Azure Sanal Makineler güvenliğine genel bakış

Bu makalede, sanal makinelerle kullanılabilecek temel Azure güvenlik özelliklerine genel bir bakış sağlanır.

Azure Sanal Makineler kullanarak çok çeşitli bilgi işlem çözümlerini çevik bir şekilde dağıtabilirsiniz. Hizmet Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP ve Azure BizTalk Services'ı destekler. Böylece herhangi bir iş yükünü ve herhangi bir dili neredeyse tüm işletim sistemlerine dağıtabilirsiniz.

Bir Azure sanal makinesi, sanal makineyi çalıştıran fiziksel donanımı satın almanıza ve muhafaza etmenize gerek kalmadan size sanallaştırma esnekliği sunar. Verilerinizin son derece güvenli veri merkezlerinde korunduğundan ve güvende olduğundan emin olarak uygulamalarınızı derleyebilir ve dağıtabilirsiniz.

Azure ile aşağıdakiler için gelişmiş, uyumlu güvenlik çözümleri oluşturabilirsiniz:

• Sanal makinelerinizi virüslere ve kötü amaçlı yazılımlara karşı koruyun.
• Hassas verilerinizi şifreleyin.
• Ağ trafiğinin güvenliğini sağlama.
• Tehditleri tanımlama ve algılama.
• Uyumluluk gereksinimlerini karşılayın.

Kötü amaçlı yazılımdan koruma

Azure ile Microsoft, Symantec, Trend Micro ve Kaspersky gibi güvenlik satıcılarının kötü amaçlı yazılımdan koruma yazılımlarını kullanabilirsiniz. Bu yazılım sanal makinelerinizi kötü amaçlı dosyalardan, reklam yazılımlarından ve diğer tehditlerden korumaya yardımcı olur.

Azure Cloud Services ve Sanal Makineler için Microsoft Kötü Amaçlı Yazılımdan Koruma, virüsleri, casus yazılımları ve diğer kötü amaçlı yazılımları tanımlamaya ve kaldırmaya yardımcı olan gerçek zamanlı bir koruma özelliğidir. Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, bilinen kötü amaçlı veya istenmeyen yazılımlar kendisini yüklemeye veya Azure sistemlerinizde çalıştırmaya çalıştığında yapılandırılabilir uyarılar sağlar.

Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, uygulamalar ve kiracı ortamları için tek aracılı bir çözümdür. İnsan müdahalesi olmadan arka planda çalışacak şekilde tasarlanmıştır. Kötü amaçlı yazılımdan koruma izleme de dahil olmak üzere temel varsayılan olarak güvenli veya gelişmiş özel yapılandırma ile uygulama iş yüklerinizin gereksinimlerine göre koruma dağıtabilirsiniz.

Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma ve mevcut temel özellikler hakkında daha fazla bilgi edinin.

Sanal makinelerinizin korunmasına yardımcı olmak için kötü amaçlı yazılımdan koruma yazılımı hakkında daha fazla bilgi edinin:

• Azure Sanal Makinelerinde Kötü Amaçlı Yazılıma Karşı Koruma Çözümleri Dağıtma
• Trend Micro Deep Security'yi Bir Windows VM'sine hizmet olarak yükleme ve yapılandırma
• Azure Market güvenlik çözümleri

Daha da güçlü koruma için Uç Nokta için Microsoft Defender kullanmayı göz önünde bulundurun. Uç Nokta için Defender ile şunları elde edersiniz:

• Saldırı yüzeyini azaltma
• Yeni nesil koruma
• Uç nokta koruması ve yanıtı
• Otomatik araştırma ve düzeltme
• Güvenlik puanı
• Gelişmiş avcılık
• Yönetim ve API'ler
• Microsoft Tehdit Koruması

Daha fazla bilgi edinin: Uç Nokta için Microsoft Defender kullanmaya başlama

Donanım güvenlik modülü

Anahtar güvenliğini geliştirmek, şifreleme ve kimlik doğrulama korumalarını geliştirebilir. Kritik gizli dizilerinizi ve anahtarlarınızı Azure Key Vault'ta depolayarak yönetimi ve güvenliğini basitleştirebilirsiniz.

Key Vault, anahtarlarınızı FIPS 140 onaylı standartlara uygun donanım güvenlik modüllerinde (HSM) depolama seçeneği sunar. Yedekleme veya saydam veri şifrelemesi için SQL Server şifreleme anahtarlarınızın tümü, uygulamalarınızdaki anahtarlar veya gizli dizilerle Key Vault'ta depolanabilir. Bu korumalı öğelere yönelik izinler ve erişim, Microsoft Entra Kimliği aracılığıyla yönetilir.

Daha fazla bilgi edinin:

• Azure Key Vault nedir?
• Azure Key Vault blogu

Sanal makine disk şifrelemesi

Azure Disk Şifrelemesi, Windows ve Linux sanal makine disklerinizi şifrelemeye yönelik yeni bir özelliktir. Azure Disk Şifrelemesi endüstri standardını kullanırİşletim sistemi ve veri diskleri için birim şifrelemesi sağlamak üzere Windows'un BitLocker özelliği ve Linux'un dm-crypt özelliği.

Çözüm, anahtar kasası aboneliğinizdeki disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir. Azure Depolama'de sanal makine disklerindeki tüm verilerin bekleyen olarak şifrelenmesini sağlar.

Daha fazla bilgi edinin:

• Linux VM'leri için Azure Disk Şifrelemesi ve Windows VM'leri için Azure Disk Şifrelemesi
• Hızlı Başlangıç: Azure PowerShell ile Linux IaaS VM şifreleme

Sanal makine yedekleme

Azure Backup, sıfır sermaye yatırımı ve en düşük işletim maliyetleriyle uygulama verilerinizi korumaya yardımcı olan ölçeklenebilir bir çözümdür. Uygulama hataları verilerinizi bozabilir ve insan hataları, uygulamalarınızda hatalar oluşturabilir. Azure Backup ile Windows ve Linux çalıştıran sanal makineleriniz korunur.

Daha fazla bilgi edinin:

• Azure Backup nedir?
• Azure Backup hizmeti hakkında SSS

Azure Site Recovery

Kuruluşunuzun BCDR stratejisinin önemli bir parçası, planlı ve plansız kesintiler oluştuğunda kurumsal iş yüklerinin ve uygulamaların nasıl çalışır durumda tutulacaklarını bulmaktır. Azure Site Recovery, iş yüklerinin ve uygulamaların çoğaltma, yük devretme ve kurtarma işlemleri için düzenlemeye yardımcı olur; böylece birincil konumunuz kapanırsa ikincil bir konumdan kullanılabilirler.

Site Recovery:

• BCDR stratejinizi basitleştirir: Site Recovery, birden çok iş iş yükünün ve uygulamanın tek bir konumdan çoğaltılmasını, yük devretmesini ve kurtarılmasını kolaylaştırır. Site Recovery, çoğaltma ve yük devretmeyi düzenler, ancak uygulama verilerinizi kesmez veya bu veriler hakkında herhangi bir bilgiye sahip değildir.
• Esnek çoğaltma sağlar: Site Recovery'yi kullanarak Hyper-V sanal makinelerinde, VMware sanal makinelerinde ve Windows/Linux fiziksel sunucularında çalışan iş yüklerini çoğaltabilirsiniz.
• Yük devretme ve kurtarmayı destekler: Site Recovery, üretim ortamlarını etkilemeden olağanüstü durum kurtarma tatbikatlarını desteklemek için yük devretme testi sağlar. Ayrıca, beklenen kesintilere yönelik olarak sıfır veri kaybı sunan planlanan yük devretmeler veya beklenmeyen olağanüstü durumlar için minimum düzeyde veri kaybıyla sonuçlanan (çoğaltma sıklığına bağlı olarak) planlanmamış yük devretmeler çalıştırabilirsiniz. Yük devretme işleminden sonra birincil sitelerinize geri dönebilirsiniz. Site Recovery, çok katmanlı uygulamaların yük devretmesini ve kurtarma işlemini özelleştirebilmeniz için betikleri ve Azure Otomasyonu çalışma kitaplarını içerebilen kurtarma planları sağlar.
• İkincil veri merkezlerini ortadan kaldırır: İkincil bir şirket içi siteye veya Azure'a çoğaltabilirsiniz. Olağanüstü durum kurtarma hedefi olarak Azure'ın kullanılması, ikincil sitenin bakımının maliyetini ve karmaşıklığını ortadan kaldırır. Çoğaltılan veriler Azure Depolama'de depolanır.
• Mevcut BCDR teknolojileriyle tümleşir: Site Recovery, diğer uygulamaların BCDR özellikleriyle iş ortağıdır. Örneğin, şirket iş yüklerinin SQL Server arka ucunu korumaya yardımcı olması için Site Recovery'yi kullanabilirsiniz. Bu, kullanılabilirlik gruplarının yük devretmesini yönetmek için SQL Server Always On için yerel desteği içerir.

Daha fazla bilgi edinin:

• Azure Site Recovery nedir?
• Azure Site Recovery nasıl çalışır?
• Hangi iş yükleri Azure Site Recovery tarafından korunur?

Sanal ağ

Sanal makinelerin ağ bağlantısına ihtiyacı vardır. Bu gereksinimi desteklemek için Azure, sanal makinelerin bir Azure sanal ağına bağlanmasını gerektirir.

Azure sanal ağı, fiziksel Azure ağ dokusunun üzerine kurulmuş bir mantıksal yapıdır. Her mantıksal Azure sanal ağı diğer tüm Azure sanal ağlarından yalıtılır. Bu yalıtım, dağıtımlarınızdaki ağ trafiğinin diğer Microsoft Azure müşterileri tarafından erişilebilir olmamasını sağlamaya yardımcı olur.

Daha fazla bilgi edinin:

• Azure ağ güvenliğine genel bakış
• Sanal Ağ’a genel bakış
• Kurumsal senaryolar için ağ özellikleri ve iş ortaklıkları

Güvenlik ilkesi yönetimi ve raporlaması

Bulut için Microsoft Defender tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Bulut için Defender, Azure kaynaklarınızın güvenliğine yönelik daha fazla görünürlük ve denetim sağlar. Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar. Aksi takdirde farkında olunmayan tehditleri algılamaya yardımcı olur ve geniş bir güvenlik çözümleri ekosistemiyle çalışır.

Bulut için Defender şunları yaparak sanal makinelerinizin güvenliğini iyileştirmenize ve izlemenize yardımcı olur:

• Sanal makineler için güvenlik önerileri sağlama. Örnek öneriler şunlardır: sistem güncelleştirmelerini uygulama, ACL uç noktalarını yapılandırma, kötü amaçlı yazılımdan korumayı etkinleştirme, ağ güvenlik gruplarını etkinleştirme ve disk şifrelemesi uygulama.
• Sanal makinelerinizin durumunu izleme.

Daha fazla bilgi edinin:

• Bulut için Microsoft Defender giriş
• Bulut için Microsoft Defender sık sorulan sorular
• Bulut için Microsoft Defender planlama ve operasyonlar

Uyumluluk

Azure Sanal Makineler FISMA, FedRAMP, HIPAA, PCI DSS Düzey 1 ve diğer önemli uyumluluk programları için sertifikalıdır. Bu sertifikasyon, kendi Azure uygulamalarınızın uyumluluk gereksinimlerini karşılamasını ve işletmenizin çok çeşitli yerel ve uluslararası mevzuat gereksinimlerini karşılamasını kolaylaştırır.

Daha fazla bilgi edinin:

• Microsoft Güven Merkezi: Uyumluluk
• Güvenilen Bulut: Microsoft Azure Güvenliği, Gizlilik ve Uyumluluk

Gizli Bilgi İşlem

Gizli bilgi işlem teknik olarak sanal makine güvenliğinin bir parçası olmasa da, sanal makine güvenliği konusu "işlem" güvenliğinin üst düzey konusuna aittir. Gizli bilgi işlem "işlem" güvenliği kategorisine aittir.

Gizli bilgi işlem, verilerin verimli bir şekilde işlenmesi için gerekli olan "açık" olduğunda, verilerin aşağıdaki şekilde gösterilen bir Örnek olan Güvenilir Yürütme Ortamı https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE - kapanım olarak da bilinir) içinde korunmasını sağlar.

TEE'ler, hata ayıklayıcıyla bile verileri veya işlemleri dışarıdan görüntülemenin hiçbir yolu olmadığından emin olur. Hatta yalnızca yetkili kodun verilere erişmesine izin verildiğinden emin olur. Kod değiştirilirse veya üzerinde oynanırsa, işlemler reddedilir ve ortam devre dışı bırakılır. TEE, içindeki kodun yürütülmesi boyunca bu korumaları zorlar.

Daha fazla bilgi edinin:

• Azure gizli bilgi işlem ile tanışın
• Azure gizli bilgi işlem

Sonraki adımlar

VM'ler ve işletim sistemleri için en iyi güvenlik uygulamaları hakkında bilgi edinin.