Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sıfır Güven, ihlali varsayan ve her isteği kontrolsüz bir ağdan geliyormuş gibi doğrulayan bir güvenlik stratejisidir. Bu makalede Sıfır Güven ilkeleri ve Bunların Microsoft Azure'a nasıl uygulandığı anlatlanmaktadır.
Tavsiye
Kapsamlı Sıfır Güven kılavuzu için şunları içeren Sıfır Güven belgelerine bakın:
- Sıfır Güven nedir? - Temel kavramlar ve ilkeler
- Azure hizmetleri için Sıfır Güven - Azure IaaS, ağ ve iş yükleri için ayrıntılı uygulama kılavuzu
- Sıfır Güven dağıtım kılavuzu - Teknoloji sütununa özgü dağıtım hedefleri
- Sıfır Güven benimseme çerçevesi - İş sonucu odaklı uygulama
Bu makale, Sıfır Güven kavramlarına Azure odaklı bir giriş sağlar.
Azure için Sıfır Güven ilkeleri
Günümüzde kuruluşlar modern ortamın karmaşıklık düzeyine etkili bir şekilde uyum sağlayan, mobil iş gücünü benimseyen ve bulundukları her yerde insanları, cihazları, uygulamaları ve verileri koruyan bir güvenlik modeline ihtiyaç duymaktadır.
Sıfır Güven güvenlik modeli üç yol gösteren ilkeyi temel alır:
- Açıkça doğrula - Kullanıcı kimliği, konum, cihaz durumu ve hizmet veya iş yükü dahil olmak üzere tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması yapın ve yetkilendirin.
- En az ayrıcalık erişimi kullan - Just-In-Time ve Just-Enough-Access (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
- İhlal olduğunu varsayın - Patlama yarıçapını ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.
Azure iş yüklerine ilkeleri uygulama
Azure'da Sıfır Güven uygulanırken, bu ilkeler belirli mimari desenlere dönüşür:
Açıkça doğrulama , Kullanıcı, cihaz, konum ve iş yükü bağlamı gibi birden çok sinyale göre riski değerlendiren Koşullu Erişim ilkeleriyle, Azure kaynaklarına yönelik her erişim isteğinin kimliğinin doğrulanması ve Microsoft Entra Id kullanılarak yetkilendirilmiş olması gerektiği anlamına gelir.
En az ayrıcalık kullanımı için en az izinlere sahip rol tabanlı erişim denetimi (RBAC), yönetim işlemleri için Just-In-Time (JIT) erişimi ve kimlik bilgilerini depolamak yerine yönetilen kimlikler kullanılması gerekir.
İhlal varsayımı, yanal hareketi sınırlamak için ağ segmentasyonunu, bekleyen ve aktarımdaki veriler için şifrelemeyi, sürekli izleme ve tehdit algılamayı ve yıkıcı saldırılara karşı korunmak için değiştirilemez yedeklemeleri teşvik eder.
Azure'da Sıfır Güven mimarisi
Sıfır Güven yaklaşımı, tüm dijital emlak genelinde genişler ve tümleşik bir güvenlik felsefesi ve uçtan uca bir strateji işlevi görür. Azure'a uygulandığında altyapı, ağ, kimlik ve veri korumayı sistematik olarak ele alan çok disiplinli bir yaklaşım gerektirir.
Bu çizim, Sıfır Güven katkıda bulunan birincil öğelerin bir gösterimini sağlar.
Çizimde:
- Güvenlik politikası uygulaması, Sıfır Güven mimarisinin merkezinde yer alır. Bu, kullanıcı hesabı riskini, cihaz durumunu ve ayarladığınız diğer ölçütleri ve ilkeleri dikkate alan Koşullu Erişim ile çok faktörlü kimlik doğrulamasını içerir.
- Kimlikler, cihazlar (uç nokta olarak da adlandırılır), veriler, uygulamalar, ağ ve diğer altyapı bileşenlerinin tümü uygun güvenlikle yapılandırılır. Bu bileşenlerin her biri için yapılandırılan ilkeler, genel Sıfır Güven stratejinizle koordine edilir.
- Tehdit koruması ve zeka ortamı izler, mevcut riskleri ortaya çıkarır ve saldırıları düzeltmek için otomatik eylem gerçekleştirir.
Çevre tabanlıdan Sıfır Güven'e
BT için geleneksel erişim denetimi yaklaşımı, kurumsal ağ çevresine erişimi kısıtlamayı temel almıştır. Bu model tüm kaynakları şirkete ait bir ağ bağlantısıyla kısıtlar ve dinamik bir kuruluşun gereksinimlerini karşılamak için çok kısıtlayıcı hale gelmiştir.
Azure ortamlarında, bulut kaynakları geleneksel ağ çevrelerinin dışında bulunduğundan Sıfır Güven'e geçiş özellikle önemlidir. Kuruluşlar, uzaktan çalışmayı benimsedikleri ve iş modellerini dönüştürmek için bulut teknolojisini kullandıkları için erişim denetimine sıfır güven yaklaşımını benimsemelidir.
Sıfır Güven ilkeleri, modern bulut ortamlarında gereken esnekliği korurken güvenlik güvencelerinin oluşturulmasına ve sürekli geliştirilmesine yardımcı olur. Sıfır Güven yolculuklarının çoğu erişim denetimiyle başlar ve tercih edilen ve birincil denetim olarak kimliğe odaklanır. Ağ güvenliği teknolojisi önemli bir öğe olmaya devam eder, ancak tam erişim denetimi stratejisinde baskın bir yaklaşım değildir.
Azure'da erişim denetiminin Sıfır Güven dönüşümü hakkında daha fazla bilgi için bkz. Bulut Benimseme Çerçevesi'nin erişim denetimi.
Azure altyapısı için Sıfır Güven Uygulaması
Azure'a Sıfır Güven uygulamak için temel öğelerden tam iş yüklerine kadar altyapınızın farklı katmanlarını ele alacak yöntemsel bir yaklaşım gerekir.
Azure IaaS ve altyapı bileşenleri
Azure IaaS için Sıfır Güven tam altyapı yığınını ele alır: şifreleme ve erişim denetimleri olan depolama hizmetleri, güvenilir başlatma ve disk şifrelemesi ile sanal makineler, mikro ayrıştırma ile uç ağlar, merkezi güvenlik hizmetleri içeren merkez ağları ve özel uç noktalar aracılığıyla PaaS tümleştirmesi. Ayrıntılı yönergeler için bkz. Azure IaaS'ye Sıfır Güven ilkelerini uygulama genel bakış.
Azure ağ yapısı
Ağ güvenliği dört temel alana odaklanır: tüm ağ trafiğinin şifrelenmesi, ağ güvenlik gruplarını ve Azure Güvenlik Duvarı'nı kullanarak segmentlere ayırma, trafik izleme yoluyla görünürlük ve kimlik odaklı yaklaşımlar doğrultusunda eski VPN tabanlı denetimleri sonlandırma. Ayrıntılı yönergeler için bkz. Azure ağına Sıfır Güven ilkelerini uygulama.
Denetim düzlemi olarak kimlik
Kimlik, Azure'da Sıfır Güven için birincil denetim düzlemidir. Koşullu Erişim, erişim vermek, sınırlamak veya engellemek için birden çok sinyale göre erişim isteklerini değerlendiren ana ilke altyapısı görevi görür. Daha fazla bilgi için bkz. Sıfır Güven için Koşullu Erişim ve Azure kimlik yönetimi güvenliğine genel bakış.
Verileri koruma ve kullanılabilirliği sağlama
Azure'da veri koruması için birden çok katman gerekir: bekleyen ve aktarılan şifreleme, yönetilen kimlikleri ve RBAC'yi kullanan kimlik tabanlı erişim denetimleri ve son derece hassas iş yükleri için, işleme sırasında verileri korumak için gizli bilgi işlem. Yıkıcı saldırılara karşı dayanıklılık için kaynak kilitleri, sabit yedeklemeler, coğrafi çoğaltma ve kurtarma altyapısının kendisini koruma gerekir. Ayrıntılı rehberlik için bkz. Azure kaynaklarınızı yıkıcı siber saldırılara karşı koruma.
Tehdit algılama ve yanıt
Sıfır Güven, tehditlerin zaten mevcut olabileceği varsayımıyla sürekli izleme gerektirir. Bulut için Microsoft Defender, Azure kaynakları için birleşik güvenlik yönetimi ve tehdit koruması sağlarken, Microsoft Defender XDR ile tümleştirme tüm ortamınızda bağıntılı algılama sağlar. Ayrıntılı bilgi için bkz. Azure tehdit algılamaya genel bakış ve Microsoft Sentinel ve Microsoft Defender XDR.
Paylaşılan sorumluluk ve Azure güvenliği
Azure'da güvenlik, Microsoft ile müşteriler arasında paylaşılan bir sorumluluktır. Microsoft fiziksel altyapının ve Azure platformunun güvenliğini sağlarken müşteriler kimlik, veri ve uygulama güvenliğinden sorumludur ve bölüm hizmet modeline (IaaS, PaaS, SaaS) göre değişir. Sıfır Güven uygulamak için platform düzeyindeki denetimlerin müşteri yapılandırma seçenekleriyle eşgüdümlü olarak gerçekleştirilmesi gerekir. Daha fazla bilgi için bkz . Bulutta paylaşılan sorumluluk.
Azure güvenlik özellikleri
Bu makale Sıfır Güven'in Azure'a kavramsal uygulamasına odaklansa da, kullanılabilir güvenlik özelliklerinin kapsamı hakkında bilgi sahibi olmak önemlidir. Azure, altyapınızın tüm katmanları genelinde kapsamlı güvenlik hizmetleri sağlar.
İşlevsel alana göre düzenlenmiş Azure'ın güvenlik özelliklerine genel bakış için bkz. Azure güvenliğine giriş. Koruma, algılama ve yanıt özelliklerine göre düzenlenmiş Azure güvenliği görünümü için bkz. Azure'da uçtan uca güvenlik.
Belirli etki alanları için ek ayrıntılı yönergeler sağlanır:
- Kimlik ve erişim - Azure kimlik yönetimi güvenliğine genel bakış
- Ağ güvenliği - Azure ağ güvenliğine genel bakış
- Veri koruma - Azure şifrelemeye genel bakış ve Azure Key Vault güvenliği
- İşlem güvenliği - Azure Sanal Makineler güvenliğine genel bakış
- Platform güvenliği - Azure platform güvenliğine genel bakış
- Tehdit algılama - Azure tehdit algılamaya genel bakış
- Yönetim ve izleme - Azure güvenlik yönetimine ve izlemeye genel bakış
Uygulama geliştirme ve Sıfır Güven
Azure'da dağıtılan uygulamaların ağ konumundan gelen örtük güvene güvenmek yerine her isteğin kimliğini doğrulaması ve yetkilendirmesi gerekir. Temel ilkeler arasında kimlik doğrulaması için Microsoft Entra Id kullanılması, en düşük izinlerin istenilmesi, hassas verilerin korunması ve depolanan kimlik bilgileri yerine yönetilen kimliklerin kullanılması yer alır. Kapsamlı yönergeler için bkz. Sıfır Güven ilkelerini kullanarak geliştirme ve Microsoft kimlik platformlarını kullanarak Sıfır Güvene hazır uygulamalar derleme.
Sonraki Adımlar
Azure ortamınızda Sıfır Güven uygulamak için şu kaynaklarla başlayın:
- Azure hizmetlerine Sıfır Güven ilkeleri uygulama genel bakış - Farklı Azure hizmet türlerine Sıfır Güven'in nasıl uygulanacağını gösteren kapsamlı bir görünüm için buradan başlayın
- Azure IaaS'ye Sıfır Güven ilkeleri uygulama genel bakış - Altyapı iş yükleri için ayrıntılı kılavuz
- Azure ağına Sıfır Güven ilkeleri uygulama - Ağ güvenliği uygulama kılavuzu
- Azure kaynaklarınızı yıkıcı siber saldırılara karşı koruma - Dayanıklılık ve kurtarma planlaması
- Sıfır Güven nedir? - Microsoft ürünleri genelinde kapsamlı Sıfır Güven kılavuzu
Daha geniş microsoft sıfır güven kaynakları için:
- Sıfır Güven dağıtım kılavuzu - Teknoloji alanına özgü dağıtım hedefleri
- Sıfır Güven benimseme çerçevesi - İş sonucu odaklı uygulama kılavuzu
- Microsoft 365 için Sıfır Güven - SaaS ve üretkenlik iş yükü kılavuzu