri ve en iyi yöntemler için bkz. Azure güvenlik yönetimine ve izlemeye genel bakış.
Yedekleme ve olağanüstü durum kurtarma
| Hizmet | Açıklama |
|---|---|
| Azure Backup | Sıfır sermaye yatırımı, fidye yazılımı koruması, geçici silme ve bölgeler arası geri yükleme ile bağımsız, yalıtılmış yedeklemeler. |
| Azure Site Recovery | Azure'a veya ikincil siteye çoğaltma, yük devretme ve kurtarma için iş sürekliliği ve olağanüstü durum kurtarma (BCDR) düzenleme ve yönetimi. |
Kapsamlı yedekleme yönergeleri için Bkz. Azure Backup belgeleri.
PaaS dağıtım güvenliği
App Service, Azure İşlevleri ve kapsayıcı hizmetleri de dahil olmak üzere hizmet olarak platform dağıtımlarının güvenliğini sağlama yönergeleri için bkz. PaaS dağıtımlarının güvenliğini sağlama.
Sonraki adımlar
- Azure'da uçtan uca güvenlik - Azure'ın güvenlik mimarisine ve özelliklerine kapsamlı genel bakış
- Azure güvenlikle ilgili en iyi yöntemler ve desenler - Çeşitli senaryolar için en iyi güvenlik uygulamalarının toplanması
- Microsoft bulut güvenliği karşılaştırması - Azure hizmetleri için kapsamlı güvenlik kılavuzu
- Bulutta paylaşılan sorumluluk - Sizinle Microsoft arasında paylaşılan güvenlik sorumluluklarını anlama