Güvenlik mimarisi tasarımını kullanmaya başlama

Güvenlik, her mimarinin en önemli yönlerinden biridir. Etkili güvenlik önlemleri, verilerinizin ve sistemlerinizin gizliliğini, bütünlüğünü ve kullanılabilirliğini kasıtlı saldırılara ve kötüye kullanıma karşı korur.

Azure, aşağıdaki temel hizmetler de dahil olmak üzere birçok güvenlik aracı ve özelliği sağlar:

• Microsoft Defender for Cloud bulut güvenliği duruş yönetimi (CSPM) ve bulut iş yükü koruması (CWP) sağlar. Kaynaklarınızı güvenlik uyumluluğu açısından değerlendirir, duruşunuzu izlemek için güvenli bir puan sağlar ve Azure, şirket içi ve çok bulutlu iş yükleri arasında tehdit koruması sunar.

• Microsoft Entra ID Microsoft bulut tabanlı kimlik ve erişim yönetimi (IAM) hizmetidir. Kimlik tabanlı saldırılara karşı korunmak için çoklu oturum açma (SSO), çok faktörlü kimlik doğrulaması (MFA) ve koşullu erişim sağlar.

• Azure Front Door web uygulamaları için genel bir giriş noktasıdır. Yerleşik bir web uygulaması güvenlik duvarı (WAF) sağlar, yaygın saldırılara ve güvenlik açıklarına karşı koruma, DDoS koruması ve uçta Aktarım Katmanı Güvenliği (TLS) sonlandırması sunar.

• Azure Güvenlik Duvarı Premium katmanında tehdit zekası tabanlı filtreleme, yetkisiz erişim algılama ve önleme (IDPS), TLS incelemesi ve tam etki alanı adı (FQDN) tabanlı kuralları destekleyen buluta özel bir ağ güvenlik duvarıdır.

• Azure Key Vault merkezi gizli dizi yönetimi, anahtar yönetimi ve sertifika yönetimi sağlar. Premium katmanı, Federal Bilgi İşleme Standartları (FIPS) 140-3 düzey 3'e doğrulanmış donanım güvenlik modülü (HSM) korumalı anahtarlar sunar.

• Azure Özel Bağlantı Azure hizmet olarak platform (PaaS) çözümlerine sanal ağınızdaki özel bir uç nokta üzerinden erişmenizi sağlar. Bu yaklaşım, trafiği Microsoft omurga ağında tutar ve genel İnternet'e maruz kalma durumunu ortadan kaldırır.

• Azure Application Gateway, Open Worldwide Application Security Project (OWASP) İlk 10 güvenlik açığına, bot risk azaltmaya ve özel kurallara karşı koruma sağlayan bir WAF içeren, bölgesel bir web trafiği yük dengeleyicisidir.

• Azure İlkesi kurumsal standartları zorunlu kılmanıza, uygun ölçekte uyumluluğu değerlendirmenize ve uyumsuz kaynak yapılandırmalarını engelleyen korumalar uygulamanıza olanak tanır.

Azure güvenlik araçları ve özellikleri hakkında daha fazla bilgi için bkz. Azure'da uçtan uca güvenlik .

Architecture

Azure'da temel güvenlik uygulamasını gösteren diyagram.

Sol tarafta kullanıcılar (Kullanıcı, Yönetici ve Geliştirici) Azure'a bağlanırlar. Merkez, kendi alt ağında Azure Güvenlik Duvarı Premium, Azure VPN Gateway alt ağında bir VPN ağ geçidi, Azure Bastion alt ağında Azure Bastion ve kendi dahilinde Azure DDoS Koruması içeren bir güvenlik hub'ı sanal ağını gösterir. Bu merkez sağdaki üç katmanlı uygulama mimarisini içeren bir iş yükü uç sanal ağına bağlanır. Uygulama mimarisi, AppGw (WAF) ile bir Application Gateway alt ağından, uygulama güvenlik grupları (ASG) ile korunan iki sanal makineye (VM) sahip bir ön uç katmanı alt ağından ve bir ağ güvenlik grubundan (NSG), ASG ve NSG ile korunan iki VM'ye sahip bir uygulama katmanı alt ağından ve ASG ve NSG ile korunan iki VM'ye sahip bir veri katmanı alt ağından oluşur. Spokedaki noktalı çizgiler, güvenlik katmanları aracılığıyla istenen VM'ye erişimi gösterir. Merkez-uç mimarisinin altında Azure depolama hizmetleri bölümü Azure Blob Depolama ve Azure Dosyalar içerir. Sağ tarafta, ortak PaaS hizmetleri bölümü Microsoft Entra ID, Microsoft Defender for Cloud, rol tabanlı erişim denetimi (RBAC), Azure İzleyici ve Azure Key Vault içerir. En altta şirket içi veri merkezi bölümünde yönlendirici, yönetici kullanıcılar, Active Directory Domain Services (AD DS), Microsoft Entra Connect ve şirket içi bir uygulama gösterilir. Diyagramdaki oklar, tüm bileşenler arasındaki trafik akışlarını ve güvenli bağlantı yollarını gösterir.

Bu mimariye ait bir Visio dosyasını indirin.

Önceki diyagramda tipik bir temel güvenlik uygulaması gösterilmektedir. Mimari, Azure güvenlik hizmetlerinin kimlik, ağ, veri ve uygulama katmanlarında iş yüklerini korumak için birlikte nasıl çalıştığını gösterir. Azure'de oluşturabileceğiniz gerçek dünya çözümleri için bkz. Example çözümleri.

Azure'da güvenlik hakkında bilgi edinin

Microsoft Learn Azure güvenlik teknolojileri için ücretsiz çevrimiçi eğitim sağlar. Platform, belirli ürün ve hizmetler için videolar, öğreticiler ve etkileşimli laboratuvarların yanı sıra iş rolüne göre düzenlenmiş öğrenme yolları sunar.

Aşağıdaki kaynaklar, Azure güvenlik uygulamaları için temel bilgiler sağlar.

Güvenlik temelleri: Aşağıdaki öğrenme yolları temel güvenlik kavramlarını ve Azure güvenlik özelliklerini kapsar:

• Güvenlik, uyumluluk ve kimlik kavramlarına giriş
• Microsoft Entra'ya Giriş
• Microsoft güvenlik çözümlerine giriş

Ağ güvenliği: Aşağıdaki öğrenme yolu sanal ağ güvenliğini, ağ segmentasyonunu ve güvenli bağlantıyı kapsar:

• Azure sanal ağı kullanarak iş yüklerinize güvenli erişim sağlayın

Veri koruması: Aşağıdaki öğrenme yolu şifreleme, anahtar yönetimi ve uygulama güvenliğini kapsar:

• Azure

Tehdit koruması: Aşağıdaki öğrenme yolu tehdit algılama, araştırma ve yanıtı kapsar:

• Microsoft Defender for Cloud

Role göre öğrenme yolları

Microsoft Learn, güvenlik uzmanları için rol tabanlı sertifikasyon yolları sunar:

• Microsoft Sertifikalı: Azure Güvenlik Mühendisi İş Ortağı (AZ-500)

  Note

  AZ-500 sertifikası 31 Ağustos 2026'da emekliye kaldırılıyor. En son bilgiler için sertifikasyon sayfasına bakın.

• Microsoft Sertifikalı: Güvenlik Operasyonları Analisti İş Ortağı (SC-200)

• Microsoft Sertifikalı: Siber Güvenlik Mimarı Uzmanı (SC-100)

Kurumsal hazırlık

Bulut benimsemeye başlayan kuruluşlar, bulut benimsemeyi hızlandıran kanıtlanmış yönergelere erişmek için Azure için Bulut Benimseme Çerçevesi'ni kullanabilir. Bulut Benimseme Çerçevesi Secure metodolojisi Azure bulut varlığınızın güvenliğini sağlamak için yapılandırılmış bir yaklaşım sağlar. Strateji, planlama, hazır olma, benimseme, idare ve operasyonlar arasında güvenlik yönergeleri sağlar.

Azure idaresi, bulut idaresini, uyumluluk denetimini ve otomatik korumaları desteklemek için gereken araçları oluşturur. Daha fazla bilgi için bkz. Azure idare tasarım alanı kılavuzu.

Azure güvenlik çözümünüzün kalitesini sağlamaya yardımcı olmak için Azure Well-Architected Framework izleyin. Well-Architected Çerçevesi, mimari mükemmellik arayan kuruluşlar için açıklayıcı rehberlik sağlar ve maliyet açısından iyileştirilmiş Azure çözümleri tasarlama, sağlama ve izleme adımlarını açıklar. Daha fazla bilgi için bkz.Well-Architected Framework Güvenlik sütunu.

Güvenliğe özgü yönergeler için aşağıdaki Well-Architected Framework hizmet kılavuzlarını inceleyin:

• Azure Güvenlik Duvarı
• Azure Application Gateway
• Azure Front Door

En iyi uygulamalar

Azure güvenlik iş yüklerinizin güvenliğini, güvenilirliğini, performansını ve operasyonel kalitesini geliştirmek için bu en iyi yöntemleri izleyin:

• Güvenlik tasarım ilkeleri: Sıfır Güven modeli ve CIA gizlilik, bütünlük ve kullanılabilirlik üçlüsünün temelinde Azure üzerinde güvenli iş yükleri tasarlamanıza yardımcı olacak yol gösteren ilkeler.

• Güvenlik hızlı bağlantıları: güvenlik kılavuzuna, tasarım desenlerine ve en iyi yöntemlere bağlantılar sağlayan Well-Architected Framework Güvenlik sütunu için bir merkez sayfası.

• Güvenlik için tasarım gözden geçirmesi denetim listesi: Kimlik, ağ, veri koruma ve idareyi kapsayan güvenlik tasarımı gözden geçirmesi önerilerinin denetim listesi.

• Azure Güvenlik Duvarı ve Azure Application Gateway içeren sanal ağlar: Kimlik doğrulama, şifreleme ve ağ güvenlik katmanlarını kullanarak Azure uygulama iş yüklerini korumanıza yardımcı olacak Azure Güvenlik Duvarı ve Azure Application Gateway rehberi.

• Azure Güvenlik Duvarı ve Azure Application Gateway: Sıfır Güven ilkelerini ve uçtan uca TLS şifreleme ve incelemesini kullanarak tüm katmanlarda proaktif, tümleşik bir güvenlik yaklaşımı.

• Microsoft bulut güvenliği karşılaştırması: Azure ve çoklu bulut ortamlarında iş yüklerinin, verilerin ve hizmetlerin güvenliğini iyileştirmeye yardımcı olacak açıklayıcı en iyi yöntemler ve öneriler.

Güvenlikle güncel kalın

Azure güvenlik hizmetleri modern güvenlik zorluklarını ele almak için gelişir. En son güncelleştirmeler ve özellikler hakkında bilgi sahibi olun.

Önemli güvenlik hizmetleriyle güncel kalmak için aşağıdaki makalelere bakın:

• Bulut için Microsoft Defender'deki yenilikler
• Microsoft Entra yayınları ve duyuruları
• Azure Key Vault
• Microsoft Sentinel'deki yenilikler
• Azure Güvenlik Duvarı
• Azure Application Gateway

Diğer kaynaklar

Güvenlik kategorisi bir dizi çözümü kapsar. Aşağıdaki kaynaklar Azure hakkında daha fazla bilgi bulmanıza yardımcı olabilir.

Örnek çözümler

Aşağıdaki mimari çözümleri, Azure güvenlik desenlerini ve uygulamalarını gösterir:

• Şirket içi ağdan Azure App Service web uygulamalarına güvenlik erişimi sağlama
• Güvenli bir şekilde yönetilen web uygulamaları
• Temel yüksek erişilebilirlik ve bölge yedekliliğine sahip web uygulaması
• Tüm güvenlik mimarilerine göz atın

Ürün belgeleri

• Uçtan uca güvenlik Azure: koruma, algılama ve yanıt özelliklerine göre düzenlenmiş Azure güvenlik hizmetlerine giriş.

• Microsoft Siber Güvenlik Başvuru Mimarileri: Microsoft güvenlik özelliklerinin Sıfır Güven ilkelerini kullanarak Microsoft platformları ve iş ortağı platformlarıyla nasıl tümleştirildiğini açıklayan diyagramlar.

Hibrit ve çoklu bulut

çoğu kuruluşun iş yükleri, kimlikleri ve verileri şirket içi veri merkezlerine, Azure ve diğer bulut platformlarına yayılarak güvenlik için karma bir yaklaşıma ihtiyaç duyar. Güvenlik ilkeleri, tehdit algılama ve uyumluluk denetimleri, saldırganların yararlanabileceği boşluklardan kaçınmak için tüm bu ortamlarda genişletilmelidir. Kuruluşlar genellikle şirket içi güvenlik çözümlerini buluta genişletir ve Azure olmayan kaynakları merkezi yönetim için Azure denetim düzlemine yansıtmak için Azure Arc kullanır. Ortamları bağlamak için kuruluşların karma ağ mimarisi seçmesi gerekir.

Aşağıdaki temel karma ve çoklu bulut güvenlik senaryolarını gözden geçirin:

• Güvenli bir hibrit ağı uygulamak: Şirket içi ağı Azure'e genişleten bir referans mimarisi. Şirket içi ve Azure ortamları arasındaki gelen ve giden trafiği denetlemek için bir çevre ağı (DMZ, arındırılmış bölge ve ekranlı alt ağ) ve Azure Güvenlik Duvarı kullanır.

• Şirket içi ağı Azure'a bağlayın: Azure VPN Gateway, Azure ExpressRoute ve VPN Yük Devretmesi ile Azure ExpressRoute gibi, karma dağıtımlar için güvenli ağ temelini oluşturan, karma ağ bağlantı seçeneklerinin karşılaştırması.

• Hybrid mimarisi tasarımı: şirket içi ve Azure ortamlarında iş yüklerini çalıştırmak için karma ağ bağlantısını, en iyi yöntemleri ve başvuru mimarilerini kapsayan Azure karma mimariler için bir merkez sayfası.

• Azure kullanarak karma DNS çözümü tasarlamak: Şirket içinde ve Azure'da barındırılan iş yüklerinin adlarını çözümleyen Etki Alanı Adı Sistemi (DNS) karma çözümünü uygulayan bir referans mimarisi. Bu mimaride Azure DNS Özel Çözümleyici ve Azure Güvenlik Duvarı kullanılır.

• Azure Arc ve Azure giriş bölgelerini kullanarak Karma ve çoklu bulut benimsemesini uygulamak: Azure Arc kullanarak şirket içi sunucuların, Kubernetes kümelerinin ve çoklu bulut hizmetlerinin Azure denetim düzlemine katılımını sağlama kılavuzu. Bu mimaride merkezi ilke uygulama, izleme ve tehdit koruması sağlamak için Microsoft Defender for Cloud kullanılır.

• Azure ve Microsoft Defender XDR güvenlik hizmetlerini tümleştirin: Microsoft Sentinel, Microsoft Defender for Cloud ve Microsoft Defender XDR'yi birleştiren bir çözüm fikri, şirket içi ve bulut ortamlarında güvenlik izleme ve tehdit yanıtını birleştirmek için.

Kimlik ve erişim yönetimi

Kimlik, bulut ortamlarındaki birincil güvenlik çevresidir. Azure'de IAM, bulut tabanlı kimlik sağlayıcısı olarak Microsoft Entra ID'ı temel alır. Microsoft Entra Koşullu Erişim, Sıfır Güven ilkesi altyapısı görevi görür. Aşağıdaki mimariler ve kılavuzlar, Azure ve çoklu bulut ortamları için IAM tasarım desenlerini ele alır:

• On-premises Active Directory etki alanlarını Microsoft Entra ID ile tümleştirme: On-premises Active Directory'yi bulut tabanlı kimlik doğrulama sağlamak için Microsoft Entra ID ile tümleştiren bir başvuru mimarisi. Bu yapı, Microsoft Entra Connect Sync, Microsoft Entra uygulama ara sunucusu ve Microsoft Entra Koşullu Erişim gibi bileşenleri içerir.

• Identity mimarisi tasarımı: öğrenme yollarını, tasarım seçeneklerini, uygulama kılavuzlarını ve temel kimlik uygulamalarını kapsayan Azure kimlik mimarisi için bir merkez sayfası.

• Azure'da Active Directory Domain Services (AD DS) kaynak ormanı oluşturma: On-premises Active Directory ormanı tarafından güvenilen, Azure'da ayrı bir Active Directory etki alanı oluşturan başvuru mimarisi.

• Azure sanal ağında AD DS dağıtma: Dağıtılmış kimlik doğrulama hizmetleri sağlamak amacıyla yerel Active Directory etki alanını Azure'a genişleten referans mimarisi.

• Şirket içi AD FS'yi Azure'ye uzatın: Güvenli bir karma ağın parçası olarak Azure'da Active Directory Federasyon Hizmetleri (AD FS) (AD FS) yetkilendirmesi uygulayan bir başvuru mimarisi.

Tehdit koruması

Tehdit koruması, Azure iş yükleri genelindeki güvenlik tehditlerini algılayan, önleyen ve yanıtlayan araçları, desenleri ve uygulamaları kapsar. Azure Microsoft Defender for Cloud, Microsoft Sentinel ve Microsoft Entra ID Koruması gibi hizmetler aracılığıyla katmanlı tehdit koruması sağlar. Bu hizmetler işlem, depolama, ağ, kimlik ve uygulama katmanları genelindeki tehditleri algılamak için davranış analizi, makine öğrenmesi ve tehdit zekası kullanır.

Aşağıdaki mimariler ve kılavuzlar Azure tehdit koruması desenlerini ele alır:

• Azure sanal makine (VM) erişimi için katmanlı koruma: Microsoft Entra Privileged Identity Management (PIM), Microsoft Defender for Cloud'da tam zamanında (JIT) VM erişimi, Azure Bastion ve Azure rol tabanlı erişim denetimi (Azure RBAC) özel rollerini birleştirerek derinlemesine bir savunma çözümü sunar. Bu yapı, VM yönetimi için saldırı yüzeyini en aza indirmeye yardımcı olur.

• Azure güvenlik hizmetlerini kullanarak ilk savunma katmanını oluşturun: MITRE ATT&CK çerçevesini kullanarak Azure güvenlik hizmetlerini kaynaklara ve tehdit türlerine eşleyen bir çözüm fikri. Bu makalede Azure güvenlik hizmetleri ağ, altyapı, uygulama, veri ve kimlik katmanlarına göre düzenlenir.

• Tehditleri BT ortamınıza eşleme: MITRE ATT&CK çerçevesini kullanarak BT ortamınızı diyagrama eklemenize ve bir tehdit haritası oluşturmanıza yardımcı olan kılavuz. Şirket içi, Azure ve Microsoft 365 ortamlarını kapsar.

• Azure ve Microsoft Defender XDR güvenlik hizmetlerini tümleştirin: Şirket içi ve bulut ortamlarında birleşik güvenlik izleme ve tehdit yanıtı sağlamak için Microsoft Sentinel, Microsoft Defender for Cloud ve Microsoft Defender XDR’ı nasıl tümleştirileceğini gösteren bir çözüm fikri.

• Microsoft Sentinel otomatik yanıtlar: Risk altındaki kullanıcıları engelleme ve uç noktaları yalıtma gibi tehdit yanıtlarını otomatikleştirmek için Microsoft Sentinel playbook'ları ve Azure Logic Apps kullanan bir çözüm fikri.

• Apply, Azure: Mantıksal yalıtım, RBAC, güvenli önyükleme, şifreleme, Azure Bastion kullanarak güvenli erişim ve kullanarak gelişmiş tehdit algılama gibi Azure VM'lere Sıfır Güven ilkeleri uygulamak için adım adım yönergeler Sunucular için Microsoft Defender.

• Azure tehdit koruması: Microsoft Defender for Cloud, Microsoft Sentinel, Microsoft Entra ID Koruması gibi Azure tehdit koruma hizmetlerine genel bakış Microsoft Defender for Cloud Apps ve Azure Güvenlik Duvarı.

Amazon Web Services (AWS) veya Google Cloud uzmanları

Hızlı bir şekilde başlamanıza yardımcı olmak için, aşağıdaki makaleler Azure güvenlik seçeneklerini diğer bulut hizmetleriyle karşılaştırır.

Hizmetlerin karşılaştırması

• Compare AWS ve Azure kimlik yönetimi çözümleri: Temel kimlik, kimlik doğrulaması, erişim denetimi, ayrıcalıklı erişim yönetimi ve uygulama kimliği desenleri gibi AWS ve Azure kimlik hizmetlerinin ayrıntılı karşılaştırması.

• AWS ve Azure Hizmetleri Karşılaştırması - Güvenlik, Kimlik ve Erişim: IAM, şifreleme, güvenlik duvarları, tehdit algılama, güvenlik bilgileri ve olay yönetimi (SIEM) ve DDoS koruması gibi AWS ve Azure güvenlik hizmetlerinin karşılaştırması.

• Google Cloud to Azure services karşılaştırması - Güvenlik ve kimlik: Google Cloud ve Azure güvenlik hizmetlerinin karşılaştırması. Kimlik doğrulama, şifreleme, anahtar yönetimi, tehdit algılama, SIEM, kapsayıcı güvenliği ve veri kaybı önlemeyi (DLP) kapsar.

• AWS için Microsoft Entra kimlik yönetimi ve erişim yönetimi: AWS hesapları için SSO, MFA, Microsoft Entra Koşullu Erişim ve Microsoft Entra PIM dahil olmak üzere AWS için Microsoft Entra IAM çözümleri dağıtma kılavuzu.

Geçiş kılavuzu

Başka bir bulut platformundan geçiş gerçekleştiriyorsanız aşağıdaki makalelere bakın:

• AWS güvenlik hizmetlerini Azure'a taşıma: SIEM'i Microsoft Sentinel'a ve müşteri kimliğini Microsoft Entra Dış Kimlik'ye geçirme dahil, AWS güvenlik hizmetlerini Azure'a taşımak için kılavuz.

• Diğer bulut platformlarından Azure'e iş yüklerini geçirin: Planlama, hazırlık ve yürütme aşamaları dahil olmak üzere AWS ve Google Cloud'dan Azure'e iş yükü geçişinin uçtan uca sürecine genel bakış.