Azure güvenliğine giriş

Güvenlik, günümüzün bulut ortamında kritik öneme sahiptir. Siber tehditler sürekli gelişir ve verilerinizi, uygulamalarınızı ve altyapınızı korumak için kapsamlı, çok katmanlı bir yaklaşım gerekir. Güvenlik, buluttaki bir iştir ve Azure güvenlik hakkında doğru ve zamanında bilgi bulmanız önemlidir.

Bu makalede, Azure ile sağlanan güvenlik bilgilerine kapsamlı bir bakış sunulmaktadır. Koruma, algılama ve yanıt özelliklerine göre düzenlenmiş Azure güvenliğinin uçtan uca görünümü için bkz. Azure'da Uçtan uca güvenlik.

Azure'un katmanlı güvenlik yaklaşımı

Azure, fiziksel veri merkezlerinden işlem, depolama, ağ, uygulamalar ve kimliğe kadar tüm yığında birden çok güvenlik koruması katmanı sağlayan derinlemesine savunma stratejisi kullanır. Bu çok katmanlı yaklaşım, bir katmanın güvenliği aşılırsa ek katmanların kaynaklarınızı korumaya devam etmesini sağlar.

Azure altyapısı, milyonlarca müşteriyi aynı anda güvenli bir şekilde barındırmak için fiziksel tesislerden uygulamalara kadar her şeyi kapsayan, baştan sona özenle hazırlanmıştır. Bu sağlam temel, işletmelerin güvenlik gereksinimlerini güvenle karşılamalarına yardımcı olur. Microsoft'un Azure platformunun güvenliğini nasıl sağlama hakkında bilgi için bkz. Azure altyapı güvenliği. Fiziksel veri merkezi güvenliğiyle ilgili ayrıntılar için bkz. Azure fiziksel güvenlik.

Azure; çok çeşitli işletim sistemlerini, programlama dillerini, çerçeveleri, araçları, veritabanlarını ve cihazları destekleyen genel bir bulut hizmeti platformudur. Docker tümleştirmesi ile Linux kapsayıcıları çalıştırabilir; JavaScript, Python, .NET, PHP, Java ve Node.jsile uygulama derleyin; iOS, Android ve Windows cihazlar için arka uçlar oluşturun. Azure genel bulut hizmetleri, milyonlarca geliştiricinin ve BT uzmanının zaten güvenip güvendiği teknolojileri destekler.

Yerleşik platform güvenliği

Azure, platformda yerleşik olarak bulunan ve kaynaklarınızın dağıtıldıkları andan itibaren korunmasına yardımcı olan varsayılan güvenlik korumaları sağlar. Azure platform güvenliği özellikleri hakkında kapsamlı bilgi için bkz. Azure platform güvenliğine genel bakış.

• Network Protection: Azure DDoS Koruması, kaynaklarınızı dağıtılmış hizmet reddi saldırılarına karşı otomatik olarak korur.
• Encryption by Default: Bekleyen veri şifrelemesi Azure Storage, SQL Veritabanı ve diğer birçok hizmet için varsayılan olarak etkinleştirilir.
• Identity Security: Microsoft Entra ID tüm Azure hizmetleri için güvenli kimlik doğrulaması ve yetkilendirme sağlar.
• Threat Detection: Yerleşik tehdit algılama, Azure kaynaklarınız genelindeki şüpheli etkinlikleri izler.
• Compliance: Azure sektördeki en büyük uyumluluk portföyünü koruyarak mevzuat gereksinimlerini karşılamanıza yardımcı olur.

Bu temel güvenlik denetimleri, temel koruma için ek yapılandırma gerektirmeden bulut altyapınızı korumak için arka planda sürekli çalışır.

Bulutta paylaşılan sorumluluk

Azure sağlam platform güvenliği sağlarken, bulutta güvenlik Microsoft ile sizin aranızda paylaşılan bir sorumluluktır. Sorumlulukların bölünmesi dağıtım modelinize (IaaS, PaaS veya SaaS) bağlıdır:

• Microsoft'un sorumluluğu: Azure fiziksel veri merkezleri, donanım, ağ altyapısı ve konak işletim sistemi dahil olmak üzere temel altyapının güvenliğini sağlar.
• Sizin sorumluluğunuzda: Verilerinizin, uygulamalarınızın, kimliklerinizin ve erişim yönetiminizin güvenliğini sağlamak sizin sorumluluğunuzdadır.

Sektör düzenlemelerine, veri duyarlılığına ve iş gereksinimlerine dayalı benzersiz güvenlik gereksinimleriyle her iş yükü ve uygulama farklıdır. burası Azure gelişmiş güvenlik hizmetlerinin rol oynadığı yerdir. Paylaşılan sorumluluk modeli hakkında daha fazla bilgi için bkz. Bulutta paylaşılan sorumluluk.

Note

Bu belgenin birincil odağı, uygulamalarınız ve hizmetleriniz için güvenliği özelleştirmek ve artırmak için kullanabileceğiniz müşteriye yönelik denetimlerdir.

Her iş yükü için gelişmiş güvenlik hizmetleri

Benzersiz güvenlik gereksinimlerinizi karşılamak için Azure, özel gereksinimlerinize göre yapılandırabileceğiniz ve özelleştirebileceğiniz kapsamlı bir gelişmiş güvenlik hizmetleri paketi sağlar. Bu hizmetler altı işlevsel alanda düzenlenmiştir: İşlemler, Uygulamalar, Depolama, Ağ, İşlem ve Kimlik. Kapsamlı güvenlik hizmetleri ve teknolojileri kataloğu için bkz. Azure güvenlik hizmetleri ve teknolojileri.

Buna ek olarak, Azure size çok çeşitli yapılandırılabilir güvenlik seçenekleri ve kuruluşunuzun dağıtımlarının benzersiz gereksinimlerini karşılayacak şekilde güvenliği özelleştirebilmeniz için bunları denetleme olanağı sağlar. Bu belge, Azure güvenlik özelliklerinin bu gereksinimleri karşılamanıza nasıl yardımcı olabileceğini anlamanıza yardımcı olur.

Azure güvenlik denetimlerinin ve temellerinin yapılandırılmış bir görünümü için bkz. Azure hizmetleri için kapsamlı güvenlik yönergeleri sağlayan Microsoft bulut güvenliği karşılaştırması. Azure teknik güvenlik özellikleri hakkında bilgi için bkz. Azure güvenlik teknik özellikleri.

İşlem güvenliği

Sanal makinelerinizin ve işlem kaynaklarınızın güvenliğini sağlamak, Azure iş yüklerinizi korumanın temelidir. Azure, donanım tabanlı korumalardan yazılım tabanlı tehdit algılamaya kadar birçok işlem güvenliği katmanı sağlar. Ayrıntılı sanal makine güvenlik bilgileri için bkz. Azure Virtual Machines güvenliğine genel bakış.

Güvenilir başlatma

Trusted launch yeni oluşturulan 2. Nesil Azure VM'ler ve Virtual Machine Scale Sets için varsayılan değerdir. Güvenilen başlatma, önyükleme setleri, rootkit'ler ve çekirdek düzeyinde kötü amaçlı yazılım gibi gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar.

Güvenilir başlatma şunları sağlar:

• Güvenli Önyükleme: Yalnızca imzalı işletim sistemlerinin ve sürücülerin önyüklenmesini sağlayarak kötü amaçlı yazılım tabanlı rootkit'lerin ve önyükleme setlerinin yüklenmesine karşı koruma sağlar
• vTPM (sanal Güvenilen Platform Modülü): Doğrulama ve önyükleme bütünlüğü doğrulaması sağlayan anahtarlar ve ölçümler için ayrılmış güvenli bir kasa
• Boot Bütünlük İzleme: Önyükleme zinciri bütünlüğünü doğrulamak ve hatalarda uyarı vermek için Microsoft Defender for Cloud aracılığıyla doğrulama kullanır

Mevcut VM'lerde ve Sanal Makine Ölçek Kümeleri'nde güvenilir başlatmayı etkinleştirebilirsiniz.

Gizli bilgi işlem Azure

Azure gizli bilgi işlem veri koruma bulmacasının son eksik parçasını sağlar. Beklemedeyken, ağ üzerinden hareket halindeyken ve şimdi, bellekte ve kullanımdayken bile verilerinizi her zaman şifrelenmiş tutmanızı sağlar. Uzaktan Kanıtlamayı mümkün hale getirerek, verilerinizin kilidini açmadan önce dağıttığınız VM'nin güvenli bir şekilde önyüklendiğini ve doğru yapılandırıldığını şifreli olarak doğrulamanıza da olanak tanır.

Seçeneklerin yelpazesi, mevcut uygulamaların "lift and shift" senaryolarının etkinleştirilmesinden güvenlik özelliklerinin tam denetimine kadar uzanıyor. Hizmet Olarak Altyapı (IaaS) için şunları kullanabilirsiniz:

• AMD SEV-SNP tarafından desteklenen gizli sanal makineler: 256 GB'a kadar şifrelenmiş belleğe sahip donanım tabanlı bellek şifrelemesi
• Intel TDX ile gizli VM'ler: Gelişmiş performans ve güvenlik sağlayan Intel Trust Etki Alanı Uzantıları
• NVIDIA H100 GPU'ları olan gizli VM'ler: AI/ML iş yükleri için GPU hızlandırmalı gizli bilgi işlem
• Intel SGX ile gizli uygulama kuşatmaları: Hassas kod ve veriler için uygulama düzeyinde yalıtım

Hizmet Olarak Platform (PaaS) için Azure, Azure Kubernetes Service (AKS) ile tümleştirmeler de dahil olmak üzere birden çok container tabanlı gizli bilgi işlem seçeneği sunar.

Kötü amaçlı yazılımdan koruma ve virüsten koruma

Azure IaaS ile, sanal makinelerinizi kötü amaçlı dosyalardan, reklam yazılımlarından ve diğer tehditlerden korumak için Microsoft, Symantec, Trend Micro, McAfee ve Kaspersky gibi güvenlik satıcılarından kötü amaçlı yazılımdan koruma yazılımı kullanabilirsiniz. Azure Virtual Machines için Microsoft Kötü Amaçlı Yazılımdan Koruma, virüsleri, casus yazılımları ve diğer kötü amaçlı yazılımları tanımlamaya ve kaldırmaya yardımcı olan bir koruma özelliğidir. Microsoft Kötü Amaçlı Yazılımdan Koruma, bilinen kötü amaçlı veya istenmeyen yazılımlar kendisini yüklemeye veya Azure sistemlerinizde çalıştırmaya çalıştığında yapılandırılabilir uyarılar sağlar. Ayrıca Microsoft Defender for Cloud kullanarak Microsoft Kötü Amaçlı Yazılımdan Koruma yazılımı da dağıtabilirsiniz.

Note

Modern bir koruma için, Microsoft Defender for Endpoint tümleştirmesi aracılığıyla uç nokta algılama ve yanıt (EDR) dahil olmak üzere, gelişmiş tehdit koruması sağlayan Sunucular için Microsoft Defender'ı düşünün.

Donanım güvenlik modülü

Şifreleme ve kimlik doğrulaması, anahtarların kendileri korunmadığı sürece güvenliği geliştirmez. Kritik gizli dizilerinizi ve anahtarlarınızı Azure Key Vault içinde depolayarak yönetimi ve güvenliğini basitleştirebilirsiniz. Key Vault anahtarlarınızı FIPS 140-3 Düzey 3 standartları sertifikalı donanım güvenlik modüllerinde (HSM) depolama seçeneği sunar. SQL Server şifreleme anahtarlarınızı yedek olarak saklayabilir veya uygulamalarınızdaki anahtarlar ya da gizli dizilerle birlikte şeffaf veri şifreleme için Key Vault'ta depolayabilirsiniz. Microsoft Entra ID bu korumalı öğelere izinleri ve erişimi yönetir.

Azure Key Vault, Yönetilen HSM ve Ödeme HSM dahil olmak üzere anahtar yönetim seçenekleri hakkında kapsamlı bilgi için bakınız Azure'da Anahtar Yönetimi.

Sanal makine yedekleme

Azure Backup, uygulama verilerinizi sıfır sermaye yatırımı ve en düşük işletim maliyetleriyle koruyan bir çözümdür. Uygulama hataları verilerinizi bozabilir ve insan hataları uygulamalarınıza güvenlik sorunlarına yol açabilecek hatalar verebilir. Azure Backup ile Windows ve Linux çalıştıran sanal makineleriniz korunur.

Azure Site Recovery

Kuruluşunuzun iş sürekliliği/olağanüstü durum kurtarma (BCDR) stratejisinin önemli bir parçası, planlı ve plansız kesintiler oluştuğunda kurumsal iş yüklerini ve uygulamaları çalışır durumda tutmayı bulmaktır. Azure Site Recovery, birincil konumunuz kapanırsa ikincil bir konumdan kullanılabilir olmaları için iş yüklerinin ve uygulamaların çoğaltılmasını, yük devretmesini ve kurtarılmasını düzenlemeye yardımcı olur.

SQL VM TDE

Saydam veri şifrelemesi (TDE) ve sütun düzeyinde şifreleme (CLE), SQL server şifreleme özellikleridir. Bu şifreleme biçimi, şifreleme için kullanılan şifreleme anahtarlarını yönetmenizi ve depolamanızı gerektirir.

Azure Key Vault (AKV) hizmeti, bu anahtarların güvenliğini ve yönetimini güvenli ve yüksek oranda kullanılabilir bir konumda geliştirmek için tasarlanmıştır. SQL Server Bağlayıcısı, SQL Server Azure Key Vault bu anahtarları kullanmasını sağlar.

şirket içi makinelerle SQL Server çalıştırıyorsanız, şirket içi SQL Server örneğinizden Azure Key Vault erişmek için adımları izleyebilirsiniz. Azure VM'lerdeki SQL Server için Azure Key Vault Tümleştirme özelliğini kullanarak zaman kazanabilirsiniz. Bu özelliği etkinleştirmek için birkaç Azure PowerShell cmdlet kullanarak SQL VM'sinin anahtar kasanıza erişmesi için gereken yapılandırmayı otomatikleştirebilirsiniz.

Veritabanı güvenliği en iyi yöntemlerinin kapsamlı bir listesi için bkz. Azure veritabanı güvenlik denetim listesi.

VM disk şifrelemesi

Önemli

Azure Disk Encryption September 15, 2028 tarihinde kullanımdan kaldırılıyor. Bu tarihe kadar Azure Disk Encryption kesinti olmadan kullanmaya devam edebilirsiniz. 15 Eylül 2028'de ADE özellikli iş yükleri çalışmaya devam edecek, ancak VM yeniden başlatıldıktan sonra şifrelenmiş disklerin kilidi açılamaz ve hizmet kesintisine neden olur.

Yeni VM'ler için ana makinede şifreleme kullanın veya gizli bilgi işlem iş yükleri için işletim sistemi disk şifrelemesi ile Gizli VM boyutlarını değerlendirin. Hizmet kesintisini önlemek için tüm ADE özellikli VM'lerin (yedeklemeler dahil) kullanımdan kaldırma tarihinden önce konakta şifrelemeye geçirilmesi gerekir. Ayrıntılar için bkz. Azure Disk Encryption'den ana bilgisayarda şifrelemeye geçiş.

Modern sanal makine şifrelemesi için Azure şunları sunar:

• Konakta şifreleme: Geçici diskler ve işletim sistemi/veri diski önbellekleri de dahil olmak üzere VM verileri için uçtan uca şifreleme sağlar.
• Gizli disk şifrelemesi: Donanım tabanlı şifreleme için gizli VM'lerde kullanılabilir.
• müşteri tarafından yönetilen anahtarlarla Sunucu tarafı şifreleme: Azure Key Vault veya Azure Key Vault Yönetilen HSM aracılığıyla kendi şifreleme anahtarlarınızı yönetin.

Daha fazla bilgi için bkz. Yönetilen disk şifreleme seçeneklerine genel bakış.

Sanal ağ

Sanal makinelerin ağ bağlantısına ihtiyacı vardır. Bu gereksinimi desteklemek için Azure sanal makinelerin bir Azure Virtual Network bağlanması gerekir. Azure Virtual Network, fiziksel Azure ağ dokusu üzerinde oluşturulmuş mantıksal bir yapıdır. Her mantıksal Azure Virtual Network diğer tüm Azure Sanal Ağlardan yalıtılır. Bu yalıtım, dağıtımlarınızdaki ağ trafiğinin diğer Microsoft Azure müşteriler tarafından erişilebilir olmamasını sağlamaya yardımcı olur.

Yama güncellemeleri

Düzeltme eki güncelleştirmeleri olası sorunları bulmak ve düzeltmek için temel sağlar ve yazılım güncelleştirme yönetimi sürecini basitleştirir. Kuruluşunuzda dağıtmanız gereken yazılım güncelleştirmelerinin sayısını azaltır ve uyumluluğu izleme becerinizi artırır.

Güvenlik ilkesi yönetimi ve raporlaması

Bulut için Defender tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Azure kaynaklarınızın güvenliğine yönelik daha fazla görünürlük ve denetim sağlar. Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar. Aksi takdirde farkında olunmayan tehditleri algılamaya yardımcı olur ve geniş bir güvenlik çözümleri ekosistemiyle çalışır.

Uygulama güvenliği

Uygulama güvenliği, geliştirmeden dağıtıma ve çalışma zamanına kadar uygulamalarınızı yaşam döngüleri boyunca tehditlerden korumaya odaklanır. Azure, uygulamaların güvenli geliştirilmesi, test edilmesi ve korunması için kapsamlı araçlar sağlar. Güvenli uygulama geliştirme kılavuzu için bkz. Azure üzerinde güvenli uygulamaları geliştirme. PaaS'a özgü en iyi güvenlik uygulamaları için bkz. PaaS dağıtımlarının güvenliğini sağlama. IaaS dağıtım güvenliği için bkz. Azure'da IaaS iş yükleri için en iyi güvenlik yöntemleri.

Sızma testi

Microsoft, uygulamanızın sızma testini gerçekleştirmez, ancak kendi uygulamalarınızda test gerçekleştirmeniz gerektiğini anlar. Artık kalem testi etkinliklerini Microsoft'a bildirmeniz gerekmez, ancak Yine de Microsoft Bulut Sızma Testi Görevlendirme Kuralları'na uymanız gerekir.

Web uygulaması güvenlik duvarı

Azure Application Gateway içindeki Web Application Firewall (WAF), web uygulamalarını SQL ekleme, siteler arası betik oluşturma ve oturum ele geçirme gibi yaygın web tabanlı saldırılara karşı korur. Open Web Application Security Project (OWASP) tarafından tanımlanan ilk 10 güvenlik açığına karşı savunmak için önceden yapılandırılmıştır.

Azure App Service kimlik doğrulaması ve yetkilendirme

App Service Kimlik Doğrulaması / Yetkilendirme , uygulamanızın kullanıcılarla oturum açması için bir yol sağlayan bir özelliktir, böylece uygulama arka uçtaki kodu değiştirmeniz gerekmez. Uygulamanızı korumak ve kullanıcı başına verilerle çalışmak için kolay bir yol sağlar.

Katmanlı güvenlik mimarisi

App Service OrtamlarıAzure Virtual Network dağıtılan yalıtılmış bir çalışma zamanı ortamı sağladığından, geliştiriciler her uygulama katmanı için farklı ağ erişimi düzeyleri sağlayan katmanlı bir güvenlik mimarisi oluşturabilir. API arka uçlarının genel İnternet erişiminden gizlenmesi ve api'lerin yalnızca yukarı akış web uygulamaları tarafından çağrılmalarına izin verme yaygın bir durumdur. API uygulamalarına genel erişimi kısıtlamak için App Service Ortamları içeren Azure Virtual Network alt ağlarda Network Güvenlik grupları (NSG) kullanabilirsiniz.

App Service web uygulamaları hem web sunucusundan hem de web uygulamasından günlükleri yakalamak için güçlü tanılama özellikleri sunar. Bu tanılamalar web sunucusu tanılamaları ve uygulama tanılamaları olarak kategorilere ayrılır. Web sunucusu tanılamaları, siteleri ve uygulamaları tanılamaya ve sorun gidermeye yönelik önemli ilerlemeleri içerir.

İlk yeni özellik uygulama havuzları, çalışan işlemleri, siteler, uygulama etki alanları ve çalışan istekleri hakkındaki gerçek zamanlı durum bilgileridir. İkinci yeni özellik, istek ve yanıt işleminin tamamında bir isteği izleyen ayrıntılı izleme olaylarıdır.

Bu izleme olaylarının toplanmasını etkinleştirmek için IIS 7'yi, belirli istekler için kapsamlı izleme günlüklerini XML biçiminde otomatik olarak yakalayacak şekilde yapılandırabilirsiniz. Koleksiyon, geçen süreyi veya hata yanıt kodlarını temel alabilir.

Depolama alanı güvenliği

Depolama güvenliği, bekleyen ve aktarımdaki verilerinizi korumak için gereklidir. Azure, verilerinizin güvende kalmasını sağlamak için birden çok şifreleme katmanı, erişim denetimleri ve izleme özellikleri sağlar. Veri şifreleme hakkında ayrıntılı bilgi için bkz. Azure şifrelemeye genel bakış. Anahtar yönetimi seçenekleri için bkz. Key management in Azure. Veri şifreleme en iyi yöntemleri için bkz. Azure veri güvenliği ve şifreleme en iyi yöntemleri.

Azure rol tabanlı erişim denetimi (Azure RBAC)

Azure rol tabanlı erişim denetimi (Azure RBAC) kullanarak depolama hesabınızın güvenliğini sağlayabilirsiniz. Veri erişimi için güvenlik ilkelerini zorunlu kılmak için, erişimi bilmek ve en az ayrıcalıklı güvenlik ilkelerine bağlı olarak kısıtlayın. Belirli bir kapsamdaki gruplara ve uygulamalara uygun Azure rolünü atayarak bu erişim haklarını verin. Kullanıcılara ayrıcalık atamak için Depolama Hesabı Katkıda Bulunanı gibi Azure yerleşik rolleri kullanın. Azure Resource Manager modelini Azure RBAC aracılığıyla kullanarak depolama hesabının depolama anahtarlarına erişimi denetleyebilirsiniz.

Paylaşılan erişim imzası

Paylaşılan erişim imzası (SAS), depolama hesabınızdaki kaynaklara temsilci erişimi sağlar. SAS kullanarak, bir istemciye depolama hesabınızdaki nesnelere belirli bir süre ve belirli bir izin kümesiyle sınırlı izinler vekleyebilirsiniz. Hesap erişim anahtarlarınızı paylaşmak zorunda kalmadan bu sınırlı izinleri verin.

Aktarım sırasında şifreleme

Aktarımdaki şifreleme, ağlar arasında iletilen verileri koruma mekanizmasıdır. Azure Storage kullanarak verilerin güvenliğini sağlayabilirsiniz:

• Transport düzeyi şifreleme, örneğin Azure Storage içine veya dışına veri aktarırken HTTPS.

• Hattı şifreleme, Azure Dosya paylaşımları için SMB 3.0 şifreleme gibi.

• İstemci tarafı şifrelemesi, verileri depolama alanına aktarilmeden önce şifrelemek ve depolama alanı dışına aktarıldıktan sonra verilerin şifresini çözmek için.

Durgun halde şifreleme

Birçok kuruluş için sabit veri şifreleme, veri gizliliği, uyumluluk ve veri hakimiyetine yönelik zorunlu bir adımdır. Üç Azure depolama güvenliği özelliği bekleyen verilerin şifrelenmesini sağlar:

• Depolama Hizmeti Şifreleme verileri Azure Storage yazarken otomatik olarak şifreler.

• İstemci tarafı şifrelemesi ayrıca veri dinlenirken şifreleme özelliğini de sağlar.

Depolama analizi

Azure Storage Analytics günlük kaydetme işlemi gerçekleştirir ve depolama hesabı için ölçümler verisi sağlar. Bu verileri istekleri izlemek, kullanım eğilimlerini analiz etmek ve depolama hesabınızla ilgili sorunları tanılamak için kullanabilirsiniz. Storage Analytics, bir depolama hizmetine yapılan başarılı ve başarısız isteklerle ilgili ayrıntılı bilgileri günlüğe kaydeder. Bu bilgileri tek tek istekleri izlemek ve bir depolama hizmetiyle ilgili sorunları tanılamak için kullanabilirsiniz. İstekler en iyi çaba temelinde günlüğe kaydedilir. Aşağıdaki türden kimliği doğrulanmış istekler kaydedilir:

• Başarılı istekler.
• Zaman aşımı, hız sınırlama, ağ, yetkilendirme ve diğer hatalar da dahil olmak üzere başarısız istekler.
• Başarısız ve başarılı istekler de dahil olmak üzere Paylaşılan Erişim İmzası (SAS) kullanan istekler.
• Analiz verilerine yönelik istekler.

CORS kullanarak tarayıcı tabanlı istemcileri etkinleştirme

Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), etki alanlarının birbirine birbirlerinin kaynaklarına erişim izni vermesini sağlayan bir mekanizmadır. Kullanıcı aracısı, belirli bir etki alanından yüklenen JavaScript kodunun başka bir etki alanında bulunan kaynaklara erişmesine izin verildiğinden emin olmak için ek üst bilgiler gönderir. Daha sonra, ikinci etki alanı, özgün etki alanının kaynaklarına erişimine izin veren veya reddeden ek başlıklarla yanıt verir.

Azure depolama hizmetleri artık CORS'i destekliyor. Hizmet için CORS kurallarını ayarladıktan sonra, farklı bir etki alanından hizmete yönelik doğrulanmış bir istek, belirttiğiniz kurallara göre izin verilip verilmeyeceğini belirlemek üzere değerlendirilir.

Ağ güvenliği

Ağ güvenliği, trafiğin Azure kaynaklarınıza nasıl aktığını denetler. Azure, temel güvenlik duvarından gelişmiş tehdit korumasına ve küresel yük dengelemeye kadar kapsamlı bir ağ güvenlik hizmetleri kümesi sağlar. Kapsamlı ağ güvenliği bilgileri için bkz. Azure ağ güvenliğine genel bakış. Ağ güvenliği için en iyi yöntemler için bkz. Azure ağ güvenliği en iyi yöntemleri.

Ağ katmanı denetimleri

Ağ erişim denetimi, belirli cihazlara veya alt ağlara veya alt ağlardan gelen bağlantıyı sınırlandırma eylemidir ve ağ güvenliğinin temelini temsil eder. Ağ erişim denetiminin amacı, sanal makinelerinizin ve hizmetlerinizin yalnızca yetkilendirildiğiniz kullanıcılar ve cihazlar için erişilebilir olduğundan emin olmaktır.

Ağ güvenlik grupları

Ağ Güvenlik Grubu (NSG), durum bilgisi olan temel bir paket filtreleme güvenlik duvarıdır. Beş ögeli bir küme olan "five-tuple" kullanılarak erişimi denetlemenizi sağlar. NSG'ler uygulama katmanı denetimi veya kimliği doğrulanmış erişim denetimleri sağlamaz. Bir Azure Virtual Network içindeki alt ağlar arasında hareket eden trafiği ve bir Azure Virtual Network ile İnternet arasındaki trafiği denetlemek için bunları kullanabilirsiniz.

Azure Firewall

Azure Firewall Azure çalışan bulut iş yükleriniz için tehdit koruması sağlayan bulutta yerel ve akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Durum bilgili hizmet olarak bir güvenlik duvarı olup, yerleşik yüksek kullanılabilirlik ve kısıtlamasız bulut ölçeklenebilirliğine sahiptir. Hem doğu-batı hem de kuzey-güney trafik denetimi sağlar.

Azure Firewall üç SKU'da sunulur: Temel, Standart ve Premium:

• Azure Firewall Basic - Küçük ve orta ölçekli işletmeler için tasarlanmıştır ve uygun bir fiyat noktasında temel koruma sunar.
• Azure Firewall Standard - Microsoft Cyber Security'den L3-L7 filtreleme, tehdit bilgileri akışları sağlar ve 30 Gb/sn'ye ölçeklendirilebilir.
• Azure Firewall Premium - Son derece hassas ve düzenlenmiş ortamlar için gelişmiş tehdit koruması:
  • TLS İncelemesi: Giden trafiğin şifresini çözer, tehditler için işler, ardından hedefe göndermeden önce yeniden şifreler.
  • IDPS (İzinsiz Giriş Algılama ve Önleme Sistemi): 50'den fazla kategoride 67.000'den fazla imzaya sahip imza tabanlı IDPS, günlük 20-40'tan fazla yeni kuralla güncelleştirildi.
  • URL Filtreleme: TÜM URL yolunu dikkate almak için FQDN filtrelemesini genişletir.
  • Gelişmiş Web Kategorileri: Hem HTTP hem de HTTPS trafiği için tam URL'leri temel alan iyileştirilmiş kategoriler.
  • Gelişmiş Performans: 10 Gb/sn yağ akışı desteğiyle 100 Gb/sn'ye kadar ölçeklendirilir.
  • PCI DSS Uyumluluğu: Ödeme Kartı Sektörü Veri Güvenliği Standart gereksinimlerini karşılar.

Azure Firewall Premium, fidye yazılımlarının şifreleme anahtarlarını almak için kullandığı Komuta ve Kontrol (C&C) bağlantısını algılayıp engelleyebildiğinden, fidye yazılımlarına karşı korunmak için gereklidir. Azure Firewall ile ransomware koruması hakkında daha fazla bilgi edinin.

Azure DDoS Koruması

Azure DDoS Koruması, uygulama tasarımı en iyi yöntemleriyle birlikte DDoS saldırılarına karşı savunmak için gelişmiş özellikler sunar. Sanal ağdaki belirli Azure kaynaklarınızı korumak için otomatik olarak ayarlanır. Korumayı etkinleştirmek yeni veya mevcut sanal ağlarda basittir ve uygulamalarınızda veya kaynaklarınızda değişiklik gerektirmez.

Azure DDoS Koruması iki katman sunar: DDoS Ağ Koruması ve DDoS IP Koruması.

• DDoS Ağ Koruması - Dağıtılmış Hizmet Reddi (DDoS) saldırılarına karşı savunmak için gelişmiş özellikler sağlar. 3. ve 4. ağ katmanlarında çalışır ve DDoS hızlı yanıt desteği, maliyet koruması ve Web Application Firewall (WAF) indirimleri gibi gelişmiş özellikler içerir.

• DDoS IP Koruması - Korumalı ip modeli başına ödeme uygular. DDoS Ağ Koruması ile aynı temel mühendislik özelliklerini içerir ancak DDoS hızlı yanıt desteği, maliyet koruması ve WAF indirimleri gibi ek hizmetleri sunmaz.

Yol denetimi ve zorlamalı tünel

Azure Sanal Ağlarınızdaki yönlendirme davranışını denetleme özelliği kritik bir ağ güvenliği ve erişim denetimi özelliğidir. Örneğin, Azure Virtual Network gelen ve giden tüm trafiğin bu sanal güvenlik gerecinden geçtiğinden emin olmak istiyorsanız, yönlendirme davranışını denetleyebilmeniz ve özelleştirebilmeniz gerekir. bu denetimi ve özelleştirmeyi, Azure User-Defined Yolları yapılandırarak yapabilirsiniz.

Kullanıcı Tanımlı Yollar, en güvenli yolu sağlamak için bireysel sanal makineler veya alt ağlara gelen ve giden trafik için yolları özelleştirmenize olanak sağlar. Zorlamalı tünel , hizmetlerinizin İnternet'te cihazlara bağlantı başlatmasına izin verilmediğinden emin olmak için kullanabileceğiniz bir mekanizmadır.

Bu kısıtlama, gelen bağlantıları kabul edip bunlara yanıt vermekten farklıdır. Ön uç web sunucularının İnternet konaklarından gelen isteklere yanıt vermesi gerekir. Bu nedenle, bu web sunucularına İnternet kaynaklı trafiğe izin verilir ve web sunucuları yanıt verebilir.

Genellikle, internet'e giden trafiği şirket içi güvenlik proxy'lerinden ve güvenlik duvarlarından geçirmek amacıyla zorlamalı tünelleme kullanın.

Sanal ağ güvenlik gereçleri

Ağ Güvenlik Grupları, Kullanıcı Tanımlı Yollar ve zorunlu tünelleme, OSI modelinin ağ ve aktarım katmanlarında size bir güvenlik düzeyi sağlarken, yığının üst düzeylerinde güvenliği etkinleştirmek isteyebileceğiniz durumlar olabilir. Bu gelişmiş ağ güvenlik özelliklerine bir Azure iş ortağı ağ güvenlik gereci çözümü kullanarak erişebilirsiniz. Azure Marketplace adresini ziyaret edip güvenlik ve network security araması yaparak en güncel Azure iş ortağı ağ güvenlik çözümlerini bulabilirsiniz.

Azure Sanal Ağ

Azure sanal ağı (VNet), buluttaki kendi ağınızın bir gösterimidir. Aboneliğinize ayrılmış Azure ağ dokusunun mantıksal yalıtımıdır. Bu ağ içindeki IP adres bloklarını, DNS ayarlarını, güvenlik ilkelerini ve yol tablolarını tam olarak denetleyebilirsiniz. Sanal ağınızı alt ağlara bölebilir ve Azure Sanal Ağlara Azure IaaS sanal makineleri (VM) yerleştirebilirsiniz.

Ayrıca, Azure'da sağlanan bağlantırma seçenekleri birini kullanarak sanal ağı şirket içi ağınıza bağlayabilirsiniz. Temelde, IP adresi blokları üzerinde tam kontrolle ve Azure'un sağladığı kurumsal ölçek avantajıyla ağınızı Azure'a genişletebilirsiniz.

Azure ağ çeşitli güvenli uzaktan erişim senaryolarını destekler. Bu senaryolardan bazıları şunlardır:

• Tek tek iş istasyonlarını bir Azure Virtual Network

• Şirket içi ağı bir VPN ile Azure Virtual Network’e bağlayın

• Yerel ağı, ayrılmış bir WAN bağlantısı ile Azure Sanal Ağı'na bağlayın

• Azure Sanal Ağlarını Birbirine Bağlayın

Azure Virtual Network Manager

Azure Virtual Network Manager sanal ağlarınızı büyük ölçekte yönetmek ve güvenli hale getirmek için merkezi bir çözüm sağlar. Kuruluşunuzun tamamında güvenlik ilkelerini merkezi olarak tanımlamak ve zorunlu kılmak için güvenlik yöneticisi kurallarını kullanır. Güvenlik yöneticisi kuralları, ağ güvenlik grubu (NSG) kurallarından önceliklidir ve sanal ağa uygulanır. Bu öncelik, kuruluşların temel ilkeleri güvenlik yöneticisi kurallarıyla zorunlu kılmasına olanak tanırken, aşağı akış ekiplerinin NSG'leri alt ağ ve NIC düzeylerindeki özel ihtiyaçlarına göre uyarlamasına olanak tanır.

Kuruluşunuzun gereksinimlerine bağlı olarak, güvenlik ilkelerini zorunlu kılmak için İzin Ver, Reddet veya Her Zaman İzin Ver kural eylemlerini kullanın:

Kural Eylemi	Description
İzin ver	Belirtilen trafiğe varsayılan olarak izin verir. Aşağı akış NSG'leri bu trafiği hala almaya devam eder ve reddedebilir.
Her Zaman İzin Ver	Düşük önceliğe veya NSG'lere sahip diğer kurallardan bağımsız olarak her zaman belirtilen trafiğe izin verin. İzleme aracısının, etki alanı denetleyicisinin veya yönetim trafiğinin engellenmediğinden emin olmak için bu kuralı kullanın.
Reddet	Belirtilen trafiği engelleyin. Aşağı akış NSG'leri bir güvenlik yöneticisi kuralı tarafından reddedildikten sonra bu trafiği değerlendirmez ve mevcut ve yeni sanal ağlar için yüksek riskli bağlantı noktalarınızın varsayılan olarak korunmasını sağlar.

Azure Virtual Network Manager network groups, güvenlik ilkelerinin merkezi yönetimi ve uygulanması için sanal ağları birlikte gruplandırmanıza olanak sağlar. Ağ grupları, topoloji ve güvenlik açısından gereksinimlerinize göre sanal ağların mantıksal bir gruplandırmasıdır. Ağ gruplarınızın sanal ağ üyeliğini el ile güncelleştirebilir veya ağ gruplarını dinamik olarak güncelleştirmek ve ağ grubu üyeliğinizi otomatik olarak güncelleştirmek için Azure Policy ile koşullu deyimleri tanımlayabilirsiniz.

Azure Private Link

Azure Private Link Azure PaaS Hizmetlerine (örneğin, Azure Storage ve SQL Veritabanı) erişmenize ve private uç noktası üzerinden sanal ağınızda özel olarak barındırılan müşteriye ait/iş ortağı hizmetlerine Azure olanak tanır. Azure Private Link kullanarak kurulum ve tüketim, Azure PaaS, müşteriye ait ve paylaşılan iş ortağı hizmetleri arasında tutarlıdır. Sanal ağınızdan Azure hizmetine gelen trafik her zaman Microsoft Azure omurga ağında kalır.

private uç noktaları kullanarak kritik Azure hizmet kaynaklarınızı yalnızca sanal ağlarınızla güvence altına alabilirsiniz. Azure Özel Uç Nokta, sizi Azure Private Link tarafından desteklenen bir hizmete özel ve güvenli bir şekilde bağlamak için sanal ağınızdan özel bir IP adresi kullanarak hizmeti sanal ağınıza etkili bir şekilde getirir. Sanal ağınızı genel İnternet'e ifşa etmek artık Azure hizmetleri kullanmak için gerekli değildir.

Sanal ağınızda kendi özel bağlantı hizmetinizi de oluşturabilirsiniz. Azure Private Link service Azure Private Link tarafından desteklenen kendi hizmetinize başvurudur. Azure Standard Load Balancer arkasında çalışan hizmetiniz, müşterilerinizin kendi sanal ağlarından hizmetinize özel bir bağlantı üzerinden erişebilmesi için Private Link erişimiyle etkinleştirilebilir. Müşterileriniz sanal ağlarında özel bir uç nokta oluşturabilir ve bunu bu hizmetle eşleyebilir. Hizmetleri Azure üzerinde işlemek için hizmetinizi genel İnternet'e sunmanız artık gerekli değildir.

VPN ağ geçidi

Azure Virtual Network ve şirket içi siteniz arasında ağ trafiği göndermek için Azure Virtual Network için bir VPN ağ geçidi oluşturmanız gerekir. VPN ağ geçidi, genel bağlantı üzerinden şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. VPN ağ geçitlerini, Azure ağ dokusu üzerinden Azure Sanal Ağlar arasında trafik göndermek için de kullanabilirsiniz.

ExpressRoute

Microsoft Azure ExpressRoute, bir bağlantı sağlayıcısı tarafından kolaylaştırılan ayrılmış bir özel bağlantı üzerinden şirket içi ağlarınızı Microsoft bulutuna genişletmenize olanak tanıyan özel bir WAN bağlantısıdır.

ExpressRoute ile Microsoft Azure ve Microsoft 365 gibi Microsoft bulut hizmetlerine bağlantı kurabilirsiniz. Bağlantının kaynağı herhangi iki ağ (IP VPN), noktadan noktaya Ethernet ağı veya ortak barındırma tesisindeki bağlantı sağlayıcısı aracılığıyla sanal çapraz bağlantı olabilir.

ExpressRoute bağlantıları genel İnternet üzerinden gitmez ve VPN tabanlı çözümlerden daha güvenlidir. Bu tasarım, ExpressRoute bağlantılarının İnternet üzerinden yapılan tipik bağlantılara göre daha fazla güvenilirlik, daha yüksek hız, daha düşük gecikme süresi ve daha yüksek güvenlik sunmasını sağlar.

Uygulama ağ geçidi

Microsoft Azure Application Gateway bir hizmet olarak Application Delivery Controller (ADC) sağlar ve uygulamanız için çeşitli katman 7 yük dengeleme özellikleri sunar.

Yoğun CPU kullanan TLS sonlandırmasını Application Gateway'e boşaltarak ( TLS boşaltma veya TLS köprü oluşturma olarak da bilinir) web grubu üretkenliğini iyileştirmenize olanak tanır. Ayrıca gelen trafiğin round-robin dağıtımı, çerez tabanlı oturum bağımlılığı, URL yolu tabanlı yönlendirme ve tek bir Uygulama Ağ Geçidi arkasında birden çok web sitesi barındırma gibi diğer Katman 7 yönlendirme özelliklerini de sağlar. Azure Application Gateway 7. katman yük dengeleyicidir.

Farklı sunucular arasında, bulut ortamında veya kurum içinde olmalarına bakılmaksızın, hata toleransı ve performans odaklı HTTP istek yönlendirmesi sağlar.

Uygulama, HTTP yük dengeleme, tanımlama bilgisi tabanlı oturum benzimliği, TLS boşaltma, özel sistem durumu yoklamaları, çoklu site desteği ve diğerleri gibi birçok Uygulama Teslim Denetleyicisi (ADC) özelliği sağlar.

Web uygulaması güvenlik duvarı

Web Application Firewall, standart Application Delivery Control (ADC) işlevleri için application gateway kullanan web uygulamalarını koruyan Azure Application Gateway özelliğidir. Web uygulaması güvenlik duvarı bunları OWASP'nin en yaygın 10 web güvenlik açığına karşı korur.

• SQL enjeksiyon koruması

• Komut ekleme, HTTP isteği kaçakçılığı, HTTP yanıt bölme ve uzak dosya ekleme gibi yaygın web saldırılarına karşı koruma

• HTTP protokolü ihlallerine karşı koruma

• HTTP protokolü anormalliklerine, örneğin eksik ana makine, kullanıcı aracısı ve kabul başlıklarına karşı koruma

• Robotlar, gezginler ve tarayıcıları önleme

• Yaygın uygulama yanlış yapılandırmalarının algılanması (örneğin, Apache, IIS)

Merkezi bir web uygulaması güvenlik duvarı (WAF), güvenlik yönetimini basitleştirir ve web saldırılarına karşı korumayı geliştirir. Yetkisiz erişim tehditlerine karşı daha iyi güvence sağlar ve her bir web uygulamasının güvenliğini sağlamak yerine bilinen güvenlik açıklarına merkezi olarak düzeltme eki uygulama yoluyla güvenlik tehditlerine daha hızlı yanıt verebilir. Mevcut uygulama ağ geçitlerini kolayca bir web uygulaması güvenlik duvarı içerecek şekilde yükseltebilirsiniz.

Azure Front Door

Azure Front Door hızlı, güvenli ve yaygın olarak ölçeklenebilir web uygulamaları oluşturmak için Microsoft'un genel uç ağını kullanan genel, ölçeklenebilir bir giriş noktasıdır. Front Door'un sağladığı:

• Genel yük dengeleme: Trafiği farklı bölgelerdeki birden çok arka uç arasında dağıtma
• Integrated Web Application Firewall: Yaygın web güvenlik açıklarına ve saldırılarına karşı koruma
• DDoS koruması: Dağıtılmış hizmet reddi saldırılarına karşı yerleşik koruma
• SSL/TLS boşaltma: Merkezi sertifika yönetimi ve trafik şifrelemesi
• URL tabanlı yönlendirme: URL desenlerine göre trafiği farklı arka uçlara yönlendirme

Front Door, içerik teslimi, uygulama hızlandırma ve güvenliği tek bir hizmette birleştirir.

Trafik yöneticisi

Microsoft Azure Traffic Manager farklı veri merkezlerindeki hizmet uç noktaları için kullanıcı trafiğinin dağıtımını denetlemenizi sağlar. Traffic Manager'ın desteklediği hizmet uç noktaları Azure VM'ler, Web Apps ve Bulut hizmetleridir. Traffic Manager'ı dış, Azure olmayan uç noktalarla da kullanabilirsiniz.

Traffic Manager, istemci isteklerini bir trafik yönlendirme yöntemine ve uç noktaların durumuna göre en uygun uç noktaya yönlendirmek için Etki Alanı Adı Sistemi'ni (DNS) kullanır. Traffic Manager, farklı uygulama gereksinimlerine, uç nokta sistem durumu izlemesine ve otomatik yük devretmeye uygun bir dizi trafik yönlendirme yöntemi sağlar. Traffic Manager, Azure bölgesinin tamamının başarısız olması da dahil olmak üzere hataya dayanıklıdır.

Azure Load Balancer (Yük Dengeleyici)

Azure Load Balancer uygulamalarınıza yüksek kullanılabilirlik ve ağ performansı sağlar. Gelen trafiği yük dengeli bir kümede tanımlanan hizmetlerin iyi durumdaki örnekleri arasında dağıtan bir Katman 4 (TCP, UDP) yük dengeleyicidir. Azure Load Balancer'ı yapılandırarak şunları yapabilirsiniz:

• Sanal makinelere gelen İnternet trafiğinin yük dengelemesi. Bu yapılandırma genel yük dengeleme olarak bilinir.

• Bir sanal ağdaki sanal makineler arasında, bulut hizmetlerindeki sanal makineler arasında veya şirket içi bilgisayarlar ile şirket içi sanal ağdaki sanal makineler arasında yük dengelemesi. Bu yapılandırma iç yük dengeleme olarak bilinir.

• Dış trafiği belirli bir sanal makineye iletme

İç DNS

Azure portalında veya ağ yapılandırma dosyasında bir sanal ağda kullanılan DNS sunucularının listesini yönetebilirsiniz. Her sanal ağ için en fazla 12 DNS sunucusu ekleyebilirsiniz. DNS sunucularını belirtirken, DNS sunucularınızı ortamınız için doğru sırada listelediğinizden emin olun. DNS sunucu listeleri döngüsel olarak çalışmaz. Bunlar, belirttiğiniz sırayla kullanılır. Listedeki ilk DNS sunucusuna ulaşılabilen istemci, DNS sunucusunun düzgün çalışıp çalışmadığına bakılmaksızın bu DNS sunucusunu kullanır. Sanal ağınızın DNS sunucusu sırasını değiştirmek için, DNS sunucularını listeden kaldırın ve istediğiniz sırayla yeniden ekleyin. DNS, "CIA" güvenlik üçlüsünün kullanılabilirlik yönünü destekler.

Azure DNS

Etki Alanı Adı Sistemi veya DNS, bir web sitesi veya hizmet adını IP adresine çevirmek (veya çözümlemek) ile sorumludur. Azure DNS, Microsoft Azure altyapısı kullanılarak ad çözümlemesi sağlayan DNS etki alanları için bir barındırma hizmetidir. Etki alanlarınızı Azure barındırarak, DNS kayıtlarınızı diğer Azure hizmetlerinizle aynı kimlik bilgilerini, API'leri, araçları ve faturalamayı kullanarak yönetebilirsiniz. DNS, "CIA" güvenlik üçlüsünün kullanılabilirlik yönünü destekler.

Azure Monitor NSG kayıtları

NSG'ler için aşağıdaki tanılama günlüğü kategorilerini etkinleştirebilirsiniz:

• Olay: MAC adresine göre VM'lere ve örnek rollerine NSG kurallarının uygulandığı girdileri içerir. Bu kuralların durumu her 60 saniyede bir toplanır.

• Kural sayacı: Trafiği reddetmek veya trafiğe izin vermek için her NSG kuralının kaç kez uygulandığına ilişkin girdiler içerir.

Microsoft Defender for Cloud

Microsoft Defender for Cloud ağ güvenliği en iyi yöntemleri için Azure kaynaklarınızın güvenlik durumunu sürekli olarak analiz eder. Bulut için Defender olası güvenlik açıklarını belirlediğinde, kaynaklarınızı sağlamlaştırmak ve korumak için gerekli denetimleri yapılandırma işleminde size yol gösteren öneriler oluşturur.

Gelişmiş Kapsayıcı Ağ Hizmetleri (ACNS)

Geldirilmiş Kapsayıcı Ağ Hizmetleri (ACNS) Azure Kubernetes Service (AKS) kümelerinizin operasyonel verimliliğini artırmak için tasarlanmış kapsamlı bir pakettir. Mikro hizmet altyapısını büyük ölçekte yönetmenin karmaşıklıklarını ele alan gelişmiş güvenlik ve gözlemlenebilirlik özellikleri sağlar.

Bu özellikler iki ana yapıya ayrılır:

• Güvenlik: Cilium tarafından desteklenen Azure CNI kullanan kümeler için ağ ilkeleri, yapılandırmayı korumanın karmaşıklıklarını çözmek için tam etki alanı adı (FQDN) filtrelemesini içerir.

• Gözlemlenebilirlik: Gelişmiş Kapsayıcı Ağ Hizmetleri paketinin bu özelliği, Hubble'ın kontrol düzleminin gücünü hem Cilium hem de Cilium olmayan Linux veri düzlemlerine getirerek ağ ve performans için gelişmiş görünürlük sağlar.

Güvenlik işlemleri ve yönetimi

güçlü bir güvenlik duruşu sağlamak için Azure ortamınızın güvenliğini yönetmek ve izlemek önemlidir. Azure güvenlik operasyonları, tehdit algılama ve olay yanıtı için kapsamlı araçlar sağlar. Güvenlik yönetimi ve izlemenin ayrıntılı kapsamı için bkz. Azure güvenlik yönetimine ve izlemeye genel bakış. operasyonel güvenlik en iyi yöntemleri için bkz. Azure operasyonel güvenlik en iyi yöntemleri. Kapsamlı bir operasyonel güvenliğe genel bakış için bkz. Azure operasyonel güvenliğe genel bakış.

Microsoft Sentinel

Microsoft Sentinel ölçeklenebilir, bulutta yerel güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunarak saldırı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sunar.

Microsoft Sentinel artık tüm müşteriler için Microsoft Defender portalında kullanılabilir ve iş akışlarını kolaylaştıran ve görünürlüğü geliştiren birleşik bir güvenlik operasyonları deneyimi sunar. Security Copilot ile tümleştirme, analistlerin doğal dil kullanarak Microsoft Sentinel verilerle etkileşim kurmasını, tehdit avcılığı sorguları oluşturmasını ve daha hızlı tehdit yanıtı için araştırmaları otomatikleştirmesini sağlar.

Microsoft Defender for Cloud

Microsoft Defender for Cloud Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim sağlayarak tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Microsoft Defender for Cloud, Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar, aksi takdirde gözlerden çıkabilecek tehditleri algılamaya yardımcı olur ve geniş bir güvenlik çözümleri ekosistemiyle çalışır.

Microsoft Defender for Cloud aşağıdakiler dahil olmak üzere iş yüküne özgü planlarla kapsamlı koruma sunar:

• sunucular için Defender - Windows ve Linux sunucuları için gelişmiş tehdit koruması
• Kapsayıcılar için Defender - Kapsayıcılı uygulamalar ve Kubernetes için güvenlik
• Depolama için Defender - Kötü amaçlı yazılım tarama ve hassas veri bulma ile tehdit algılama
• veritabanları için Defender - Azure SQL, Azure Database for MySQL ve PostgreSQL için koruma
• Döküm Araçları için Defender - Jailbreak girişimlerine, verilerin açığa çıkarma ve şüpheli erişim desenlerine karşı Döküm Araçları için çalışma zamanı koruması
• Defender CSPM - Saldırı yolu analizi, güvenlik yönetimi ve yapay zeka destekli güvenlik duruşu yönetimi ile Bulut Güvenliği Duruş Yönetimi

Ayrıca Bulut için Defender, size hemen harekete geçebileceğiniz uyarılar ve öneriler sunan tek bir pano sağlayarak güvenlik operasyonlarına yardımcı olur. Güvenlik Copilot entegrasyonu, risk düzeltmeyi hızlandırmak için yapay zeka tarafından üretilen özetler, düzeltme betikleri ve yetkilendirme yetenekleri sağlar.

Azure genelinde kapsamlı tehdit algılama özellikleri için bkz. Azure tehdit koruması.

VM disk şifrelemesi

Varsayılan olarak, konakta şifreleme , IaaS sanal makine disklerinizi şifrelemenize yardımcı olur. FIPS 140-2 uyumlu olan AES 256 şifrelemesini kullanarak VM konak düzeyinde sunucu tarafı şifreleme sağlar. Bu şifreleme VM CPU kaynakları kullanılmadan gerçekleşir ve geçici diskler, işletim sistemi/veri diski önbellekleri ve Azure Storage veri akışları için uçtan uca şifreleme sağlar. Varsayılan olarak, ek yapılandırma gerektirmeden platform tarafından yönetilen anahtarları kullanır. İsteğe bağlı olarak, kendi disk şifreleme anahtarlarınızı denetlemeniz ve yönetmeniz gerektiğinde, çözümü Azure Key Vault veya Azure Key Vault yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla yapılandırabilirsiniz. Çözüm, sanal makine disklerindeki tüm verilerin Azure depolama alanınızda beklemede şifrelenmesini sağlar. Anahtar yönetimi seçenekleri hakkında daha fazla bilgi için bkz. Azure'da Anahtar yönetimi.

Azure Resource Manager

Azure Resource Manager çözümünüzdeki kaynaklarla grup olarak çalışmanızı sağlar. Çözümünüzdeki tüm kaynakları tek ve eşgüdümlü bir işlemle dağıtabilir, güncelleştirebilir veya silebilirsiniz. Dağıtım için bir Azure Resource Manager şablonu kullanırsınız ve bu şablon test, hazırlama ve üretim gibi farklı ortamlarda çalışabilir. Resource Manager, dağıtımdan sonra kaynaklarınızı yönetmenize yardımcı olacak güvenlik, denetim ve etiketleme özellikleri sağlar.

Azure Resource Manager şablon tabanlı dağıtımlar, standart güvenlik denetimi ayarları standartlaştırılmış şablon tabanlı dağıtımlarla tümleştirilebildiği için Azure dağıtılan çözümlerin güvenliğini artırmaya yardımcı olur. Şablonlar, el ile dağıtımlar sırasında gerçekleşebilecek güvenlik yapılandırma hataları riskini azaltır.

Application Insights

Application Insights , web geliştiricileri için tasarlanmış esnek bir Uygulama Performansı Yönetimi (APM) hizmetidir. Canlı web uygulamalarınızı izlemenizi ve performans sorunlarını otomatik olarak algılamanızı sağlar. Güçlü analiz araçlarını kullanarak sorunları tanılayabilir ve uygulamalarınızla kullanıcı etkileşimleri hakkında içgörüler elde edebilirsiniz. Application Insights, geliştirme aşamasından teste ve üretime kadar uygulamanızı sürekli olarak izler.

Application Insights, en yüksek kullanıcı etkinlik sürelerini, uygulama yanıt hızını ve bağlı olduğu tüm dış hizmetlerin performansını ortaya koyan içgörüsel grafikler ve tablolar oluşturur.

Çökmeler, hatalar veya performans sorunları yaşanıyorsa, nedenini teşhis etmek için verileri ayrıntılı bir şekilde inceleyebilirsiniz. Uygulamanızın kullanılabilirliği ve performansında herhangi bir değişiklik olursa hizmet size e-posta gönderir. Application Insight, gizlilik, bütünlük ve kullanılabilirlik güvenliği triad'ında kullanılabilirlik konusunda yardımcı olduğundan değerli bir güvenlik aracı haline gelir.

Azure Monitor

Azure Monitor hem Azure aboneliğinden (Activity Log) hem de her bir Azure kaynağından (Kaynak Günlükleri) verilerde görselleştirme, sorgu, yönlendirme, uyarı, otomatik ölçeklendirme ve otomasyon sunar. Azure günlüklerinde oluşturulan güvenlikle ilgili olaylar hakkında sizi uyarmak için Azure Monitor kullanabilirsiniz.

Azure Monitor günlükleri

Azure Monitor logs hem şirket içi hem de üçüncü taraf bulut tabanlı altyapı (Amazon Web Services gibi) için Azure kaynaklara ek olarak bir BT yönetim çözümü sağlar. Azure Monitor verileri doğrudan Azure Monitor günlüklerine yönlendirilebilir, böylece ortamınızın tamamına ait ölçümleri ve günlükleri tek bir yerde görebilirsiniz.

Azure Monitor günlükleri, esnek bir sorgu yaklaşımıyla büyük miktarlarda güvenlikle ilgili girdileri hızla aramanıza olanak sağladığından, adli ve diğer güvenlik analizinde yararlı bir araç olabilir. Ayrıca, şirket içi firewall ve proxy günlükleri Azure'a aktarılabilir ve Azure İzleyici günlükleri kullanılarak analiz için kullanılabilir hale getirilebilir.

Azure Advisor

Azure Advisor, Azure dağıtımlarınızı iyileştirmenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır. Kaynak yapılandırmanızı ve kullanım verilerinizi analiz eder. Ardından performans, güvenlik ve güvenilirlik kaynaklarınızı iyileştirmeye yardımcı olacak çözümler önerirken, genel Azure harcamalarınızı azaltma fırsatları arar. Azure Advisor, Azure dağıttığınız çözümler için genel güvenlik duruşunuzu önemli ölçüde geliştirebilecek güvenlik önerileri sağlar. Bu öneriler, Microsoft Defender for Cloud tarafından gerçekleştirilen güvenlik analizinden elde edilir.

Kimlik ve erişim yönetimi

Kimlik, bulut bilişimde birincil güvenlik çevresidir. Kimlikleri korumak ve kaynaklara erişimi denetlemek, Azure ortamınızın güvenliğini sağlamanın temelidir. Microsoft Entra ID kapsamlı kimlik ve erişim yönetimi özellikleri sağlar. Ayrıntılı bilgi için bkz. Azure kimlik yönetimine genel bakış. Kimlik yönetimi en iyi yöntemleri için bkz. Azure kimlik yönetimi ve erişim denetimi güvenlik en iyi yöntemleri. Kimlik altyapısının güvenliğini sağlama konusunda yönergeler için bkz. Kimlik altyapınızı güvenli hale getirmek için beş adım.

Microsoft Entra ID

Microsoft Entra ID Microsoft'un bulut tabanlı kimlik ve erişim yönetimi hizmetidir. Şunları sağlar:

• Tek Sign-On (SSO):Kullanıcıların tek bir kimlik bilgisi kümesiyle birden çok uygulamaya erişmesini sağlama
• Multi-Factor Authentication (MFA): Oturum açmak için birden çok doğrulama biçimi gerektir
• Koşullu Erişim: Kaynaklara erişimi kullanıcı, cihaz, konum ve risk temelinde denetleme
• Kimlik Koruması: Kimlik tabanlı riskleri algılama ve yanıtlama
• Privileged Identity Management (PIM): Azure kaynaklarına tam zamanında ayrıcalıklı erişim sağlama
• Kimlik İdaresi: Kimlik yaşam döngüsünü ve erişim haklarını yönetme

Rol tabanlı erişim denetimi (RBAC)

Azure rol tabanlı erişim denetimi (RBAC), Azure kaynaklara kimlerin erişimi olduğunu, bu kaynaklarla neler yapabileceklerini ve hangi alanlara erişebileceklerini yönetmenize yardımcı olur. RBAC, Azure kaynaklar için ayrıntılı erişim yönetimi sağlayarak kullanıcılara yalnızca işlerini yapmaları için gereken hakları vermenizi sağlar.

Microsoft Entra Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak tanır. PIM, aşırı, gereksiz veya yanlış erişim izinlerinin risklerini azaltmak için zamana dayalı ve onay tabanlı rol etkinleştirmesi sağlar.

Azure kaynakları için yönetilen kimlikler

Azure kaynakları için yönetilen kimlikler, Microsoft Entra ID'de Azure hizmetlerine otomatik olarak yönetilen bir kimlik sağlar. Kodunuzda kimlik bilgileri olmadan Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapmak için bu kimliği kullanın.

Düzeltme eki güncelleştirmeleri olası sorunları bulmak ve düzeltmek için temel sağlar ve yazılım güncelleştirme yönetimi sürecini basitleştirir. Kuruluşunuzda dağıtmanız gereken yazılım güncelleştirmelerinin sayısını azaltır ve uyumluluğu izleme becerinizi artırır.

Güvenlik ilkesi yönetimi ve raporlaması

Bulut için Defender tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Azure kaynaklarınızın güvenliğine yönelik daha fazla görünürlük ve denetim sağlar. Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar. Aksi takdirde farkında olunmayan tehditleri algılamaya yardımcı olur ve geniş bir güvenlik çözümleri ekosistemiyle çalışır.

Güvenli kimlik

Microsoft, kimlik ve erişimi yönetmek için ürün ve hizmetlerinde birden çok güvenlik uygulamaları ve teknolojileri kullanır.

• Çok faktörlü kimlik doğrulaması , kullanıcıların şirket içinde ve bulutta erişim için birden çok yöntem kullanmasını gerektirir. Kullanıcılara basit bir oturum açma işlemiyle hizmet verirken, bir dizi kolay doğrulama seçeneğiyle güçlü kimlik doğrulaması sağlar.

• Microsoft Authenticator hem Microsoft Entra ID hem de Microsoft hesaplarıyla çalışan kullanıcı dostu çok faktörlü bir kimlik doğrulama deneyimi sağlar. Giyilebilir cihazlar ve parmak izi tabanlı onaylar için destek içerir.

• Parola ilkesi zorlaması , uzunluk ve karmaşıklık gereksinimlerini, zorunlu düzenli döndürmeyi ve başarısız kimlik doğrulama girişimlerinden sonra hesap kilitlemeyi zorunlu kılarak geleneksel parolaların güvenliğini artırır.

• Token tabanlı kimlik doğrulaması Microsoft Entra ID aracılığıyla kimlik doğrulamasını etkinleştirir.

• Azure rol tabanlı erişim denetimi (Azure RBAC) kullanıcının atanan rolüne göre erişim vermenizi sağlar. Kullanıcılara yalnızca iş görevlerini gerçekleştirmek için ihtiyaç duydukları erişim miktarını vermek kolaydır. Azure RBAC'i kuruluşunuzun iş modeli ve risk toleransı açısından özelleştirebilirsiniz.

• Tümleşik kimlik yönetimi (karma kimlik), iç veri merkezleri ve bulut platformlarında kullanıcıların erişimini denetlemenizi sağlar. Tüm kaynaklara kimlik doğrulaması ve yetkilendirme için tek bir kullanıcı kimliği oluşturur.

Uygulamaların ve verilerin güvenliğini sağlama

Kapsamlı bir kimlik ve erişim yönetimi bulutu çözümü olan Microsoft Entra ID, sitedeki ve buluttaki uygulamalardaki verilere erişimin güvenliğini sağlar ve kullanıcıların ve grupların yönetimini basitleştirir. Temel dizin hizmetlerini, gelişmiş kimlik idaresini, güvenliği ve uygulama erişim yönetimini birleştirir ve geliştiricilerin uygulamalarına ilke tabanlı kimlik yönetimi oluşturmasını kolaylaştırır. Microsoft Entra ID geliştirmek için Microsoft Entra Basic, Premium P1 ve Premium P2 sürümlerini kullanarak ücretli özellikler ekleyebilirsiniz.

Ücretsiz veya yaygın özellikler	Temel özellikler	Premium P1 özellikleri	Premium P2 özellikleri	Microsoft Entra katılımı – Yalnızca Windows 10 ile ilgili özellikler
Dizin Nesneleri, Kullanıcı/Grup Yönetimi (ekle/güncelle/sil)/ Kullanıcı tabanlı sağlama, Cihaz kaydı, Tek Oturum Açma (SSO), Bulut kullanıcıları için Self-Service Parola Değişikliği, Connect (Şirket içi dizinleri Microsoft Entra ID'ye genişleten eşitleme altyapısı), Güvenlik / Kullanım Raporları	Grup tabanlı erişim yönetimi / sağlama, bulut kullanıcıları için Kendine Hizmet Parola Sıfırlama, Şirket Markalama (oturum açma sayfaları/Erişim Paneli özelleştirme), Uygulama Proxy, Hizmet Seviyesi Anlaşması (SLA) %99.9	Self Servis Grup ve uygulama yönetimi/Self Servis uygulama eklemeleri/Dinamik Gruplar, Self Servis Parola Sıfırlama/Değiştirme/Kilit Açma ile şirket içi geri yazma, çok faktörlü kimlik doğrulaması (Bulut ve Şirket İçi (MFA Sunucusu)), MIM CAL + MIM Sunucusu, Cloud App Discovery, Connect Health, Grup hesapları için otomatik parola geçişi	Kimlik Koruması, Ayrıcalıklı Kimlik Yönetimi	Bir cihazı Microsoft Entra ID'ye Bağlama, Masaüstü SSO, Microsoft Entra ID için Microsoft Passport, BitLocker Kurtarma Yönetici, MDM otomatik kayıt, Self-Service BitLocker Kurtarma, Windows 10 cihazlara Microsoft Entra bağlantısı ile ek yerel yöneticiler

• Cloud App Discovery, kuruluşunuzdaki çalışanların kullandığı bulut uygulamalarını tanımlamanızı sağlayan Microsoft Entra ID premium bir özelliğidir.

• Microsoft Entra ID Protection, kuruluşunuzun kimliklerini etkileyebilecek risk algılamaları ve olası güvenlik açıklarına yönelik birleştirilmiş bir görünüm sağlamak için Microsoft Entra anomali algılama özelliklerini kullanan bir güvenlik hizmetidir.

• Microsoft Entra Domain Services etki alanı denetleyicileri dağıtmanıza gerek kalmadan Azure VM'leri bir etki alanına eklemenize olanak tanır. Kullanıcılar şirket Active Directory kimlik bilgilerini kullanarak bu VM'lerde oturum açar ve kaynaklara sorunsuz bir şekilde erişebilir.

• Microsoft Entra B2C yüz milyonlarca kimlike ölçeklenebilen ve mobil ve web platformlarında tümleştirilebilen tüketiciye yönelik uygulamalar için yüksek oranda kullanılabilir, küresel bir kimlik yönetimi hizmetidir. Müşterileriniz, mevcut sosyal medya hesaplarını kullanan özelleştirilebilir deneyimler aracılığıyla tüm uygulamalarınızda oturum açabilir veya yeni tek başına kimlik bilgileri oluşturabilirsiniz.

• Microsoft Entra B2B Collaboration, iş ortaklarının kendi kendine yönetilen kimliklerini kullanarak şirket uygulamalarınıza ve verilerinize seçmeli olarak erişmesini sağlayarak şirketler arası ilişkilerinizi destekleyen güvenli bir iş ortağı tümleştirme çözümüdür.

• Microsoft Entra katılmış bulut özelliklerini merkezi yönetim için Windows 10 cihazlara genişletmenizi sağlar. Kullanıcıların Microsoft Entra ID aracılığıyla kurumsal buluta veya kuruluş buluta bağlanmasını mümkün kılar ve uygulamalara ve kaynaklara erişimi basitleştirir.

• Microsoft Entra uygulama ara sunucusu şirket içinde barındırılan web uygulamaları için SSO ve güvenli uzaktan erişim sağlar.

Sonraki Adımlar

• Bulutta paylaşılan sorumluluğunuzu anlayın.

• Microsoft Defender for Cloud Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim sağlayarak tehditleri önlemenize, algılamanıza ve yanıtlamanıza nasıl yardımcı olabileceğini öğrenin.

• Ek güvenlik önerileri için Azure en iyi güvenlik yöntemlerini ve desenlerini keşfedin.

• Kapsamlı güvenlik kılavuzu için Microsoft bulut güvenliği karşılaştırmasını gözden geçirin.

• Azure güvenlik mimarisinin koruma, algılama ve yanıt görünümü için Azure'da uçtan uca güvenlik sayfasına bakın.