Tasarım alanı: Güvenlik
Bu tasarım alanı Azure, hibrit ve çoklu bulut ortamlarınızda güvenlik için bir temel oluşturur. Bu temeli daha sonra Bulut Benimseme Çerçevesi Güvenli metodolojisinde özetlenen güvenlik yönergeleriyle geliştirebilirsiniz.
Tasarım alanı incelemesi
İlgili roller veya işlevler: Bu tasarım alanı bulut güvenliği, özellikle de bu ekip içindeki güvenlik mimarları tarafından yönetilir. Ağ ve kimlik kararlarını gözden geçirmek için bulut platformu ve bulut mükemmellik merkezi gereklidir. Bu alıştırmadan gelen teknik gereksinimleri tanımlamak ve uygulamak için kolektif roller gerekebilir. Daha gelişmiş güvenlik korumaları için bulut idaresi desteği de gerekebilir.
Kapsam: Bu alıştırmanın amacı, güvenlik gereksinimlerini anlamak ve bunları bulut platformunuzun tüm iş yüklerinde tutarlı bir şekilde uygulamaktır. Bu alıştırmanın birincil kapsamı, güvenlik işlemleri araçlarına ve erişim denetimine odaklanır. Bu kapsam, Sıfır Güven ve gelişmiş ağ güvenliğini içerir.
Kapsam dışı: Bu alıştırma, buluttaki modern bir güvenlik operasyonları merkezinin temellerine odaklanır. Bu alıştırma, konuşmayı kolaylaştırmak için CAF Secure metodolojisindeki bazı uzmanlık alanlarını ele almaz. Güvenlik operasyonları, varlık koruması ve yenilik güvenliği, Azure giriş bölgesi dağıtımınızda derlenir. Ancak, bu tasarım alanı tartışmasının kapsamı dışındadır.
Tasarım alanına genel bakış
Güvenlik, her ortamdaki tüm müşteriler için temel bir konudur. Azure giriş bölgesi tasarlarken ve uygularken, işlem boyunca güvenliğin dikkate alınması gerekir.
Güvenlik tasarımı alanı, giriş bölgesi kararları için dikkat edilmesi gereken noktalara ve önerilere odaklanır. Bulut Benimseme Çerçevesi Güvenli metodolojisi, bütünsel güvenlik süreçleri ve araçları için daha ayrıntılı rehberlik de sağlar.
Yeni (yeşil alan) bulut ortamı: Bulut yolculuğunuza küçük bir abonelik kümesiyle başlamak için bkz . İlk Azure aboneliklerinizi oluşturma. Ayrıca, Azure giriş bölgelerinizi oluştururken Bicep dağıtım şablonlarını kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Azure Giriş Bölgeleri Bicep - Dağıtım Akışı.
Mevcut (brownfield) bulut ortamı: Güvenlik tasarımı alanından mevcut Azure ortamlarına ilkeleri uygulamak istiyorsanız aşağıdaki Microsoft Entra kimlik ve erişim hizmetlerini kullanmayı göz önünde bulundurun:
- Microsoft'un en iyi 10 Azure güvenlik en iyi uygulamasından faydalanın. Bu kılavuz, Microsoft bulut çözümü mimarlarının (CSA' lar) yanı sıra Microsoft İş Ortakları'nın alan kanıtlanmış kılavuzlarını özetler.
- Yerel Active Directory Etki Alanı Hizmetleri (AD DS) kullanıcılarınıza Microsoft Entra Kimliği destekli uygulamalarınıza güvenli çoklu oturum açma (SSO) sağlamak için Microsoft Entra Bağlan bulut eşitlemesini dağıtın. Karma kimliği yapılandırmanın bir diğer avantajı da, bu kimlikleri daha fazla korumak için Microsoft Entra çok faktörlü kimlik doğrulamasını (MFA) ve Microsoft Entra Parola Koruması'ni zorunlu kılmanızdır
- Bulut uygulamalarınıza ve Azure kaynaklarınıza güvenli kimlik doğrulaması sağlamak için Microsoft Entra Koşullu Erişim'i göz önünde bulundurun.
- Tüm Azure ortamınızda en az ayrıcalıklı erişim ve derin raporlama sağlamak için Microsoft Entra Privileged Identity Management'ı uygulayın. Ekipler, doğru kişilerin ve hizmet ilkelerinin geçerli ve doğru yetkilendirme düzeylerine sahip olduğundan emin olmak için yinelenen erişim gözden geçirmelerine başlamalıdır.
- Bulut için Microsoft Defender önerileri, uyarıları ve düzeltme özelliklerini kullanın. Güvenlik ekibiniz, daha sağlam, merkezi olarak yönetilen bir karma ve çok bulutlu Güvenlik Bilgileri Olay Yönetimi (SIEM)/Güvenlik Düzenleme ve Yanıt (SOAR) çözümüne ihtiyaç duyuyorsa Bulut için Microsoft Defender Microsoft Sentinel ile tümleştirebilir.
Azure Giriş Bölgeleri Bicep - Dağıtım Akışı deposu, yeşil alan ve brownfield Azure giriş bölgesi dağıtımlarınızı hızlandırabilecek bir dizi Bicep dağıtım şablonu içerir. Bu şablonların içinde zaten Microsoft'un kendini kanıtlamış güvenlik kılavuzu vardır.
Brownfield bulut ortamlarında çalışma hakkında daha fazla bilgi için bkz . Brownfield ortamıyla ilgili dikkat edilmesi gerekenler.
Microsoft bulut güvenliği karşılaştırması
Microsoft bulut güvenliği karşılaştırması, Azure'da kullandığınız hizmetlerin çoğunun güvenliğini sağlamaya yardımcı olmak için yüksek etkili güvenlik önerileri içerir. Bu önerileri çoğu Azure hizmeti için geçerli olduğu için genel veya kurumsal olarak düşünebilirsiniz. Microsoft bulut güvenliği karşılaştırma önerileri daha sonra her Azure hizmeti için özelleştirilir. Bu özelleştirilmiş kılavuz, hizmet önerileri makalelerinde yer alır.
Microsoft bulut güvenliği karşılaştırma belgeleri, güvenlik denetimlerini ve hizmet önerilerini belirtir.
- Güvenlik denetimleri: Microsoft bulut güvenliği karşılaştırma önerileri, güvenlik denetimleri tarafından kategorilere ayrılmıştır. Güvenlik denetimleri, ağ güvenliği ve veri koruması gibi üst düzey satıcıdan bağımsız güvenlik gereksinimlerini temsil eder. Her güvenlik denetiminin, bu önerileri uygulamanıza yardımcı olacak bir dizi güvenlik önerisi ve yönergesi vardır.
- Hizmet önerileri: Kullanılabilir olduğunda Azure hizmetleri için kıyaslama önerileri, bu hizmet için özel olarak uyarlanmış Microsoft bulut güvenliği karşılaştırması önerilerini içerir.
Azure Doğrulama
Azure Doğrulama, platformunuzun ve içinde çalışan ikili dosyaların güvenliğini ve bütünlüğünü sağlamanıza yardımcı olabilecek bir araçtır. Özellikle yüksek oranda ölçeklenebilir işlem kaynaklarına ihtiyaç duyan ve uzak kanıtlama özelliğiyle ödün vermeyen güvene sahip işletmeler için kullanışlıdır.
Güvenlik tasarımında dikkat edilmesi gerekenler
Bir kuruluşun teknik bulut varlıklarında neler olduğuna yönelik görünürlüğü olmalıdır. Azure platform hizmetlerinin güvenlik izleme ve denetim günlüğü, ölçeklenebilir bir çerçevenin temel bileşenlerinden biridir.
Güvenlik işlemleri tasarımında dikkat edilmesi gerekenler
| Kapsam | Bağlam |
|---|---|
| Güvenlik uyarıları | - Hangi takımlar güvenlik uyarıları için bildirim gerektirir? - Uyarıların farklı ekiplere yönlendirilmesi gereken hizmet grupları var mı? - Gerçek zamanlı izleme ve uyarı için iş gereksinimleri. - Bulut için Microsoft Defender ve Microsoft Sentinel ile güvenlik bilgileri ve olay yönetimi tümleştirmesi. |
| Güvenlik günlükleri | - Denetim verileri için veri saklama süreleri. Microsoft Entra Id P1 veya P2 raporları 30 günlük saklama süresine sahiptir. - Azure etkinlik günlükleri, sanal makine (VM) günlükleri ve hizmet olarak platform (PaaS) günlükleri gibi günlüklerin uzun süreli arşivlenmesi. |
| Güvenlik denetimleri | - Konuk içi Azure VM ilkesi aracılığıyla temel güvenlik yapılandırması. - Güvenlik denetimlerinizin idare korumalarıyla nasıl uyumlu olacağını göz önünde bulundurun. |
| Güvenlik açığı yönetimi | - Kritik güvenlik açıkları için acil düzeltme eki uygulama. - Uzun süre çevrimdışı olan VM'ler için düzeltme eki uygulama. - VM'lerin güvenlik açığı değerlendirmesi. |
| Paylaşılan sorumluluk | - Takım sorumlulukları için iletimler nerede? Güvenlik olaylarını izlerken veya yanıtlarken bu sorumlulukların dikkate alınması gerekir. - Güvenlik işlemleri için güvenli metodolojisindeki yönergeleri göz önünde bulundurun. |
| Şifreleme ve anahtarlar | - Ortamdaki anahtarlara kimlerin erişmesi gerekir? - Anahtarların yönetiminden kim sorumlu olacak? - Şifrelemeyi ve anahtarları daha fazla keşfedin. |
| Kanıtlama | - VM'leriniz için Güvenilen Başlatma'yı kullanacak ve VM'nizin tüm önyükleme zincirinin bütünlüğünü kanıtlamanız mı gerekiyor (UEFI, işletim sistemi, sistem ve sürücüler)? - Gizli VM'leriniz için gizli disk şifrelemeden yararlanmak istiyor musunuz? - İş yüklerinizin güvenilir bir ortamda çalıştırıldığını kanıtlaması gerekiyor mu? |
Güvenlik işlemleri tasarım önerileri
Erişim denetimi denetim raporları oluşturmak için Microsoft Entra ID raporlama özelliklerini kullanın.
Uzun süreli veri saklama için Azure etkinlik günlüklerini Azure İzleyici Günlüklerine aktarın. Gerekirse iki yıldan uzun süreli depolama için Azure Depolama'a aktarın.
Tüm abonelikler için Bulut için Defender standardı etkinleştirin ve uyumluluğu sağlamak için Azure İlkesi kullanın.
Azure İzleyici Günlükleri ve Bulut için Microsoft Defender aracılığıyla temel işletim sistemi kaymasını izleyin.
Vm uzantıları aracılığıyla yazılım yapılandırmalarını otomatik olarak dağıtmak ve uyumlu bir temel VM yapılandırması uygulamak için Azure ilkelerini kullanın.
Azure İlkesi aracılığıyla VM güvenlik yapılandırması kaymalarını izleyin.
Varsayılan kaynak yapılandırmalarını merkezi bir Azure İzleyici Log Analytics çalışma alanına Bağlan.
Günlük odaklı, gerçek zamanlı uyarılar için Azure Event Grid tabanlı bir çözüm kullanın.
Kanıtlama için Azure Doğrulama kullanın:
- VM'nizin tüm önyükleme zincirinin bütünlüğü. Daha fazla bilgi için bkz . Önyükleme bütünlüğü izlemeye genel bakış.
- Gizli bir VM için gizli disk şifreleme anahtarlarının güvenli sürümü. Daha fazla bilgi için bkz . Gizli işletim sistemi disk şifrelemesi.
- Çeşitli iş yükü güvenilen yürütme ortamları türleri. Daha fazla bilgi için bkz . Kullanım örnekleri.
Erişim denetimi tasarımında dikkat edilmesi gerekenler
Modern güvenlik sınırları, geleneksel bir veri merkezinde bulunan sınırlardan daha karmaşıktır. Veri merkezinin dört duvarı artık varlıklarınızı içermiyor. Kullanıcıları korumalı ağ dışında tutmak artık erişimi denetlemek için yeterli değildir. Bulutta çevreniz iki bölümden oluşur: ağ güvenlik denetimleri ve Sıfır Güven erişim denetimleri.
Gelişmiş ağ güvenliği
| Kapsam | Bağlam |
|---|---|
| Gelen ve giden İnternet bağlantısını planlama | Genel İnternet'e ve genel İnternet'ten gelen ve giden bağlantı için önerilen bağlantı modellerini açıklar. |
| Giriş bölgesi ağ segmentasyonu için planlama | Giriş bölgesi içinde yüksek oranda güvenli iç ağ segmentasyonu sunmak için önemli önerileri keşfeder. Bu öneriler ağ sıfır güven uygulamasını yönlendirir. |
| Ağ şifreleme gereksinimlerini tanımlama | Şirket içi ile Azure arasında ve Azure bölgeleri arasında ağ şifrelemesi elde etmek için temel önerileri keşfeder. |
| Trafik incelemesini planlama | Azure Sanal Ağ içindeki trafiği yansıtmak veya dokunmak için önemli konuları ve önerilen yaklaşımları keşfeder. |
Sıfır Güven
Kimliklerle Sıfır Güven erişim için şunları göz önünde bulundurmanız gerekir:
- Hangi ekipler veya kişiler giriş bölgesi içindeki hizmetlere erişim gerektirir? Hangi rolleri kullanıyorlar?
- Erişim isteklerini kim yetkilendirmeli?
- Ayrıcalıklı roller etkinleştirildiğinde bildirimleri kimler almalıdır?
- Denetim geçmişine kimlerin erişimi olmalıdır?
Daha fazla bilgi için bkz . Microsoft Entra Privileged Identity Management.
Sıfır Güven uygulamak yalnızca kimlik ve erişim yönetiminin ötesine geçebilir. Kuruluşunuzun altyapı, veri ve ağ gibi birden çok yapıda Sıfır Güven uygulamaları uygulaması gerekip gerekmediğini göz önünde bulundurmalısınız. Daha fazla bilgi için bkz. Giriş bölgenizde Sıfır Güven uygulamalarını birleştirme
Erişim denetimi tasarım önerileri
Temel gereksinimleriniz bağlamında, gerekli her hizmetin ortak bir incelemesini yapın. Kendi anahtarlarınızı getirmek istiyorsanız, bu anahtarlar tüm dikkate alınması gereken hizmetlerde desteklenmeyebilir. Tutarsızlıkların istenen sonuçları engellememesi için ilgili azaltmayı uygulayın. Gecikme süresini en aza indiren uygun bölge çiftlerini ve olağanüstü durum kurtarma bölgelerini seçin.
Güvenlik yapılandırması, izleme ve uyarılar gibi hizmetleri değerlendirmek için bir güvenlik izin listesi planı geliştirin. Ardından bunları mevcut sistemlerle tümleştirmek için bir plan oluşturun.
Azure hizmetlerini üretim ortamına taşımadan önce olay yanıt planını belirleyin.
Yeni yayınlanan güvenlik denetimleriyle güncel kalmak için güvenlik gereksinimlerinizi Azure platformu yol haritalarıyla uyumlu hale getirme.
Uygun durumlarda Azure platformuna erişim için sıfır güven yaklaşımı uygulayın.
Azure giriş bölgesi hızlandırıcısında güvenlik
Güvenlik, Azure giriş bölgesi hızlandırıcısının merkezinde yer alır. Uygulamanın bir parçası olarak, kuruluşların hızla bir güvenlik temeli elde etmelerine yardımcı olmak için birçok araç ve denetim dağıtılır.
Örneğin, aşağıdakiler dahildir:
Araçları:
- Bulut için Microsoft Defender, standart veya ücretsiz katman
- Microsoft Sentinel
- Azure DDoS Ağ Koruması (isteğe bağlı)
- Azure Güvenlik Duvarı
- Web Uygulaması Güvenlik Duvarı (WAF)
- Privileged Identity Management (PIM)
Çevrimiçi ve şirkete bağlı giriş bölgeleri için ilkeler:
- Depolama hesaplarına HTTPS gibi güvenli erişimi zorunlu kılma
- Azure SQL Veritabanı için denetimi zorunlu kılma
- Azure SQL Veritabanı için şifrelemeyi zorunlu kılma
- IP iletmeyi engelleme
- İnternet'ten gelen RDP'leri engelleme
- Alt ağların NSG ile ilişkilendirildiğinden emin olun
Sonraki adımlar
Microsoft Entra Id'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlamayı öğrenin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin