Aracılığıyla paylaş

giriş bölgenize Sıfır Güven uygulamaları dahil edin

  • Makale

Sıfır Güven, aşağıdaki güvenlik ilkelerine uymak için ürünleri ve hizmetleri tasarımınıza ve uygulamanıza dahil ettiğiniz bir güvenlik stratejisidir:

  • Açıkça doğrulayın: Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme erişimi.

  • En az ayrıcalıklı erişimi kullanma: Kullanıcıları yeterli erişimle sınırlayın ve uyarlamalı risk tabanlı ilkelerle ilgili dikkat edilmesi gerekenleri içeren tam zamanında erişim sağlamak için araçları kullanın.

  • İhlal olduğunu varsayın: Patlama yarıçapını ve segment erişimini en aza indirin, tehditleri proaktif olarak arayın ve savunmayı sürekli geliştirin.

Kuruluşunuz Sıfır Güven stratejisine bağlı kalırsa giriş bölgesi tasarım alanlarınıza Sıfır Güven özel dağıtım hedeflerini dahil etmelisiniz. Giriş bölgeniz Azure'daki iş yüklerinizin temelini oluşturur, bu nedenle giriş bölgenizi Sıfır Güven benimseme için hazırlamanız önemlidir.

Bu makale, Sıfır Güven uygulamaları giriş bölgenizle tümleştirmeye yönelik rehberlik sağlar ve Sıfır Güven ilkelerine bağlı kalmanın giriş bölgeniz dışındaki çözümleri nereye gerektirdiğini açıklar.

Sıfır Güven sütunları ve giriş bölgesi tasarım alanları

Azure giriş bölgesi dağıtımınızda Sıfır Güven uygulamaları uyguladığınızda, her giriş bölgesi tasarım alanı için Sıfır Güven kılavuzunu göz önünde bulundurarak başlamalısınız.

Giriş bölgesi tasarlama hakkında dikkat edilmesi gerekenler ve her alandaki kritik kararlar için yönergeler için bkz . Azure giriş bölgesi tasarım alanları.

Sıfır Güven modeli, kavramlara ve dağıtım hedeflerine göre düzenlenmiş sütunlara sahiptir. Daha fazla bilgi için bkz. Sıfır Güven çözümleri dağıtma.

Bu sütunlar, kuruluşların Sıfır Güven ilkeleriyle uyumlu hale getirmelerine yardımcı olan belirli dağıtım hedefleri sağlar. Bu hedefler teknik yapılandırmaların ötesine geçer. Örneğin, ağ sütununun ağ segmentasyonu için bir dağıtım hedefi vardır. Amaç, Azure'da yalıtılmış ağları yapılandırma hakkında bilgi sağlamaz, bunun yerine mimari deseni oluşturmaya yönelik yönergeler sunar. Dağıtım hedefi uygularken dikkate almanız gereken başka tasarım kararları da vardır.

Aşağıdaki diyagramda giriş bölgesi tasarım alanları gösterilmektedir.

Azure giriş bölgesinin mimarisini gösteren diyagram.

Aşağıdaki tablo, Sıfır Güven sütunlarını mimaride gösterilen tasarım alanlarıyla ilişkilendirmektedir.

Gösterge Giriş bölgesi tasarım alanı Sıfır Güven sütunu
A harfi Azure faturalama ve Microsoft Entra kiracısı Kimlik sütunu
B harfi Kimlik ve erişim yönetimi Kimlik sütunu,
Uygulamalar sütunu,
Veri sütunu
C harfi Kaynak kuruluşu Kimlik sütunu
C harfi D harfi İdare Görünürlük, otomasyon ve düzenleme sütunu
D harfi G harfi H harfi Yönetim Uç noktalar sütunu,
Uygulamalar sütunu,
Veri sütunu,
Altyapı sütunu
E harfi Ağ topolojisi ve bağlantı Ağlar sütunu
F harfi Güvenlik Tüm Sıfır Güven sütunları
I harfi Platform otomasyonu ve DevOps Görünürlük, otomasyon ve düzenleme sütunu

Sıfır Güven dağıtım hedeflerinin tümü giriş bölgesinin parçası değildir. Birçok Sıfır Güven dağıtım hedefi, tek tek iş yüklerini Azure'da tasarlamaya ve yayınlamaya yöneliktir.

Aşağıdaki bölümlerde her bir yapı gözden geçirilip dağıtım hedeflerini uygulamaya yönelik önemli noktalar ve öneriler sağlanır.

Güvenli kimlik

Kimliğin güvenliğini sağlamaya yönelik dağıtım hedefleri hakkında bilgi için bkz. Sıfır Güven ile kimlik güvenliğini sağlama. Bu dağıtım hedeflerini uygulamak için kimlik federasyonu, koşullu erişim, kimlik idaresi ve gerçek zamanlı veri işlemleri uygulayabilirsiniz.

Kimlikle ilgili dikkat edilmesi gerekenler

  • Mevcut kimlik platformunuzu Azure'a genişleten kaynakları dağıtmak ve Azure en iyi yöntemlerini uygulayarak kimlik platformunu yönetmek için Azure giriş bölgesi başvuru uygulamalarını kullanabilirsiniz.

  • Microsoft Entra kiracınızdaki Sıfır Güven uygulamalar için denetimlerin çoğunu yapılandırabilirsiniz. Ayrıca Microsoft 365'e ve Microsoft Entra Id kullanan diğer bulut hizmetlerine erişimi de denetleyebilirsiniz.

  • Yapılandırma gereksinimlerini Azure giriş bölgenizdekilerin ötesinde planlamanız gerekir.

Kimlik önerileri

  • Microsoft Entra Id'de Azure kaynaklarının ötesine giden kimlikleri yönetmek için bir plan geliştirin. Örneğin şunları kullanabilirsiniz:

    • Şirket içi kimlik sistemleriyle federasyon.
    • Koşullu erişim ilkeleri.
    • Yetkilendirme için kullanıcı, cihaz, konum veya davranış bilgileri.

  • Azure giriş bölgenizi etki alanı denetleyicileri gibi kimlik kaynakları için ayrı aboneliklerle dağıtarak kaynaklara daha iyi erişim sağlayabilirsiniz.

  • Mümkün olduğunda Microsoft Entra yönetilen kimliklerini kullanın.

Güvenli uç noktalar

Uç noktaların güvenliğini sağlamaya yönelik dağıtım hedefleri hakkında bilgi için bkz. Sıfır Güven ile uç noktaları güvenli hale getirme. Bu dağıtım hedeflerini uygulamak için şunları yapabilirsiniz:

  • Yalnızca bulut tarafından yönetilen uyumlu uç noktalar ve uygulamalar aracılığıyla kaynaklara erişim sağlamak için uç noktaları bulut kimliği sağlayıcılarına kaydedin.

  • Hem kurumsal cihazlar hem de kendi cihazını getir (KCG) programlarına kayıtlı kişisel cihazlar için veri kaybı önleme (DLP) ve erişim denetimi uygulayın.

  • Uç nokta tehdit algılama ile kimlik doğrulaması için cihaz riskini izleyin.

Uç nokta ile ilgili dikkat edilmesi gerekenler

  • Uç nokta dağıtım hedefleri dizüstü bilgisayarlar, masaüstü bilgisayarlar ve mobil cihazlar gibi son kullanıcı işlem cihazlarına yöneliktir.

  • Uç noktalar için Sıfır Güven uygulamaları benimsedikçe, Azure'da ve Azure dışında çözümler uygulamanız gerekir.

  • Dağıtım hedeflerini gerçekleştirmek için Microsoft Intune ve diğer cihaz yönetimi çözümleri gibi araçları kullanabilirsiniz.

  • Azure'da Azure Sanal Masaüstü gibi uç noktalarınız varsa, istemci deneyimini Intune'a kaydedebilir ve altyapıya erişimi kısıtlamak için Azure ilkeleri ve denetimleri uygulayabilirsiniz.

Uç nokta önerileri

  • Azure giriş bölgesi uygulama planlarınızın yanı sıra Sıfır Güven uygulamalarıyla uç noktaları yönetmek için bir plan geliştirin.

  • Cihazlar ve sunucular hakkında diğer bilgiler için bkz . Güvenli altyapı.

Uygulamaları güvenli hale getirme

Uygulamaların güvenliğini sağlamaya yönelik dağıtım hedefleri hakkında bilgi için bkz. Sıfır Güven ile uygulamaların güvenliğini sağlama. Bu dağıtım hedeflerini uygulamak için şunları yapabilirsiniz:

  • Uygulamalarda görünürlük elde etmek için API'leri kullanın.

  • Hassas bilgileri korumak için ilkeler uygulayın.

  • Uyarlamalı erişim denetimleri uygulama.

  • Gölge BT'nin erişim hızını sınırlayın.

Uygulamayla ilgili dikkat edilmesi gerekenler

  • Uygulamaların dağıtım hedefleri, kuruluşunuzdaki üçüncü taraf ve birinci taraf uygulamaları yönetmeye odaklanır.

  • Hedefler, uygulama altyapısının güvenliğini sağlamayı ele almaz. Bunun yerine, özellikle bulut uygulamaları olmak üzere uygulamaların tüketiminin güvenliğini sağlamayı ele alır.

  • Azure giriş bölgesi uygulamaları, uygulama hedefleri için ayrıntılı denetimler sağlamaz. Bu denetimler uygulama yapılandırmasının bir parçası olarak yapılandırılır.

Uygulama önerileri

  • Uygulamalara erişimi yönetmek için Bulut için Microsoft Defender Uygulamaları kullanın.

  • Uygulamalarınızı zorunlu kılmak için Bulut için Defender Uygulamalarında bulunan standartlaştırılmış ilkeleri kullanın.

  • Uygulama erişimi için uygulamalarınızı uygulamalarınıza eklemek için bir plan geliştirin. Kuruluşunuzun barındırdığını uygulamalara, üçüncü taraf uygulamalara güvenmekten daha fazla güvenmeyin.

Verilerin güvenliğini sağlama

Verilerin güvenliğini sağlamaya yönelik dağıtım hedefleri hakkında bilgi için bkz. Sıfır Güven ile verilerin güvenliğini sağlama. Bu hedefleri uygulamak için şunları yapabilirsiniz:

  • Verileri sınıflandırma ve etiketleme.
  • Erişim denetimini etkinleştirin.
  • Veri kaybı koruması uygulayın.

Veri kaynaklarını günlüğe kaydetme ve yönetme hakkında bilgi için bkz . Azure giriş bölgesi başvuru uygulamaları.

Sıfır Güven yaklaşımı, veriler için kapsamlı denetimler içerir. Microsoft Purview, bir uygulama stand noktasından veri idaresi, koruma ve risk yönetimi için araçlar sağlar. Microsoft Purview'u bulut ölçeğinde analiz dağıtımının bir parçası olarak kullanarak uygun ölçekte uygulayabileceğiniz bir çözüm sağlayabilirsiniz.

Verilerle ilgili dikkat edilmesi gerekenler

  • Giriş bölgesi aboneliği demokratikleştirme ilkesine uygun olarak, veri kaynakları için erişim ve ağ yalıtımı oluşturabilir ve ayrıca günlük uygulamaları oluşturabilirsiniz.

    Başvuru uygulamalarında veri kaynaklarını günlüğe kaydetmeye ve yönetmeye yönelik ilkeler vardır.

  • Dağıtım hedeflerine ulaşmak için Azure kaynaklarının güvenliğini sağlamanın ötesinde başka denetimlere ihtiyacınız vardır. Sıfır Güven veri güvenliği verileri sınıflandırmayı, duyarlılık için etiketlemeyi ve veri erişimini denetlemeyi içerir. Ayrıca veritabanı ve dosya sistemlerinin ötesine de genişletir. Microsoft Teams, Microsoft 365 Grupları ve SharePoint'te verileri korumayı göz önünde bulundurmanız gerekir.

Veri önerileri

  • Microsoft Purview veri idaresi, koruma ve risk yönetimi için araçlar sağlar.

  • İş yükünüzü büyük ölçekte uygulamak için bulut ölçeğinde analiz dağıtımının bir parçası olarak Microsoft Purview'u uygulayın.

Altyapının güvenliğini sağlama

Altyapının güvenliğini sağlamaya yönelik dağıtım hedefleri hakkında bilgi için bkz. Sıfır Güven ile altyapıyı güvenli hale getirme. Bu hedefleri uygulamak için şunları yapabilirsiniz:

  • İş yüklerindeki anormal davranışları izleme.
  • Altyapı kimliklerini yönetme.
  • İnsan erişimini sınırlayın.
  • Segment kaynakları.

Altyapı ile ilgili dikkat edilmesi gerekenler

  • Altyapı dağıtım hedefleri şunlardır:

    • Azure kaynaklarını yönetme.
    • İşletim sistemi ortamlarını yönetme.
    • Sistemlere erişme.
    • İş yüküne özgü denetimler uygulama.

  • Azure kaynaklarına açık güvenlik sınırları oluşturmak ve kaynak düzeyinde gerektiğinde sınırlı izinler atamak için giriş bölgesi abonelik modelini kullanabilirsiniz.

  • Kuruluşların iş yüklerini yönetim için düzenlemesi gerekir.

Altyapı önerileri

Güvenli ağlar

Ağların güvenliğini sağlamaya yönelik dağıtım hedefleri hakkında bilgi için bkz. Sıfır Güven ile ağları güvenli hale getirme. Bu hedefleri uygulamak için şunları yapabilirsiniz:

  • Ağ segmentasyonu uygulayın.
  • Bulutta yerel filtrelemeyi kullanın.
  • En az erişim ayrıcalığını uygulama.

Ağ konuları

  • Platform kaynaklarınızın Sıfır Güven güvenlik modelini desteklediğinden emin olmak için HTTPS trafik denetimi yapabilen güvenlik duvarları dağıtmanız ve kimlik ve yönetim ağ kaynaklarını merkezi merkezden yalıtmalısınız.

  • Bağlantı aboneliğindeki ağ kaynaklarına ek olarak, uç sanal ağlarındaki tek tek iş yüklerini mikro segmentlere ayırmak için planlar oluşturmanız gerekir. Örneğin, trafik desenleri tanımlayabilir ve her iş yükü ağı için ayrıntılı ağ güvenlik grupları oluşturabilirsiniz.

Ağ önerileri

Görünürlük, otomasyon ve düzenleme

Görünürlük, otomasyon ve düzenleme için dağıtım hedefleri hakkında bilgi için bkz. Sıfır Güven ile görünürlük, otomasyon ve düzenleme. Bu hedefleri uygulamak için şunları yapabilirsiniz:

  • Görünürlük sağlayın.
  • Otomasyonu etkinleştirin.
  • Sürekli iyileştirme uygulayarak ek denetimleri etkinleştirin.

Görünürlük, otomasyon ve düzenleme konusunda dikkat edilmesi gerekenler

  • Azure giriş bölgesi başvuru uygulamaları, Azure ortamınızda hızla görünürlük sağlamak için kullanabileceğiniz Microsoft Sentinel dağıtımlarını içerir.

  • Başvuru uygulamaları Azure günlüğü için ilkeler sağlar, ancak diğer hizmetler için ek tümleştirme gerekir.

  • Sinyal göndermek için Azure DevOps ve GitHub gibi otomasyon araçlarını yapılandırmanız gerekir.

Görünürlük, otomasyon ve düzenleme önerileri

  • Microsoft Sentinel'i Azure giriş bölgenizin bir parçası olarak dağıtın.

  • Microsoft Entra Id ve araçlardan gelen sinyalleri Microsoft 365 ile Microsoft Sentinel çalışma alanınızla tümleştirmek için bir plan oluşturun.

  • Tehdit avcılığı alıştırmaları ve sürekli güvenlik geliştirmeleri gerçekleştirmek için bir plan oluşturun.

Sonraki adımlar