Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bulut altyapınızı oluştururken ve iş yüklerini taşırken, sağlam güvenlik mekanizmaları ve uygulamaları oluşturmak çok önemlidir. Bu yaklaşım, iş yüklerinizin başlangıçtan itibaren güvenli olmasını sağlar ve iş yükleri üretime geçtikten sonra güvenlik açıklarını giderme gereksinimini önler. İş yüklerinin tutarlı ve en iyi yöntemlere göre derlenmesini sağlamak için Benimseme aşamasında güvenliğin önceliğini belirleyin. Yerleşik güvenlik uygulamaları, iyi tasarlanmış ilkeler ve yordamlar aracılığıyla BT ekiplerini bulut operasyonlarına da hazırlar.
İş yüklerini buluta geçirirken veya tamamen yeni bir bulut varlığı oluştururken bu makaledeki yönergeleri uygulayabilirsiniz. Bulut Benimseme Çerçevesi Adopt metodolojisi Migrate, Modernize ve Cloud-native metodolojilerini içerir. Bulut yolculuğunuzun Kabul etme aşamasında hangi yolu izlerseniz izleyin, bulut varlığınızın temel bileşenlerini oluşturup iş yüklerinizi oluştururken veya taşırken bu makaledeki önerileri göz önünde bulundurmanız çok önemlidir.
Bu makale, Benimseme metodolojisi için destekleyici bir kılavuzdur. Yolculuğunuzda bu aşamada ilerlediğinizde göz önünde bulundurmanız gereken güvenlik iyileştirmesi alanları sağlar.
Güvenlik duruşu modernleştirme benimsemesi
Benimseme aşamasının bir parçası olarak güvenlik duruşunuzu modernleştirmeye çalışırken aşağıdaki önerileri göz önünde bulundurun:
Güvenlik temelleri: Geliştirme için net ve sağlam bir temel oluşturmak için kullanılabilirlik gereksinimlerini içeren güvenlik temellerini tanımlayın. Zaman kazanmak ve ortamlarınızı analiz etmede insan hatası riskini azaltmak için kullanıma açık bir güvenlik temeli çözümleme aracı kullanın.
Otomasyonu benimseyin: İnsan hatası riskini azaltmak ve tutarlılığı geliştirmek için rutin görevleri yönetmek için otomasyon araçlarını kullanın. Yük devretme ve kurtarma yordamlarını otomatikleştirebilen bulut hizmetlerinden yararlanın. Otomatikleştirmeyi düşünebilirsiniz görevler şunlardır:
- Altyapı dağıtımları ve yönetimi
- Yazılım geliştirme yaşam döngüsü etkinlikleri
- Testing
- İzleme ve uyarı
- Scaling
Sıfır Güven erişim ve yetkilendirme denetimleri: Yalnızca yetkili personelin kritik sistemlere ve verilere erişimi olduğundan emin olmak için güçlü erişim denetimleri ve kimlik yönetimi sistemleri uygulayın. Bu yaklaşım, hizmetleri kesintiye uğratabilecek kötü amaçlı etkinlikler riskini azaltır. Kesin olarak zorlanan rol tabanlı erişim denetimlerini (RBAC) standartlaştırabilir ve hizmet kullanılabilirliğini kesintiye uğratabilecek yetkisiz erişimi önlemek için çok faktörlü kimlik doğrulaması gerektirir. Daha fazla bilgi için bkz. Sıfır Güven ile kimlik güvenliğini sağlama.
Değişiklik yönetimi kurumsallaştırması
Etkin benimseme ve değişiklik yönetimi (ACM) metodolojileri, erişim denetimlerinin başarılı bir şekilde uygulanmasını ve kurumsallaştırılmasını sağlamak için çok önemlidir. En iyi yöntem ve yöntemlerden bazıları şunlardır:
Prosci ADKAR Modeli: Bu model, başarılı bir değişiklik için beş temel yapı bloğuna odaklanır. Bu bileşenler Farkındalık, İstek, Bilgi, Beceri ve Pekiştiricidir. Kuruluşlar, her bir öğeyi ele alarak çalışanların erişim denetimleri gereksinimini anlamasını, değişikliği desteklemeye, gerekli bilgi ve becerilere sahip olmalarını ve değişikliği sürdürmek için sürekli destek almalarını sağlayabilir.
Kotter'ın 8 Aşamalı Değişiklik Modeli: Bu modelde, önde gelen değişiklik için sekiz adım özetlenmiştir. Bu adımlar arasında aciliyet duygusu oluşturma, güçlü bir koalisyon oluşturma, vizyon ve strateji geliştirme, vizyonla iletişim kurma, geniş tabanlı eylem için çalışanları güçlendirme, kısa vadeli kazançlar oluşturma, kazançları birleştirme ve kültüre yeni yaklaşımlar ekleme sayılabilir. Kuruluşlar, bu adımları izleyerek erişim denetimlerinin benimsenmesini etkili bir şekilde yönetebilir.
Lewin'in Değişim Yönetimi Modeli: Bu modelin Çözülme, Değişim ve Yeniden Donma şeklinde olan üç aşaması vardır. Çözülme aşamasında, kuruluşlar erişim denetimleri gereksinimini belirleyerek ve aciliyet duygusu oluşturarak değişikliğe hazırlanır. Değişiklik aşamasında yeni süreçler ve uygulamalar uygulanır. Yeniden Dondurma aşamasında, yeni uygulamalar sağlamlaştırılır ve kuruluş kültürüne entegre edilir.
Microsoft Benimseme ve değişiklik yönetimi çerçevesi: Bu çerçeve, başarı ölçütlerini tanımlayarak, paydaşlarla etkileşime geçerek ve kuruluşu hazırlayarak benimseme ve değişimi teşvik etmeye yönelik yapılandırılmış bir yaklaşım sağlar. Bu çerçeve ayrıca uygulamanın etkili olmasını sağlamak için başarıyı ölçer. Erişim denetimlerinin etkili bir şekilde benimsenmesini ve kurumsallaşmasını sağlamak için iletişim, eğitim ve desteğin önemini vurgular.
Kuruluşlar, bu ACM metodolojilerini ve en iyi uygulamaları ekleyerek erişim denetimlerinin çalışanlar tarafından uygulanmasını ve benimsenmesini sağlayabilir. Bu yaklaşım daha güvenli ve uyumlu bir kurumsal ortama neden olur.
Azure hizmetleri
Güzellik temeli oluşturma:Microsoft Güvenlik Puanı geliştirmeler için somut önerilerle temel oluşturmanıza yardımcı olabilir. Microsoft Defender XDR paketinin bir parçası olarak sağlanır ve birçok Microsoft ve Microsoft olmayan ürünlerin güvenliğini analiz edebilir.
Yapı dağıtım otomasyonu:Azure Resource Manager şablonları (ARM şablonları) ve Bicep, bildirim temelli söz dizimi kullanarak altyapıyı kod olarak (IaC) dağıtmak için Azure yerel araçlardır. ARM şablonları JSON dilinde yazılırken, Bicep etki alanına özgü bir dildir. Hem Azure Pipelines ya da GitHub Actions sürekli tümleştirme ve sürekli teslim (CI/CD) işlem hatlarıyla kolayca tümleştirebilirsiniz.
Terraform Azure'da tam olarak desteklenen bildirim temelli IaC aracıdır. Altyapıyı dağıtmak ve yönetmek için Terraform'u kullanabilir ve bunu CI/CD işlem hattınızla tümleştirebilirsiniz.
Bulut için Microsoft Defender kullanarak IaC
de yanlış yapılandırmaları keşfedebilirsiniz. Azure Dağıtım Ortamları:Deployment Ortamları geliştirme ekiplerinin proje tabanlı şablonları kullanarak hızla tutarlı uygulama altyapısı oluşturmasını sağlar. Bu şablonlar kurulum süresini en aza indirir ve güvenlik, uyumluluk ve maliyet verimliliğini en üst düzeye çıkarır. Dağıtım ortamı, önceden tanımlanmış aboneliklerde dağıtılan Azure kaynaklardan oluşan bir koleksiyondur. Geliştirme altyapısı yöneticileri kurumsal güvenlik ilkelerini zorunlu kılabilir ve önceden tanımlanmış bir dizi IaC şablonu sağlayabilir.
Geliştirme altyapısı yöneticileri, dağıtım ortamlarını katalog öğeleri olarak tanımlar. Katalog öğeleri catalog olarak adlandırılan bir GitHub veya Azure DevOps deposunda barındırılır. Katalog öğesi IaC şablonundan ve manifest.yml dosyasından oluşur.
Dağıtım ortamlarının oluşturulması için betik oluşturabilir ve ortamları program aracılığıyla yönetebilirsiniz. İş yükü odaklı ayrıntılı yönergeler için bkz. Azure Well-Architected Framework'ün IaC yaklaşımı.
Rutin görev otomasyonu:
Azure İşlevleri:Azure İşlevleri tercih ettiğiniz geliştirme dilini kullanarak görevleri otomatikleştirmek için kullanabileceğiniz sunucusuz bir araçtır. İşlevler, işlevlerinizi diğer hizmetlere bağlayan kapsamlı bir olay temelli tetikleyici ve bağlama kümesi sağlar. Ek kod yazmanız gerekmez.
Azure Otomasyonu: PowerShell ve Python, işletimsel görevleri otomatikleştirmek için popüler programlama dilleridir. Hizmetleri yeniden başlatma, günlükleri veri depoları arasında aktarma ve talebi karşılamak üzere altyapıyı ölçeklendirme gibi işlemleri gerçekleştirmek için bu dilleri kullanın. Bu işlemleri kodda ifade edebilir ve isteğe bağlı olarak çalıştırabilirsiniz. Tek tek, bu dillerin merkezi yönetim, sürüm denetimi veya çalıştırma geçmişini izleme platformu yok. Diller ayrıca izleme temelli uyarılar gibi olaylara yanıt vermek için yerel bir mekanizmaya sahip değildir. Bu özellikleri sağlamak için bir otomasyon platformuna ihtiyacınız vardır. Automation Azure ve Azure olmayan sistemler dahil olmak üzere bulut ve şirket içi ortamlarda PowerShell ve Python kodu barındırmak ve çalıştırmak için Azure barındırılan bir platform sağlar. PowerShell ve Python kodu bir Otomasyon runbook'unda depolanır. Otomasyonu şunlar için kullanın:
Runbook'ları isteğe bağlı olarak, zamanlamaya göre veya web kancası aracılığıyla tetikleme.
Çalışma geçmişi ve kayıt.
Gizli bilgiler deposunun entegrasyonunu sağla.
Kaynak denetimini tümleştirin.
Azure Güncelleştirme Yöneticisi:Update Manager sanal makinelerin güncelleştirmelerini yönetmek ve yönetmek için kullanabileceğiniz birleşik bir hizmettir. İş yükünüz genelinde Windows ve Linux güncelleştirme uyumluluğunu izleyebilirsiniz. Güncelleştirme Yöneticisi'ni kullanarak güncelleştirmeleri gerçek zamanlı olarak yükleyebilir veya tanımlı bir bakım penceresi içinde planlayabilirsiniz. Güncelleştirme Yöneticisi'ni kullanarak:
Tüm makine filonuzda uyumluluğu denetleyin.
Yinelenen güncelleştirmeleri zamanlayın.
Kritik güncelleştirmeleri dağıtın.
Azure Logic Apps ve Microsoft Power Automate: Onay akışları veya ChatOps tümleştirmeleri oluşturma gibi iş yükü görevlerini işlemek için özel dijital süreç otomasyonu (DPA) oluşturduğunuzda Logic Apps veya Power Automate kullanmayı göz önünde bulundurun. Yerleşik bağlayıcılardan ve şablonlardan iş akışları oluşturabilirsiniz. Logic Apps ve Power Automate aynı temel teknoloji üzerine kurulmuştur ve tetikleyici tabanlı veya zamana bağlı görevler için uygundur.
Automatic scaling: Birçok Azure teknolojisi yerleşik otomatik ölçeklendirme özelliklerine sahiptir. Ayrıca API'leri kullanarak diğer hizmetleri otomatik olarak ölçeklendirilecek şekilde programlayabilirsiniz. Daha fazla bilgi için bkz. Otomatik ölçeklendirme.
Azure İzleyici eylem grupları: Uyarı tetiklendiğinde otomatik olarak kendi kendini düzeltme işlemlerini çalıştırmak için Azure İzleyici eylem gruplarını kullanın. Runbook, Azure işlevi veya web kancası kullanarak bu işlemleri tanımlayabilirsiniz.
Olay hazırlığı ve müdahale süreçlerine uyum sağlama
Güvenli ağ segmentasyonu ve iyi tasarlanmış abonelik ve kaynak düzenlemesi ile giriş bölgenizi veya diğer platform tasarımınızı oluşturduktan sonra, olaya hazırlık ve yanıta odaklanarak uygulamaya başlayabilirsiniz. Bu aşamada, olay yanıtı planınız da dahil olmak üzere hazırlık ve yanıt mekanizmalarınızı geliştirmek, bulut varlıklarınızın ve operasyonel uygulamalarınızın iş hedefleriyle uyumlu olmasını sağlar. Bu hizalama, verimliliği korumak ve stratejik hedeflere ulaşmak için çok önemlidir. Benimseme aşaması, olaya hazırlık ve yanıta iki açıdan yaklaşmalıdır. Bu perspektifler tehdit hazırlığı ve risk azaltma ile altyapı ve uygulama güvenliğidir. Microsoft's Secure Future Initiative (SFI) gereksinimlerini gözden geçirin ve bunları değerlendirmelerinize ekleyin.
Tehdit hazırlığı ve risk azaltma
Tehdit algılama: Tehditleri gerçek zamanlı olarak algılamak için gelişmiş izleme araçları ve uygulamaları uygulayın. Bu uygulama, olağan dışı etkinlikler için uyarı sistemleri ayarlamayı ve genişletilmiş algılama ve yanıt (XDR) ile güvenlik bilgileri ve olay yönetimi (SIEM) çözümlerini tümleştirmeyi içerir. Daha fazla bilgi için bkz. Sıfır Güven tehdit koruması ve XDR.
Güvenlik açığı yönetimi: Sistemlerin ve uygulamaların bilinen tehditlere karşı korunduğundan emin olmak için düzeltme eki yönetimi ve güvenlik güncelleştirmeleri aracılığıyla güvenlik açıklarını düzenli olarak belirleyin ve azaltın.
Olay yanıtı: Güvenlik olaylarını hızlı bir şekilde ele almak ve kurtarmak için algılama, analiz ve düzeltme adımlarını içeren bir olay yanıt planı geliştirin ve koruyun. İş yükü odaklı yönergeler için bkz. Güvenlik olayı yanıtı için öneriler. Bu etkinlikleri daha verimli ve insan hatasına daha az eğilimli hale getirmek için risk azaltma etkinliklerini mümkün olduğunca otomatikleştirin. Örneğin, bir SQL enjeksiyonu algılarsanız, olayı sınırlamak için SQL'e tüm bağlantıları kilitleyen otomatik bir runbook veya iş akışınız olabilir.
Altyapı ve uygulama güvenliği
Güvenli dağıtım işlem hatları: Uygulamaların güvenli bir şekilde geliştirildiğinden, test edildiğinden ve dağıtıldığından emin olmak için tümleşik güvenlik denetimleriyle CI/CD işlem hatları oluşturun. Bu çözüm statik kod analizini, güvenlik açığı taramayı ve uyumluluk denetimlerini içerir. Daha fazla bilgi için bkz. Sıfır Güven geliştirici kılavuzu.
IaC dağıtımları: Özel durum olmadan tüm altyapıyı kod aracılığıyla dağıtın. Bu standardı yöneterek yanlış yapılandırılmış altyapı ve yetkisiz dağıtım riskini azaltın. Tüm IaC varlıklarını uygulama kodu varlıklarıyla birlikte kullanın ve yazılım dağıtımlarıyla aynı güvenli dağıtım uygulamalarını uygulayın.
Azure hizmetleri
Threat algılama ve yanıt otomasyonu:Microsoft Defender XDR içindeki otomatik araştırma ve yanıt işlevselliğiyle tehdit algılama ve yanıtlamayı otomatikleştirin.
IaC dağıtım güvenliği: Azure kaynaklarını tek ve uyumlu bir birim olarak yönetmek için deployment yığınlarını kullanın. Reddetme ayarlarını kullanarak kullanıcıların yetkisiz değişiklikler yapmasını engelleyin.
Gizlilik ilkesini benimseyin
CIA Triad gizlilik ilkesini benimsemeye yönelik ayrıntılı strateji ve uygulama planı hazır olduktan sonra, bir sonraki adım ACM'ye odaklanmaktır. Bu adım, şifreleme ve güvenli erişim denetimlerinin kurumsal bulut ortamında etkili bir şekilde uygulanmasını ve kurumsallaşmasını sağlamayı içerir. Benimseme aşamasında, aktarımdaki hassas verileri ve duran verileri korumak için veri kaybı önleme (DLP) önlemleri uygulanır. Uygulama, şifreleme çözümleri dağıtmayı, erişim denetimlerini yapılandırmayı ve tüm çalışanları veri gizliliği ve DLP ilkelerine bağlılığın önemi konusunda eğitmektir.
Şifreleme ve güvenli erişim denetimleri uygulama
Hassas bilgileri yetkisiz erişimden korumak için güçlü şifreleme ve güvenli erişim denetimleri uygulamanız çok önemlidir. Şifreleme, verilerin yetkisiz kullanıcılar tarafından okunamamasını sağlarken, erişim denetimleri belirli verilere ve kaynaklara kimlerin erişebileceğini düzenler. Dağıttığınız bulut hizmetlerinin şifreleme özelliklerini anlayın ve iş gereksinimlerinizi karşılamak için uygun şifreleme mekanizmalarını etkinleştirin.
İlişkili standartları birleştirme ve benimseme
Şifreleme ve erişim denetimlerinin tutarlı bir şekilde uygulanmasını sağlamak için ilişkili standartları geliştirmek ve benimsemek çok önemlidir. Kuruluşlar, şifreleme ve erişim denetimlerini kullanmak için açık yönergeler ve en iyi yöntemler oluşturmalı ve bu standartların tüm çalışanlara iletildiğinden emin olmalıdır. Örneğin, bir standart tüm hassas verilerin AES-256 şifrelemesi kullanılarak şifrelenmesini ve bu verilere erişimin yalnızca yetkili personelle kısıtlanması gerektiğini belirtebilir. Kuruluşlar, bu standartları ilkelerine ve yordamlarına ekleyerek kuruluş genelinde şifreleme ve erişim denetimlerinin tutarlı bir şekilde uygulanmasını sağlayabilir. Düzenli eğitim ve destek sağlamak, bu uygulamaları çalışanlar arasında daha da pekiştirir. Diğer örnekler şunlardır:
Güçlü şifreleme: Mümkün olduğunda veri depolarında şifrelemeyi etkinleştirin ve kendi anahtarlarınızı yönetmeyi göz önünde bulundurun. Bulut sağlayıcınız, veri deponuzun barındırıldığı depolama için durum şifrelemesi sunabilir ve Azure SQL Veritabanı'de şeffaf veri şifreleme gibi veritabanı şifrelemesini etkinleştirme seçeneği sunabilir. Mümkün olduğunda ek şifreleme katmanını uygulayın.
Erişim denetimleri: Tüm veri depolarına RBAC, Koşullu Erişim denetimleri, tam zamanında erişim ve yeterli erişim uygulayın. İzinleri düzenli olarak gözden geçirme uygulamasını standartlaştırın. Yapılandırma sistemlerine yazma erişimini kısıtlayın. Bu, yalnızca belirlenen bir otomasyon hesabı aracılığıyla değişikliklere izin verir. Bu hesap, genellikle Azure Pipelines bir parçası olarak kapsamlı inceleme işlemlerinden sonra değişiklikler uygular.
Standards adoption: Kuruluş, hassas bilgiler içeren tüm e-postaların Microsoft Purview Bilgi Koruması kullanılarak şifrelenmesini gerektiren bir standart geliştirebilir. Bu gereksinim, hassas verilerin iletim sırasında korunmasını ve yalnızca yetkili alıcılar tarafından erişilebilir olmasını sağlar.
Azure hizmetleri
SIEM ve SOAR çözümleri:Microsoft Sentinel SIEM ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) için akıllı ve kapsamlı bir çözüm sunan ölçeklenebilir, bulutta yerel bir SIEM'dir. Microsoft Sentinel, kuruluşunuza üst düzey bir genel bakışla tehdit algılama, araştırma, yanıt ve proaktif avcılık sağlar.
Azure encryption: Azure Azure SQL Veritabanı, Azure Cosmos DB ve Azure Data Lake gibi hizmetler için şifreleme sağlar. Desteklenen şifreleme modelleri hizmet tarafından yönetilen anahtarlarla sunucu tarafı şifreleme, Azure Key Vault müşteri tarafından yönetilen anahtarlar ve müşteri tarafından denetlenen donanımlarda müşteri tarafından yönetilen anahtarlar içerir. İstemci tarafı şifreleme modelleri, bir uygulama tarafından Azure'a gönderilmeden önce veri şifrelemesini destekler. Daha fazla bilgi için bkz. Azure şifrelemeye genel bakış.
Access denetim yönetimi:Microsoft Entra ID kapsamlı kimlik ve erişim yönetimi özellikleri sağlar. Yalnızca yetkili kullanıcıların hassas verilere erişebildiğinden emin olmak için çok faktörlü kimlik doğrulamasını, Koşullu Erişim ilkelerini ve çoklu oturum açmayı destekler.
Microsoft Entra ID Koruması oturum açma risklerini ve erişimi engellemek, sınamak, sınırlamak veya vermek için olağan dışı kullanıcı davranışlarını belirlemek için gelişmiş makine öğrenmesini kullanır. Kimlik güvenliğinin aşılmasını önlemeye yardımcı olur, kimlik bilgisi hırsızlığına karşı koruma sağlar ve kimlik güvenliği duruşunuzla ilgili içgörüler sağlar.
Kimlik için Microsoft Defender kuruluşunuz genelinde kimlik izlemenizin güvenliğini sağlamanıza yardımcı olan bulut tabanlı bir güvenlik kimliği tehdit algılama çözümüdür. Otomatik tehdit algılama ve yanıt mekanizmaları aracılığıyla kuruluşunuza yönelik gelişmiş tehditleri daha iyi tanımlamanıza, algılamanıza ve araştırmanıza yardımcı olabilir.
Azure gizli bilgi işlem: Bu hizmet işlenirken verileri korur. Kullanımdaki verileri yalıtmak ve korumak için donanım tabanlı güvenilir yürütme ortamlarını kullanır ve bulut yöneticilerinin bile verilere erişememesini sağlar.
Bütünlük ilkesini benimseyin
Benimseme aşamasında planlama ve tasarımlar gerçek dünya uygulamalarına dönüştürülmektedir. Veri ve sistem bütünlüğünü sağlamak için sistemlerinizi önceki aşamalarda geliştirdiğiniz standartlara göre oluşturun. Ayrıca ilgili protokoller ve yordamlar üzerinde mühendisleri, yöneticileri ve operatörleri eğitin.
Veri bütünlüğünü benimseme
Veri sınıflandırması: Mümkün olduğunda otomasyon aracılığıyla ve gerektiğinde el ile veri sınıflandırma çerçevenizi uygulayın. Veri sınıflandırmanızı otomatikleştirmek ve hassas bilgileri tanımlamak için kullanıma açık araçları kullanın. Doğru sınıflandırmayı sağlamak için belgeleri ve kapsayıcıları el ile etiketle. Duyarlılık oluşturmak için bilgili kullanıcıların uzmanlığından yararlanarak analiz için veri kümeleri oluşturun.
Veri doğrulama ve doğrulama: Dağıttığınız hizmetlerdeki yerleşik doğrulama ve doğrulama işlevinden yararlanın. Örneğin, Azure Data Factory, verileri bir kaynaktan hedef depoya taşıdığınızda veri tutarlılığını doğrulamak için yerleşik bir işleve sahiptir. Aşağıdaki gibi uygulamaları benimsemeyi göz önünde bulundurun:
Verilerin aktarım sırasında bozulmadığından emin olmak için SQL'de CHECKSUM ve BINARY_CHECKSUM işlevlerini kullanma.
Tablolarda karmaları depolamak ve son değiştirilme tarihi değiştiğinde bu karmaları değiştiren alt yordamlar oluşturmak.
İzleme ve uyarı: İncelemelere yardımcı olmak için ayrıntılı değişiklik geçmişi bilgileriyle veri depolarınızı değişiklikler için izleyin. Uygun görünürlüğe sahip olduğunuzdan ve veri bütünlüğünü etkileyebilecek olaylar varsa verimli eylemler gerçekleştirebileceğinizden emin olmak için uyarıyı yapılandırın.
Yedekleme ilkeleri: Tüm uygun sistemlere yedekleme ilkeleri uygulayın. Hizmet olarak platform ve hizmet olarak yazılım servislerinin yedekleme yeteneklerini anlama. Örneğin, Azure SQL Veritabanı otomatik yedeklemeler içerir ve bekletme ilkesini gerektiği gibi yapılandırabilirsiniz.
Tasarım standartlarını paylaşın: Kuruluş genelinde veri bütünlüğü mekanizmalarını içeren uygulama tasarım standartlarını yayımlayın ve paylaşın. Tasarım standartları, yapılandırmayı ve veri değişikliklerini uygulama düzeyinde yerel olarak izleme ve bu geçmişi veri şemasına kaydetme gibi işlev dışı gereksinimleri içermelidir. Bu yaklaşım, veri şemasının, veri deposunun bir parçası olarak, veri geçmişi ve yapılandırma geçmişi hakkındaki ayrıntıları saklamasını zorunlu kılar ve bu da bütünlük izlemenizi güçlendirmek için standart günlüğe kaydetme mekanizmalarına ek olarak yapılır.
Sistem bütünlüğünü benimseme
Güvenlik izleme: Tüm kaynakları bulut varlığınıza otomatik olarak kaydetmek ve olaylar oluştuğunda uyarının etkinleştirildiğinden ve uygun ekiplere bildirecek şekilde yapılandırıldığından emin olmak için sağlam bir izleme çözümü kullanın.
Otomatik yapılandırma yönetimi: Yeni sistemleri otomatik olarak kaydeden ve yapılandırmalarınızı sürekli olarak yöneten bir yapılandırma yönetim sistemi dağıtın ve yapılandırın.
Otomatik düzeltme eki yönetimi: Yeni sistemleri otomatik olarak kaydeden ve ilkelerinize göre düzeltme eki uygulamayı yöneten bir düzeltme eki yönetim sistemi dağıtın ve yapılandırın. Bulut platformunuza yerel araçları tercih edin.
Azure hizmetleri
Veri sınıflandırma ve etiketleme:Microsoft Purview kuruluşunuzun yaşadığı her yerde verileri yönetmesine, korumasına ve yönetmesine yardımcı olabilecek sağlam bir çözüm kümesidir. El ile ve otomatik veri sınıflandırması ve duyarlılık etiketlemesi sunar.
Configuration management:Azure Arc, bulut tabanlı ve şirket içi sistemlerin yapılandırmalarını yönetmek için kullanabileceğiniz merkezi ve birleşik bir altyapı idaresi ve yönetim platformudur. Azure Arc kullanarak güvenlik temellerinizi Azure İlkesi, Bulut için Defender ilkelerinizden ve Güvenli Puan değerlendirmelerinden genişletebilir ve tüm kaynaklarınızı tek bir yerde günlüğe kaydedebilir ve izleyebilirsiniz.
Patch management:Azure Güncelleştirme Yöneticisi Azure, şirket içi ve çok bulutlu ortamlar için kullanabileceğiniz Windows ve Linux makineleri için birleşik bir güncelleştirme yönetimi çözümüdür. Azure İlkesi ve Azure Arc yönetilen makineler için yerleşik desteğe sahiptir.
Kullanılabilirlik ilkesini benimseme
Dayanıklı tasarım desenleri tanımlandıktan sonra kuruluşunuz benimseme aşamasına geçebilir. İş yükü kullanılabilirliği hakkında ayrıntılı yönergeler için Well-Architected Framework'ün Reliability sütununa ve Azure reliability belgelerine bakın. Bulut benimseme bağlamında, kullanılabilirliği destekleyen operasyonel uygulamaları oluşturma ve birleştirmeye odaklanılır.
Kullanılabilirliği desteklemek için operasyonel uygulamalar oluşturma
Yüksek oranda kullanılabilir bir bulut varlığını korumak için bulut sistemlerini çalıştıran ekiplerin standartlaştırılmış ve olgun uygulamalara uyması gerekir. Bu uygulamalar şunları içermelidir:
operasyonel süreklilik: Kuruluşlar, saldırı koşulları altında bile sürekli operasyon planlamalıdır. Bu yaklaşım, hızlı kurtarma için süreçler oluşturmayı ve tam kurtarma mümkün olana kadar kritik hizmetleri düşük düzeyde korumayı içerir.
Sağlam ve sürekli gözlemlenebilirlik: Bir kuruluşun güvenlik olaylarını olduğu gibi algılama özelliği, olay yanıtı planlarını hızlı bir şekilde başlatmasına olanak tanır. Bu strateji, iş etkilerini mümkün olduğunca en aza indirmeye yardımcı olur. Olay algılama yalnızca tehdit algılama için en iyi yöntemleri izleyen iyi tasarlanmış bir izleme ve uyarı sistemiyle mümkündür. Daha fazla bilgi için gözlemlenebilirlik kılavuzuna ve Güvenlik izleme ve tehdit algılama kılavuzuna bakın.
Proaktif bakım: İlkeler aracılığıyla sistem güncelleştirmelerini standartlaştırıp zorunlu kılın. Hizmetleri kesintiye uğratmadan sistemlere güncelleştirmeleri ve düzeltme eklerini uygulamak için düzenli bakım pencereleri zamanlayın. Tüm bileşenlerin en iyi şekilde çalıştığından emin olmak için düzenli sağlık denetimleri ve bakım etkinlikleri gerçekleştirin.
Standartlaştırılmış idare ilkeleri: Araç destekli ilkeler aracılığıyla tüm güvenlik standartlarını zorunlu kılma. Tüm sistemlerinizin varsayılan olarak iş gereksinimlerinizle uyumlu olduğundan ve ilkelerinizin kolayca denetlenebilir olduğundan emin olmak için bir ilke yönetim aracı kullanın.
Olağanüstü durum kurtarma hazırlığı: Bir olağanüstü durum oluştuğunda kurtarılabilir olduklarından emin olmak için iş yükleriniz için olağanüstü durum kurtarma planları geliştirin ve düzenli olarak test edin. Daha fazla bilgi için bkz . Olağanüstü durum kurtarma. Kurtarma etkinliklerini mümkün olduğunca otomatikleştirin. Örneğin, Azure SQL Veritabanı gibi hizmetlerde otomatik yük devretme özelliklerini kullanın.
Hizmet düzeyi sözleşmeleri: Bulut platformunuzun hizmetleri için sağladığı hizmet düzeyi sözleşmeleri (SLA' lar), iş yüklerinizin bileşenleri için garantili çalışma süresini anlamanıza yardımcı olur. Bu SLA'ları temel olarak kullanarak müşterilerinize sağladığınız SLA'lar için kendi hedef ölçümlerinizi geliştirin. Microsoft, tüm bulut hizmetleri için SLA'ları Çevrimiçi hizmetlerin SLA'ları adresinde yayımlar.
Uyumluluk gereksinimleri: Sistemlerin kullanılabilirlikle ilgili standartlar da dahil olmak üzere yüksek standartlarda tasarlanıp korundığından emin olmak için Genel Veri Koruma Yönetmeliği (GDPR) ve HIPAA gibi düzenlemelere uyun. Uyumsuzluk, iş operasyonlarını kesintiye uğratabilecek yasal eylemlere ve para cezalarına neden olabilir. Uyumluluk genellikle sistem yapılandırmasıyla sınırlı değildir. Uyumluluk çerçevelerinin çoğu risk yönetimi ve olay yanıtı standartlarını da gerektirir. operasyonel standartlarınızın çerçeve gereksinimlerini karşıladığından ve personelin düzenli olarak eğitildiğinden emin olun.
Azure hizmetleri
Politika ve uyumluluk yönetimi:
Azure İlkesi kuruluş standartlarını zorunlu kılmaya ve uygun ölçekte uyumluluğu değerlendirmeye yardımcı olan bir ilke yönetimi çözümüdür. Birçok Azure hizmeti için ilke zorlamasını otomatikleştirmek amacıyla yerleşik ilke tanımlarından yararlanın.
Bulut için Defender, güvenlik standartlarınız ile uyumluluğu otomatikleştirebilen güvenlik ilkeleri sağlar.
Operational süreklilik ve olağanüstü durum kurtarma: Birçok Azure hizmeti, işletimsel süreklilik ve olağanüstü durum kurtarma planlarınıza ekleyebileceğiniz yerleşik kurtarma özelliklerine sahiptir. Daha fazla bilgi için bkz. Azure services güvenilirlik kılavuzları.
Güvenlik sürdürülebilirliğini benimseme
Bulut benimsemenizin bir parçası olarak uygulamaya koyduğunuz güvenlik mekanizmalarının ve uygulamalarının yolculuğunuza devam ederken sürdürülebilir ve sürekli olarak geliştirilebileceğinden emin olmanıza yardımcı olmak için aşağıdaki önerileri göz önünde bulundurun:
Güvenlik gözden geçirme panosu oluşturma: Projeleri sürekli gözden geçirip güvenlik denetimlerini zorunlu hale getiren bir güvenlik gözden geçirme panosu oluşturun. İyileştirme alanlarını bulmak için süreçlerinizi düzenli olarak gözden geçirin. Güvenliğin herkes için her zaman en üst sırada olmasını sağlamak için süreçler geliştirin.
Güvenlik açığı yönetimi çözümü uygulama: Güvenlik açığı risk puanını izlemek için bir güvenlik açığı yönetim çözümü kullanın ve riski en aza indirmek için en yüksek risk puanına göre hareket etmek üzere tanımlanmış bir işleme sahip olun. En son yaygın güvenlik açıklarını ve maruz kalma risklerini izleyin. Düzeltme için bu azaltmaları düzenli olarak uygulamak için bir ilkeniz var.
Üretim altyapısını sağlamlaştırma: Altyapınızı sağlamlaştırarak bulut varlığınızın güvenliğini sağlayın. Altyapınızı endüstrinin en iyi uygulamalarına göre sağlamlaştırmak için İnternet Güvenliği Merkezi (CIS) karşılaştırmaları gibi karşılaştırma kılavuzlarını izleyin.
MITRE ATT&CK bilgi bankasını kullanın: Yaygın gerçek dünya saldırı taktikleri ve teknikleri için tehdit modelleri ve yöntemleri geliştirmeye yardımcı olması için MITRE ATT&CK bilgi bankasını kullanın.
Sola kaydır: Üretim öncesi ve üretim için farklı erişim düzeylerine sahip ayrılmış ortamlar kullanın. Bu yaklaşım, geliştirmenin tüm aşamalarına güvenlik endişeleri ekleyen ve daha düşük ortamlarda esneklik sağlayan sola kaydırmanıza yardımcı olur.
Azure hizmetleri
Vulnerability management:Microsoft Defender Güvenlik Açığı Yönetimi, en kritik varlıklarınızdaki en büyük güvenlik açıklarınızı tek bir çözümde tanımlamak, değerlendirmek, düzeltmek ve izlemek için kullanabileceğiniz kapsamlı bir risk tabanlı güvenlik açığı yönetim çözümüdür.