Kaynakları sağlamlaştırma önerileri
Bu Azure Well-Architected Framework Güvenlik denetim listesi önerisi için geçerlidir:
| SE:08 | Saldırgan maliyetini artırmak için gereksiz yüzey alanını azaltarak ve yapılandırmaları sıkılaştırarak tüm iş yükü bileşenlerini sağlamlaştırabilirsiniz. |
|---|
Bu kılavuzda, bir iş yükü içinde yerelleştirilmiş denetimler geliştirerek ve yinelenen saldırılara dayanacak şekilde korunarak kaynakları sağlamlaştırma önerileri açıklanmaktadır.
Güvenlik sağlamlaştırma, kasıtlı olarak yapılan bir kendini koruma alıştırmasıdır. Amaç, saldırı yüzeyini azaltmak ve saldırganların diğer alanlardaki maliyetlerini artırmak ve bu da kötü amaçlı aktörlerin güvenlik açıklarından yararlanma fırsatlarını sınırlamaktır. İş yükünüzü korumak için en iyi güvenlik yöntemlerini ve yapılandırmalarını uygulayın.
Güvenlik sağlamlaştırma, sürekli izleme ve gelişen tehditlere ve güvenlik açıklarına uyarlama gerektiren devam eden bir süreçtir.
Tanımlar
| Süre | Tanım |
|---|---|
| Sağlamlaştırma | Gereksiz kaynakları kaldırarak veya yapılandırmaları ayarlayarak saldırı yüzeyi alanını azaltma uygulaması. |
| Ayrıcalıklı erişim iş istasyonu (PAW) | Hassas görevleri gerçekleştirmek için kullandığınız ayrılmış ve güvenli bir makinedir ve bu da risk riskini azaltır. |
| Güvenli yönetim iş istasyonu (SAW) | Kritik etki hesapları tarafından kullanılan özelleştirilmiş bir PAW. |
| Yüzey alanı | Güvenlik açıkları içeren bir iş yükünün mantıksal ayak izi. |
Temel tasarım stratejileri
Güvenlik sağlamlaştırma, ister kaynaklar ister işlemler olsun , bileşen düzeyindeki denetimleri güçlendiren yüksek oranda yerelleştirilmiş bir alıştırmadır. Her bileşenin güvenliğini artırdığınızda, iş yükünüzün toplam güvenlik güvencesini artırır.
Güvenlik sağlamlaştırma, iş yükünün işlevselliğini dikkate almaz ve tehditleri algılamaz veya otomatik tarama gerçekleştirmez. Güvenlik sağlamlaştırma, varsayım ihlali ve derinlemesine savunma zihniyeti ile yapılandırma ayarlamaya odaklanır. Amaç, bir saldırganın sistemin denetimini ele geçirdirmesini zorlaştırmaktır. Sağlamlaştırma, bir iş yükünün veya işlemlerinin amaçlanan yardımcı programını değiştirmemelidir.
Sağlamlaştırma sürecinin ilk adımı tüm donanım, yazılım ve veri varlıklarının kapsamlı bir envanterini toplamaktır. Yeni varlıklar ekleyerek ve kullanımdan kaldırılan varlıkları kaldırarak envanter kayıtlarınızı güncel tutun. Envanterinizdeki tüm varlıklar için aşağıdaki en iyi yöntemleri göz önünde bulundurun:
Ayak izini azalt. Gereksiz yüzey alanını kaldırın veya kapsamı azaltın. Kolay hedefleri veya eşleşmeyen yazılım açıkları ve deneme yanılma saldırıları gibi ucuz ve iyi kurulmuş saldırı vektörlerini ortadan kaldırın. Üretim dağıtımından önce kimlikleri temizlemeniz, bileşenleri ve diğer sorgulanmayan varlıkları kaynak ağaçtan temizlemeniz gerekir.
Yapılandırmalarda ince ayar yapın. Kalan yüzey alanını değerlendirin ve sıkın. Kaynaklar sağlamlaştırıldığında, saldırganların kullandığı denenmiş ve test edilmiş yöntemler artık başarılı olmaz. Saldırganları gelişmiş veya test edilmemiş saldırı yöntemlerini edinmeye ve kullanmaya zorlayarak maliyetlerini artırır.
Savunmayı koruyun. Sağlamlaştırma çalışmalarının zaman içinde güvenilir olmasını sağlamaya yardımcı olmak için sürekli tehdit algılama gerçekleştirerek koruyucu önlemleri koruyun.
Aşağıdaki faktörleri de göz önünde bulundurun.
Güvenilir kaynak. Sağlamlaştırma alıştırmasının bir parçası yazılım tedarik zincirini içerir. Bu kılavuz, tüm bileşenlerin güvenilen kaynaklardan alındığını varsayar. Kuruluşunuzun üçüncü taraf satıcılardan temin edilen yazılımları onaylaması gerekir. Bu onay, işletim sistemi kaynakları, görüntüler ve diğer üçüncü taraf araçlar için geçerlidir. Güvenilir kaynaklar olmadan sağlamlaştırma, güvenilmeyen kaynaklarda sınırsız güvenlik güvencesi tüketebilir.
Tedarik zincirinizin güvenliği hakkında öneriler için bkz. Geliştirme yaşam döngüsünün güvenliğini sağlamaya yönelik öneriler.
Eğitim. Sertleştirme özel bir beceridir. Yöntemseldir ve yüksek düzeyde yetkinlik gerektirir. Bir bileşenin işlevselliğini ve değişikliklerin bileşeni nasıl etkilediğini anlamanız gerekir. Ekip üyesinin, sektör uzmanlarından gelen yönergeleri ve platformu belirsiz kaynaklardan ayırt edebilmesi gerekir. Güvenlik kullanan bir kültür oluşturma konusunda ekip üyelerinizi eğitin. Ekibinizin en iyi güvenlik uygulamalarında uzman olduğundan, olası tehditler hakkında bilgi sahibi olduğundan ve olay sonrası geçmişe dönük değerlendirmelerden bilgi edindiğinden emin olun.
Belge. Sağlamlaştırma gereksinimlerini, kararları ve tanımlı yöntemleri belgeleyin ve yayımlayın. Saydamlık için özel durumları veya bu gereksinimlerden sapmaları da belgeleyin .
Sağlamlaştırma zahmetli olabilir, ancak belgelemeniz gereken önemli bir güvenlik alıştırmasıdır. Olası boşlukları artırmak için önce temel bileşenleri sağlamlaştırın ve ardından otomatik süreçler ve insan süreçleri gibi diğer alanlara genişletin. Değişiklikler konusunda titiz olun. Örneğin, varsayılan değerlerde yapılan değişiklikler sistemin kararlılığını etkileyebileceğinden, gerekli bir adım varsayılan ayarları devre dışı bırakmaktır. Değiştirme yapılandırması varsayılan yapılandırmayla aynı olsa bile tanımlanmalıdır. Aşağıdaki bölümlerde sağlamlaştırmaya yönelik yaygın hedefler açıklanmaktadır. İş yükünüzün temel tasarım alanlarını değerlendirin ve bileşen düzeyinde sağlamlaştırmak için temel stratejileri izleyin.
Ağ
Kritik varlıkları ve hassas verileri daha az güvenli varlıklardan yalıtmak için ağı segmentlere ayırarak saldırganların yanal hareketlerini azaltır. Bu segmentlerde varsayılan olarak reddetme yaklaşımını uygulayın. İzin verilenler listesine yalnızca iki yana yaslanmışsa erişim ekleyin.
Etkin olarak kullanılmayan bağlantı noktalarını ve protokolleri devre dışı bırakın. Örneğin, Azure App Service, FTP aracılığıyla dağıtmanız gerekmiyorsa, devre dışı bırakabilirsiniz. Veya bir iç ağ üzerinden yönetim işlemleri gerçekleştirirseniz, İnternet'ten yönetim erişimini devre dışı bırakabilirsiniz.
Eski protokolleri kaldırın veya devre dışı bırakın. Saldırganlar, eski sürümleri kullanan sistemlerden yararlanır. Günlükleri gözden geçirmek ve protokol kullanımını belirlemek için bir Azure algılama hizmeti kullanın. Sistemin işlevselliğini bozabileceğinden protokolleri kaldırmak zor olabilir. Operasyonel kesinti riskini azaltmak için uygulamadan önce tüm değişiklikleri test edin.
Genel IP (PIP) adreslerini yüksek riskli varlıklar olarak değerlendirin çünkü bunlara kolayca erişilebilir ve dünya çapında geniş bir erişime sahiptir. Açığa çıkarılmayı azaltmak için iş yüküne gereksiz İnternet erişimini kaldırın. Azure Front Door gibi Microsoft hizmetlerinin sağladığı paylaşılan genel IP adreslerini kullanın. Bu hizmetler İnternet'e yönelik olacak şekilde tasarlanmıştır ve izin verilmeyen protokollere erişimi engeller. Bu tür hizmetlerin çoğu, ağ kenarında gelen istekler üzerinde ilk denetimleri gerçekleştirir. Ayrılmış bir PIP ile güvenlik yönlerini yönetmekten, bağlantı noktalarına izin vermekten veya bağlantı noktalarını engellemekten ve bunların geçerliliğini sağlamak için gelen istekleri taramaktan sorumlusunuz.
İnternet'e yönelik uygulamalar için, geçersiz trafiği filtreleyebilecek bir katman 7 hizmeti ekleyerek erişimi kısıtlayın . Dağıtılmış hizmet reddi (DDoS) koruması uygulayan, web uygulaması güvenlik duvarları olan ve trafik uygulama katmanına ulaşmadan önce uçta koruma sağlayan yerel hizmetleri keşfedin.
Etki Alanı Adı Sistemi (DNS) sağlamlaştırma, başka bir ağ güvenlik uygulamasıdır. DNS altyapısının güvenli olduğundan emin olmak için güvenilen DNS çözümleyicileri kullanmanızı öneririz. DNS çözümleyicilerinden gelen bilgileri doğrulamak ve ek bir güvenlik katmanı sağlamak için mümkün olduğunda, son derece hassas DNS bölgeleri için bir DNS güvenlik protokolü kullanın. DNS önbelleği zehirlenmesi, DDoS saldırıları ve yükseltme saldırıları gibi saldırıları önlemek için sorgu hızı sınırlama, yanıt hızı sınırlama ve DNS tanımlama bilgileri gibi DNS ile ilgili diğer güvenlik denetimlerini keşfedin.
Kimlik
Kullanılmayan veya varsayılan hesapları kaldırın. Kullanılmayan kimlik doğrulama ve yetkilendirme yöntemlerini devre dışı bırakın.
Sık sık saldırı vektörleri olduklarından eski kimlik doğrulama yöntemlerini devre dışı bırakın. Eski protokollerde genellikle hesap kilitlenmeleri gibi saldırı sayacı önlemleri eksiktir. Kimlik doğrulama gereksinimlerinizi Microsoft Entra ID gibi kimlik sağlayıcınıza (IdP) dışlayın.
Yinelenen kimlikler oluşturmak yerine federasyonu tercih edin. Kimliğin gizliliği ihlal edilirse, merkezi olarak yönetildiğinde erişimini iptal etmek daha kolaydır.
Gelişmiş kimlik doğrulaması ve yetkilendirme için platform özelliklerini anlama. Çok faktörlü kimlik doğrulaması, parolasız kimlik doğrulaması, Koşullu Erişim ve Microsoft Entra ID kimlik doğrulamaya sunulan diğer özelliklerden yararlanarak erişim denetimlerini güçlendirin. Oturum açma olaylarına ek koruma ekleyebilir ve saldırganın istekte bulunabileceği kapsamı azaltabilirsiniz.
Mümkün olduğunca kimlik bilgileri olmadan yönetilen kimlikleri ve iş yükü kimliklerini kullanın. Kimlik bilgileri sızdırılabilir. Daha fazla bilgi için bkz. Uygulama gizli dizilerini koruma önerileri.
Yönetim süreçleriniz için en az ayrıcalıklı yaklaşımı kullanın. Gereksiz rol atamalarını kaldırın ve düzenli Microsoft Entra erişim gözden geçirmeleri gerçekleştirin. Denetimler için kritik öneme sahip olan gerekçelerin izini tutmak için rol ataması açıklamalarını kullanın.
Bulut kaynakları
Ağ ve kimlik için önceki sağlamlaştırma önerileri tek tek bulut hizmetleri için geçerlidir. Ağ iletişimi için hizmet düzeyi güvenlik duvarlarına özellikle dikkat edin ve gelen kurallarını değerlendirin.
Diğer bileşenlerin kapsayabileceği kullanılmayan veri düzlemi erişimi ve ürün özellikleri gibi kullanılmayan özellikleri keşfedin ve devre dışı bırakın. Örneğin, App Service FTP dağıtımları, uzaktan hata ayıklama ve diğer özellikleri sağlayan Kudu'yu destekler. Bu özelliklere ihtiyacınız yoksa bunları kapatın.
Azure yol haritasını ve iş yükü yol haritasını her zaman takip edin. Azure hizmetlerinin sunduğu düzeltme eki uygulama ve sürüm güncelleştirmeleri uygulayın. Platform tarafından sağlanan güncelleştirmelere izin verin ve otomatik güncelleştirme kanallarına abone olun.
Risk: Bulut kaynaklarının genellikle izinler için gereksinimleri vardır veya desteklenen olarak kabul edilmesi için belgelenmiş yapılandırmalarda çalıştırılması gerekir. Giden trafiği agresif bir şekilde engelleme gibi bazı sağlamlaştırma teknikleri, hizmet normal şekilde çalışsa bile hizmetin desteklenen bir yapılandırmanın dışına düşmesine neden olabilir. Bu kaynak için destek sağladığınızdan emin olmak için platformunuzdan her bulut kaynağının çalışma zamanı gereksinimlerini anlayın.
Uygulamalar
Uygulamanızın yanlışlıkla bilgi sızdırabileceği alanları değerlendirin. Örneğin, kullanıcı bilgilerini alan bir API'niz olduğunu varsayalım. İsteğin geçerli bir kullanıcı kimliği olabilir ve uygulamanız 403 hatası döndürür. Ancak geçersiz bir müşteri kimliğiyle istek 404 hatası döndürür. Ardından kullanıcı kimlikleriniz hakkındaki bilgileri etkili bir şekilde sızdırıyorsunuz.
Daha ince durumlar olabilir. Örneğin, geçerli bir kullanıcı kimliğine sahip yanıt gecikme süresi geçersiz bir müşteri kimliğinden daha yüksektir.
Aşağıdaki alanlarda uygulama sağlamlaştırma uygulamayı göz önünde bulundurun:
Giriş doğrulama ve temizleme: Tüm kullanıcı girişlerini doğrulayıp temizleyerek SQL ekleme ve siteler arası betik (XSS) gibi ekleme saldırılarını önleyin. Giriş doğrulama kitaplıklarını ve çerçevelerini kullanarak giriş temizlemeyi otomatikleştirin.
Oturum yönetimi: Güvenli oturum yönetimi tekniklerini kullanarak oturum tanımlayıcılarını ve belirteçleri hırsızlık veya oturum düzeltme saldırılarına karşı koruyun. Oturum zaman aşımları uygulayın ve hassas eylemler için yeniden kimlik doğrulamayı zorunlu kılın.
Hata yönetimi: Hassas bilgilerin saldırganlara açık olmasını en aza indirmek için özel hata işleme uygulayın. Hataları güvenli bir şekilde günlüğe kaydedip bu günlükleri şüpheli etkinlik için izleyin.
HTTP güvenlik üst bilgileri: İçerik Güvenliği İlkesi (CSP), X-Content-Type-Options ve X-Frame-Options gibi HTTP yanıtlarında güvenlik üst bilgilerini kullanarak yaygın web güvenlik açıklarını azaltın.
API güvenliği: Doğru kimlik doğrulama ve yetkilendirme mekanizmalarıyla API'lerinizin güvenliğini sağlayın. Güvenliği daha da geliştirmek için API uç noktaları için hız sınırlama, istek doğrulama ve erişim denetimleri uygulayın.
Uygulama geliştirirken ve bakımını yaparken güvenli kodlama uygulamalarını izleyin. Düzenli olarak kod incelemeleri yapın ve uygulamaları güvenlik açıklarına karşı tarayın. Daha fazla bilgi için bkz. Geliştirme yaşam döngüsünün güvenliğini sağlama önerileri.
Yönetim işlemleri
Ayrıca çalışma zamanı olmayan diğer kaynakları sağlamlaştırabilirsiniz. Örneğin, tüm varlıkların envanterini alıp kullanılmayan varlıkları işlem hattınızdan kaldırarak derleme işlemlerinizin ayak izini azaltın . Ardından, güvenilen kaynaklar tarafından yayımlanan görevleri çekin ve yalnızca doğrulanmış görevleri çalıştırın.
Microsoft tarafından barındırılan veya şirket içi barındırılan derleme aracıları gerekip gerekmediğini belirleyin. Şirket içi barındırılan derleme aracıları ek yönetime ihtiyaç duyar ve sağlamlaştırılmalıdır.
Gözlemlenebilirlik açısından, olası ihlaller için günlükleri gözden geçirmeye yönelik bir süreç uygulayın . Erişim günlüklerine göre erişim denetimi kurallarını düzenli olarak gözden geçirin ve güncelleştirin. Anomalileri algılamak için güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıt (SOAR) günlüklerini analiz etmek için merkezi ekiplerle birlikte çalışın.
Ayrıcalıklı yönetim işlemleri için PAW'ları veya SAW'leri zorunlu kılmalısınız. PAW'lar ve PAW'lar önemli güvenlik avantajları sunan sağlamlaştırılmış fiziksel cihazlardır, ancak bunların uygulanması için dikkatli planlama ve yönetim gerekir. Daha fazla bilgi için bkz . Ayrıcalıklı erişim hikayesinin bir parçası olarak cihazların güvenliğini sağlama.
Azure kolaylaştırma
Bulut için Microsoft Defender çeşitli sağlamlaştırma özellikleri sunar:
- Sunucu sağlamlaştırma
- Uyarlamalı ağ sağlamlaştırma
- Docker konağı sağlamlaştırma
İnternet Güvenliği Merkezi (CIS), Azure Market sağlamlaştırılmış görüntüler sunar.
Sağlamlaştırılmış işletim sistemi görüntüleri için yinelenebilir bir işlem oluşturmak üzere Azure VM Görüntü Oluşturucusu'nu kullanabilirsiniz. Common Base Linux-Mariner, Microsoft tarafından geliştirilen ve güvenlik standartlarına ve sektör sertifikalarına uygun sağlamlaştırılmış bir Linux dağıtımıdır. İş yükü uygulamaları oluşturmak için Azure altyapı ürünleriyle birlikte kullanabilirsiniz.
Örnek
Aşağıdaki yordam, bir işletim sisteminin nasıl sağlamlaştırileceğine ilişkin bir örnektir:
Ayak izini azaltın. Görüntüdeki gereksiz bileşenleri kaldırma. Yalnızca ihtiyacınız olanları yükleyin.
Yapılandırmalarda ince ayar yapın. Kullanılmayan hesapları devre dışı bırakın. İşletim sistemlerinin varsayılan yapılandırmasında güvenlik gruplarına bağlı ek hesaplar vardır. Bu hesapları kullanmıyorsanız, bunları devre dışı bırakın veya sistemden kaldırın. Ek kimlikler, sunucuya erişim elde etmek için kullanılabilecek tehdit vektörleridir.
Dosya sistemine gereksiz erişimi devre dışı bırakın. Dosya sistemini şifreleyin ve kimlik ve ağ için erişim denetimlerine ince ayar yapın.
Yalnızca gerekenleri çalıştırın. Varsayılan olarak çalışan uygulamaları ve hizmetleri engelleyin. Yalnızca iş yükü işlevselliği için gereken uygulamaları ve hizmetleri onaylayın.
Savunmayı koruyun. Bilinen güvenlik açıklarını azaltmak için işletim sistemi bileşenlerini en son güvenlik güncelleştirmeleri ve düzeltme ekleriyle düzenli olarak güncelleştirin.
İlgili bağlantılar
- Uyarlamalı ağ sağlamlaştırma
- Uygulama gizli dizilerini korumaya yönelik öneriler
- Geliştirme yaşam döngüsünün güvenliğini sağlamaya yönelik öneriler
- Ayrıcalıklı erişim hikayesinin bir parçası olarak cihazların güvenliğini sağlama
- Sunucu sağlamlaştırma
Topluluk bağlantıları
CIS karşılaştırmalı değerlendirmeleri
Güvenlik denetim listesi
Önerilerin tamamına bakın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin