Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Bu güvenlik temeli, Microsoft Bulut Güvenliği Karşılaştırması'nın (v1.0) önceki bir sürümünü temel alır ve güncel olmayan yönergeler içerebilir. En son güvenlik yönergeleri için Yedekleme belgelerine bakın.
Bu güvenlik temeli , Microsoft bulut güvenlik karşılaştırması sürüm 1.0'dan Backup'a yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenlik karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Yedekleme için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender'ı kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özellik ilgili Azure İlkesi Tanımlarına sahip olduğunda, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Uyarı
Yedekleme için geçerli olmayan özellikler hariç tutuldu. Backup'ın Microsoft bulut güvenliği karşılaştırmasına tamamen nasıl eşlediğini görmek için tam Yedekleme güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, Yedekleme'nin yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | MGMT/İdare |
| Müşteri HOST/ işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Yanlış |
| Hareketsiz durumda müşteri içeriğini depolar | Yanlış |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtarak kaynaklar için özel bir erişim noktası oluşturun.
Referans: Azure Özel Bağlantı kullanılabilirliği
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet düzeyi IP ACL filtreleme kuralını veya genel ağ erişimi için geçiş anahtarını kullanarak genel ağ erişimini devre dışı bırakın.
Başvuru: Kasaya açık ağ erişimini reddetme
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Kasanız için yönetilen kimlik oluşturulabilir ve yalnızca denetim düzleminde çalışır.
Daha fazla bilgi için lütfen kasanız için Yönetilen Kimliği etkinleştirin adresini ziyaret edin.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
IM-8: Kimlik bilgilerinin ve sırların açığa çıkmasını kısıtlama
Özellikler
Azure Key Vault'ta Hizmet Kimlik Bilgileri ve Gizli Bilgilerin Entegrasyonu ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault'un yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Bu özellik, kasa kimlik bilgisi dosyasının AKV'de depolanmadığı bir şirket içi senaryo dışında tüm senaryolar için desteklenir.
Yapılandırma Kılavuzu: Gizli dizilerin ve kimlik bilgilerinin kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Başvuru: Müşteri tarafından yönetilen anahtarlarla kasayı şifrelemek üzere yapılandırma
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Azure Role-Based Erişim Denetimi (Azure RBAC), hizmetin veri düzlemi eylemlerine yönetilen erişim için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Azure RBAC, denetim düzlemi eylemleri için desteklenir.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure Backup, genellikle doğası gereği hassas olan müşterilerin yedekleme verilerini korumaya yardımcı olabilecek sabit kasalar, geçici silme, çok kullanıcılı yetkilendirme gibi gelişmiş özellikleri destekler.
Daha fazla bilgi için lütfen şu adresi ziyaret edin: Değişmez kasa, Yumuşak silme ve Çok kullanıcılı yetkilendirme
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Veri Aktarımı Sırasındaki Şifreleme
Açıklama: Hizmet, veri düzlemi için aktarım içi veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Yedeklemede Aktarım Katmanı Güvenliği
DP-4: Hareketsiz durumdaki veri şifrelemesini varsayılan olarak etkinleştirin
Özellikler
Platform Anahtarlarını Kullanarak Durgun Veri Şifreleme
Açıklama: Platform anahtarları kullanılarak beklemedeki verilerin şifrelenmesi desteklenir, beklemedeki tüm müşteri içerikleri Microsoft tarafından yönetilen bu anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: azure-backup'ta şifreleme düzeyleri
DP-5: Gerektiğinde durağan veri şifrelemesinde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleme Durumundaki Verilerin Şifrelemesi
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak beklemedeki verilerin şifrelenmesi, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak durgun veri şifrelemesini etkinleştirin ve uygulayın.
Başvuru: Müşteri tarafından yönetilen anahtarları kullanarak yedekleme verilerini şifreleme
DP-6: Güvenli bir anahtar yönetim süreci kullanın
Özellikler
Azure Key Vault'ta Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Anahtarlarınızı ve hizmetinizi Azure Key Vault'ta, tanımlı bir zamanlamaya göre veya anahtar kullanım dışı bırakılması ya da güvenlik ihlali durumlarında döndürün ve iptal edin. İş yükünde, hizmette veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınızla (KEK) ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault'a kaydedildiğinden ve hizmet veya uygulama üzerinden anahtar kimlikleri ile referans alındığından emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (şirket içi HSM'lerinizdeki HSM korumalı anahtarları Azure Key Vault'a aktarma gibi), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: Azure Backup'ta şifreleme
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'ta Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sertifika oluşturma, içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Sertifika oluşturma işleminin, aşağıdakiler gibi güvenli olmayan özellikler kullanmadan tanımlı standartlara uydığından emin olun: yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme. Azure Key Vault'ta ve Azure hizmetinde (destekleniyorsa) sertifikanın otomatik döndürmesini, tanımlı bir zamanlamaya göre veya sertifika süre sonu olduğunda ayarlayın. Uygulamada otomatik döndürme desteklenmiyorsa, Azure Key Vault'ta ve uygulamada el ile kullanılan yöntemler kullanılarak bunların hala döndürüldüğünden emin olun.
Başvuru: Yedekleme şifrelemesi
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure Politika Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Referans: Azure politika yedeklemesi
Log tutma ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Loglama ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmetler / Ürün Sunumu için Microsoft Defender
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarmak için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
LT-4: Güvenlik araştırması için kayıt tutmayı etkinleştir
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet için kaynak günlüklerini etkinleştirin. Örneğin, Key Vault, bir anahtar kasasından sır alan eylemler için ek kaynak günlüklerini desteklerken, Azure SQL, veritabanına yapılan istekleri izleyen kaynak günlüklerine sahiptir. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
Başvuru: Kurtarma Hizmetleri depoları için teşhis ayarlarını kullanma
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.RecoveryServices:
| İsim (Azure portalı) |
Description | Effect(s) | Sürüm (GitHub) |
|---|---|---|---|
| Azure Backup Sanal Makineler için etkinleştirilmelidir | Azure Backup'i etkinleştirerek Azure Sanal Makineler'nizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | DenetleEğerMevcutDeğilse, Devre Dışı | 3.0.0 |
Sonraki Adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin