Kaynakları sağlamlaştırma önerileri
Bu Azure İyi Tasarlanmış Çerçeve Güvenliği denetim listesi önerisi için geçerlidir:
| SE:08 | Saldırgan maliyetini artırmak için gereksiz yüzey alanını azaltarak ve yapılandırmaları sıkılaştırarak tüm iş yükü bileşenlerini sağlamlaştırabilirsiniz. |
|---|
Bu kılavuzda, bir iş yükü içinde yerelleştirilmiş denetimler geliştirerek ve yinelenen saldırılara dayanacak şekilde koruyarak kaynakları sağlamlaştırma önerileri açıklanmaktadır.
Güvenlik sağlamlaştırma, kasıtlı olarak yapılan bir kendini koruma tatbikatıdır. Amaç, bir saldırı yüzeyini azaltmak ve saldırganların diğer alanlardaki maliyetlerini artırmak ve bu da kötü amaçlı aktörlerin güvenlik açıklarından yararlanma fırsatlarını sınırlandırmaktır. İş yükünüzü korumak için en iyi güvenlik yöntemlerini ve yapılandırmalarını uygulayın.
Güvenlik sağlamlaştırma, sürekli izleme ve gelişen tehditlere ve güvenlik açıklarına uyum gerektiren devam eden bir süreçtir .
Tanımlar
| Süre | Tanım |
|---|---|
| Sağlamlaştırma | Gereksiz kaynakları kaldırarak veya yapılandırmaları ayarlayarak bir saldırı yüzeyi alanını azaltma uygulaması. |
| Ayrıcalıklı erişim iş istasyonu (PAW) | Hassas görevleri gerçekleştirmek için kullandığınız özel ve güvenli bir makinedir ve bu da risk riskini azaltır. |
| Güvenli yönetim iş istasyonu (SAW) | Kritik etki hesapları tarafından kullanılan özel bir PAW. |
| Yüzey alanı | Güvenlik açıkları içeren bir iş yükünün mantıksal ayak izi. |
Temel tasarım stratejileri
Güvenlik sağlamlaştırma, kaynaklar veya işlemler olsun, bileşen düzeyindeki denetimleri güçlendiren yüksek oranda yerelleştirilmiş bir alıştırmadır. Her bileşenin güvenliğini artırdığınızda, iş yükünüzün toplam güvenlik güvencesini geliştirir.
Güvenlik sağlamlaştırma, iş yükünün işlevselliğini dikkate almaz ve tehditleri algılamaz veya otomatik tarama gerçekleştirmez. Güvenlik sağlamlaştırma, varsayılan ihlal ve derinlemesine savunma zihniyeti ile yapılandırma ayarlamaya odaklanır. Amaç, bir saldırganın bir sistemin denetimini elde etmelerini zorlaştırmaktır. Sağlamlaştırma, bir iş yükünün veya işlemlerinin hedeflenen yardımcı programını değiştirmemelidir.
İş yükü varlıklarının envanterini oluşturma
Sağlamlaştırma işleminin ilk adımı tüm donanım, yazılım ve veri varlıklarının kapsamlı bir envanterini toplamaktır. Yeni varlıklar ekleyerek ve kullanımdan kaldırılan varlıkları kaldırarak envanter kayıtlarınızı güncel tutun. Envanterinizdeki tüm varlıklar için aşağıdaki en iyi yöntemleri göz önünde bulundurun:
Ayak izini azaltın. Gereksiz yüzey alanını kaldırın veya kapsamı azaltın. Kolay hedefleri veya eşleşmeyen yazılım açıkları ve deneme yanılma saldırıları gibi ucuz ve iyi kurulmuş saldırı vektörlerini ortadan kaldırın. Üretim dağıtımından önce kimlikleri temizlemeniz, bileşenleri ve diğer sorgulanmayan varlıkları kaynak ağaçtan temizlemeniz gerekir.
Yapılandırmalarda ince ayar yapın. Kalan yüzey alanını değerlendirin ve sıkın. Kaynaklar sağlamlaştırıldığında, saldırganların kullandığı denenmiş ve test edilmiş yöntemler artık başarılı olmaz. Saldırganları gelişmiş veya test edilmemiş saldırı yöntemlerini edinmeye ve kullanmaya zorlayarak maliyetlerini artırır.
Savunmayı koruyun. Sağlamlaştırma çalışmalarının zaman içinde güvenilir olmasını sağlamaya yardımcı olmak için sürekli tehdit algılama gerçekleştirerek koruyucu önlemler alın.
Ayrıca aşağıdaki faktörleri de göz önünde bulundurun.
Güvenilir kaynak. Sağlamlaştırma alıştırmasının bir bölümü yazılım tedarik zincirini içerir. Bu kılavuz, tüm bileşenlerin güvenilen kaynaklardan alındığını varsayar. Kuruluşunuzun üçüncü taraf satıcılardan temin edilen yazılımları onaylaması gerekir. Bu onay, işletim sistemi, görüntüler ve diğer üçüncü taraf araçlarının kaynakları için geçerlidir. Güvenilir kaynaklar olmadan sağlamlaştırma, güvenilmeyen kaynaklarda güvenlik güvencelerinin sonsuz bir tükenmesi olabilir.
Tedarik zincirinizin güvenliği hakkında öneriler için bkz . Geliştirme yaşam döngüsünün güvenliğini sağlama önerileri.
Eğitim. Sağlamlaştırma özel bir beceridir. Bu yöntemseldir ve yüksek düzeyde yetkinlik gerektirir. Bir bileşenin işlevselliğini ve değişikliklerin bileşeni nasıl etkilediğini anlamanız gerekir. Ekip üyesinin, bunu belirsiz kaynaklardan ayırmak için sektör uzmanlarından ve platformdan gelen yönergeleri ayırt edebilmesi gerekir. Ekip üyelerinizi güvenliğe duyarlı bir kültür oluşturma konusunda eğitin. Ekibinizin en iyi güvenlik uygulamalarında uzman olduğundan , olası tehditlerin farkında olduğundan ve olay sonrası geçmişe dönük değerlendirmelerden bilgi edindiğinden emin olun.
Belgeler. Sağlamlaştırma gereksinimlerini, kararları ve tanımlı yöntemleri belgeleyin ve yayımlayın. Saydamlık için özel durumları veya bu gereksinimlerden sapmaları da belgeleyin.
Sağlamlaştırma zahmetli olabilir, ancak belgelemeniz gereken önemli bir güvenlik alıştırmasıdır. Olası boşlukları artırmak için önce temel bileşenleri sağlamlaştırın ve ardından otomatik süreçler ve insan süreçleri gibi diğer alanlara genişletin. Değişiklikler konusunda dikkatli olun. Örneğin, varsayılan değerlerde yapılan değişiklikler sistemin kararlılığını etkileyebileceğinden, gerekli bir adım varsayılan ayarları devre dışı bırakmaktır. Değiştirme yapılandırması varsayılan yapılandırmayla aynı olsa bile tanımlanmalıdır. Aşağıdaki bölümlerde sağlamlaştırmaya yönelik yaygın hedefler açıklanmaktadır. İş yükünüzün temel tasarım alanlarını değerlendirin ve bileşen düzeyinde sağlamlaştırmak için temel stratejileri izleyin.
Ağ bileşenlerini sağlamlaştırma
Kritik varlıkları ve hassas verileri daha az güvenli varlıklardan yalıtmak için ağı bölümlere ayırarak saldırganların yanal hareketlerini azaltır. Bu segmentlerde varsayılan olarak reddetme yaklaşımı uygulayın. İzin verilenler listesine yalnızca iki yana yaslanmışsa erişim ekleyin.
Etkin olarak kullanılmayan bağlantı noktalarını ve protokolleri devre dışı bırakın. Örneğin, Azure Uygulaması Hizmetinde FTP aracılığıyla dağıtmanız gerekmiyorsa devre dışı bırakabilirsiniz. Ya da bir iç ağ üzerinden yönetim işlemleri gerçekleştirirseniz, İnternet'ten yönetim erişimini devre dışı bırakabilirsiniz.
Eski protokolleri kaldırın veya devre dışı bırakın. Saldırganlar eski sürümleri kullanan sistemlerden yararlanıyor. Günlükleri gözden geçirmek ve protokol kullanımını belirlemek için bir Azure algılama hizmeti kullanın. Sistemin işlevselliğini kesintiye uğratabileceğinden protokolleri kaldırmak zor olabilir. Operasyonel kesinti riskini azaltmak için uygulamadan önce tüm değişiklikleri test edin.
Genel IP (PIP) adreslerine erişimi kolay ve dünya çapında geniş bir erişime sahip oldukları için yüksek riskli varlıklar olarak değerlendirin. Maruz kalma süresini azaltmak için iş yüküne gereksiz İnternet erişimini kaldırın. Azure Front Door gibi Microsoft hizmetleri paylaşılan genel IP adreslerini kullanın. Bu hizmetler İnternet'e yönelik olacak şekilde tasarlanmıştır ve izin verilmeyen protokollere erişimi engeller. Bu tür hizmetlerin çoğu, ağ kenarında gelen istekler üzerinde ilk denetimleri gerçekleştirir. Ayrılmış bir PIP ile güvenlik yönlerini yönetmekten, bağlantı noktalarına izin vermekten veya bunları engellemekten ve gelen istekleri tarayarak bunların geçerliliğini sağlamak sizin sorumluluğundadır.
İnternet'e yönelik uygulamalar için, geçersiz trafiği filtreleyebilecek bir katman 7 hizmeti ekleyerek erişimi kısıtlayın. Dağıtılmış hizmet reddi (DDoS) koruması uygulayan, web uygulaması güvenlik duvarlarına sahip olan ve trafik uygulama katmanına ulaşmadan önce uçta koruma sağlayan yerel hizmetleri keşfedin.
Etki Alanı Adı Sistemi (DNS) sağlamlaştırma, başka bir ağ güvenlik uygulamasıdır. DNS altyapısının güvenli olduğundan emin olmak için güvenilen DNS çözümleyicileri kullanmanızı öneririz. DNS çözümleyicilerinden gelen bilgileri doğrulamak ve ek bir güvenlik katmanı sağlamak için mümkün olduğunda, son derece hassas DNS bölgeleri için bir DNS güvenlik protokolü kullanın. DNS önbelleği zehirlenmesi, DDoS saldırıları ve yükseltme saldırıları gibi saldırıları önlemek için sorgu hızı sınırlama, yanıt hızı sınırlama ve DNS tanımlama bilgileri gibi DNS ile ilgili diğer güvenlik denetimlerini keşfedin.
Kimlik erişim denetimlerini sağlamlaştırma
Kullanılmayan veya varsayılan hesapları kaldırın. Kullanılmayan kimlik doğrulama ve yetkilendirme yöntemlerini devre dışı bırakın.
Sık sık saldırı vektörleri olduklarından eski kimlik doğrulama yöntemlerini devre dışı bırakın. Eski protokollerde genellikle hesap kilitlemeleri gibi saldırı sayacı önlemleri eksiktir. Kimlik doğrulama gereksinimlerinizi Microsoft Entra Id gibi kimlik sağlayıcınıza (IdP) dışlayın.
Yinelenen kimlikler oluşturmak yerine federasyonu tercih edin. Kimliğin gizliliği ihlal edilirse, merkezi olarak yönetildiğinde erişimi iptal etmek daha kolaydır.
Gelişmiş kimlik doğrulaması ve yetkilendirme için platform özelliklerini anlama. Microsoft Entra ID'nin kimlik doğrulaması için sunduğu çok faktörlü kimlik doğrulaması, parolasız kimlik doğrulaması, Koşullu Erişim ve diğer özelliklerden yararlanarak erişim denetimlerini güçlendirin. Oturum açma olaylarına ek koruma ekleyebilir ve saldırganın istekte bulunabileceği kapsamı azaltabilirsiniz.
Mümkün olduğunca kimlik bilgileri olmadan yönetilen kimlikleri ve iş yükü kimliklerini kullanın. Kimlik bilgileri sızdırılabilir. Daha fazla bilgi için bkz . Uygulama gizli dizilerini koruma önerileri.
Yönetim süreçleriniz için en az ayrıcalıklı yaklaşımı kullanın. Gereksiz rol atamalarını kaldırın ve düzenli Microsoft Entra erişim gözden geçirmeleri gerçekleştirin. Denetimler için kritik öneme sahip olan gerekçelerin kağıt izini tutmak için rol atama açıklamalarını kullanın.
Bulut kaynağı yapılandırmalarını sağlamlaştırma
Ağ ve kimlik için önceki sağlamlaştırma önerileri tek tek bulut hizmetleri için geçerlidir. Ağ iletişimi için hizmet düzeyi güvenlik duvarlarına özellikle dikkat edin ve gelen kurallarını değerlendirin.
Diğer bileşenlerin kapsayabileceği kullanılmayan veri düzlemi erişimi ve ürün özellikleri gibi kullanılmayan özellikleri keşfedin ve devre dışı bırakın. Örneğin, App Service FTP dağıtımları, uzaktan hata ayıklama ve diğer özellikleri sağlayan Kudu'yu destekler. Bu özelliklere ihtiyacınız yoksa bunları kapatın.
Azure yol haritasını ve iş yükü yol haritasını her zaman takip edin. Azure hizmetlerinin sunduğu düzeltme eki uygulama ve sürüm oluşturma güncelleştirmelerini uygulayın. Platform tarafından sağlanan güncelleştirmelere izin verin ve otomatik güncelleştirme kanallarına abone olun.
Risk: Bulut kaynaklarının genellikle izinler için gereksinimleri vardır veya desteklendiğinin göz önünde bulundurulması için belgelenmiş yapılandırmalarda çalıştırılması gerekir. Giden trafiği agresif bir şekilde engelleme gibi bazı sağlamlaştırma teknikleri, hizmet normal şekilde çalışsa bile hizmetin desteklenen bir yapılandırmanın dışına düşmesine neden olabilir. Bu kaynak için destek sağladığınızdan emin olmak için platformunuzdan her bulut kaynağının çalışma zamanı gereksinimlerini anlayın.
Kod varlıklarını sağlamlaştırma
Uygulamanızın yanlışlıkla bilgi sızdırabileceği alanları değerlendirin. Örneğin, kullanıcı bilgilerini alan bir API'niz olduğunu varsayalım. bir isteğin geçerli bir kullanıcı kimliği olabilir ve uygulamanız 403 hatası döndürür. Ancak geçersiz bir müşteri kimliğiyle istek 404 hatası döndürür. Ardından kullanıcı kimlikleriniz hakkındaki bilgileri etkili bir şekilde sızdırıyorsunuz.
Daha ince durumlar olabilir. Örneğin, geçerli bir kullanıcı kimliğine sahip yanıt gecikme süresi geçersiz bir müşteri kimliğinden daha yüksektir.
Aşağıdaki alanlarda uygulama sağlamlaştırma uygulamayı göz önünde bulundurun:
Giriş doğrulama ve temizleme: Tüm kullanıcı girişlerini doğrulayıp temizleyerek SQL ekleme ve siteler arası betik (XSS) gibi ekleme saldırılarını önleyin. Giriş doğrulama kitaplıklarını ve çerçevelerini kullanarak giriş temizlemeyi otomatikleştirin.
Oturum yönetimi: Güvenli oturum yönetimi tekniklerini kullanarak oturum tanımlayıcılarını ve belirteçlerini hırsızlık veya oturum düzeltme saldırılarına karşı koruyun. Oturum zaman aşımları uygulayın ve hassas eylemler için yeniden kimlik doğrulamayı zorunlu kılın.
Hata yönetimi: Hassas bilgilerin saldırganlara açık olmasını en aza indirmek için özel hata işleme uygulayın. Hataları güvenli bir şekilde günlüğe kaydedip bu günlükleri şüpheli etkinlikler için izleyin.
HTTP güvenlik üst bilgileri: İçerik Güvenlik İlkesi (CSP), X-Content-Type-Options ve X-Frame-Options gibi HTTP yanıtlarındaki güvenlik üst bilgilerini kullanarak yaygın web güvenlik açıklarını azaltın.
API güvenliği: Doğru kimlik doğrulama ve yetkilendirme mekanizmalarıyla API'lerinizin güvenliğini sağlayın. Güvenliği daha da geliştirmek için API uç noktaları için hız sınırlama, istek doğrulama ve erişim denetimleri uygulayın.
Uygulamaları geliştirirken ve bakımını yaparken güvenli kodlama uygulamalarını izleyin. Düzenli olarak kod incelemeleri yapın ve uygulamaları güvenlik açıklarına karşı tarayın. Daha fazla bilgi için bkz . Geliştirme yaşam döngüsünün güvenliğini sağlama önerileri.
Yönetim işlemlerini sağlamlaştırma
Ayrıca diğer çalışma zamanı olmayan kaynakları sağlamlaştırabilirsiniz. Örneğin, tüm varlıkların envanterini alarak ve kullanılmayan varlıkları işlem hattınızdan kaldırarak derleme işlemlerinin ayak izini azaltın. Ardından, güvenilen kaynaklar tarafından yayımlanan görevleri çekin ve yalnızca doğrulanmış görevleri çalıştırın.
Microsoft tarafından barındırılan veya şirket içinde barındırılan derleme aracıları gerekip gerekmediğini belirleyin. Şirket içinde barındırılan derleme aracıları ek yönetime ihtiyaç duyar ve sağlamlaştırılmalıdır.
Gözlemlenebilirlik perspektifinden, olası ihlaller için günlükleri gözden geçirmeye yönelik bir süreç uygulayın. Erişim günlüklerine göre erişim denetimi kurallarını düzenli olarak gözden geçirin ve güncelleştirin. Anomalileri algılamak için güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıt (SOAR) günlüklerini analiz etmek için merkezi ekiplerle birlikte çalışın.
Ayrıcalıklı yönetim işlemleri için PAW'lar veya SAW'ler gerektirmeyi göz önünde bulundurun. PAW'lar ve SW'ler, önemli güvenlik avantajları sunan sağlamlaştırılmış fiziksel cihazlardır, ancak bunların uygulanması için dikkatli planlama ve yönetim gerekir. Daha fazla bilgi için bkz . Ayrıcalıklı erişim hikayesinin bir parçası olarak cihazların güvenliğini sağlama.
Azure kolaylaştırma
Bulut için Microsoft Defender çeşitli sağlamlaştırma özellikleri sunar:
- Sunucu sağlamlaştırma
- Uyarlamalı ağ sağlamlaştırma
- Docker konağı sağlamlaştırma
İnternet Güvenliği Merkezi (CIS), Azure Market sağlamlaştırılmış görüntüler sunar.
Sağlamlaştırılmış işletim sistemi görüntüleri için yinelenebilir bir işlem oluşturmak için Azure VM Görüntü Oluşturucusu'nu kullanabilirsiniz. Common Base Linux-Mariner, Microsoft tarafından geliştirilen ve güvenlik standartlarına ve sektör sertifikalarına uygun sağlamlaştırılmış bir Linux dağıtımıdır. İş yükü uygulamaları oluşturmak için Azure altyapı ürünleriyle birlikte kullanabilirsiniz.
Örnek
Aşağıdaki yordam, bir işletim sisteminin nasıl sağlamlaştırileceğine ilişkin bir örnektir:
Ayak izini azaltın. Görüntüdeki gereksiz bileşenleri kaldırma. Yalnızca ihtiyacınız olanı yükleyin.
Yapılandırmalarda ince ayar yapın. Kullanılmayan hesapları devre dışı bırakın. İşletim sistemlerinin varsayılan yapılandırmasında güvenlik gruplarına bağlı ek hesaplar vardır. Bu hesapları kullanmıyorsanız, bunları devre dışı bırakın veya sistemden kaldırın. Ek kimlikler, sunucuya erişim elde etmek için kullanılabilecek tehdit vektörleridir.
Dosya sistemine gereksiz erişimi devre dışı bırakın. Dosya sistemini şifreleyin ve kimlik ve ağ için erişim denetimlerine ince ayar yapın.
Yalnızca gerekenleri çalıştırın. Varsayılan olarak çalışan uygulamaları ve hizmetleri engelleyin. Yalnızca iş yükü işlevselliği için gereken uygulamaları ve hizmetleri onaylayın.
Savunmayı koruyun. Bilinen güvenlik açıklarını azaltmak için işletim sistemi bileşenlerini en son güvenlik güncelleştirmeleri ve düzeltme ekleriyle düzenli olarak güncelleştirin.
İlgili bağlantılar
- Uyarlamalı ağ sağlamlaştırma
- Uygulama gizli dizilerini korumaya yönelik öneriler
- Geliştirme yaşam döngüsünün güvenliğini sağlamaya yönelik öneriler
- Ayrıcalıklı erişim hikayesinin bir parçası olarak cihazların güvenliğini sağlama
- Sunucu sağlamlaştırma
Topluluk bağlantıları
Güvenlik denetim listesi
Öneriler kümesinin tamamına bakın.