Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu güvenlik temeli , Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure Geçişi'ne yönergeleri uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure Geçişi için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Azure Geçişi için geçerli olmayan özellikler dışlanmıştır. Azure Geçişi'nin Microsoft bulut güvenliği karşılaştırmasına nasıl tamamen eşlediğini görmek için azure geçişi güvenlik temeli eşleme dosyasının tamamına bakın.
Güvenlik profili
Güvenlik profili, Azure Geçişi'nin yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Geçiş |
| Müşteri HOST/işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Müşteri Azure Geçişi'ni Özel Bağlantı gerektirecek şekilde yapılandırabiliyor.
Yapılandırma Kılavuzu: Kaynaklar için özel bir erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın.
Azure Geçişi Özel Bağlantı desteği, müşterilerin sunucuları özel bir ağ üzerinden güvenli bir şekilde keşfetmesine, değerlendirmesine ve geçirmesine olanak tanırken veri sızdırma risklerine karşı koruma sunar ve geçiş hızının daha yüksek olmasını sağlar.
Özel Bağlantı kullanarak Azure ExpressRoute özel eşlemesi veya siteden siteye (S2S) VPN bağlantısı üzerinden Azure Geçişi'ne özel ve güvenli bir şekilde bağlanabilirsiniz.
Başvuru: azure geçişi ile Azure Özel Bağlantı kullanma
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Müşteri Azure Geçişi'ni Özel Bağlantı yapılandırarak genel uç nokta erişimini devre dışı bırakabilir.
Yapılandırma Kılavuzu: Genel ağ erişimi anahtarını değiştirerek kullanarak genel ağ erişimini devre dışı bırakın.
Azure Geçişi projeniz için bağlantı yöntemini yapılandırabilir ve Geçiş projesine genel ağ erişimini etkinleştirmeyi veya devre dışı bırakmayı seçebilirsiniz.
Başvuru: Azure Geçişi'nin özel uç noktalarla kullanılması
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Azure Geçişi, belirli veri düzlemi işlemleri için Azure AD yönetilen kimliklerden ve hizmet sorumlularından yararlanıyor. Azure Geçişi, denetim düzleminin Azure Portal üzerinden kullanıcı erişimi için Azure AD de destekler.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Microsoft |
Özellik notları: Azure Geçişi, bir depolama hesabında tutulan geçirilen verilere güvenli bir şekilde erişmek için yönetilen kimliği kullanır. Bu, şu anda özel uç noktanın yapılandırıldığı bir senaryoda kullanılır.
Yapılandırma Kılavuzu: Mümkün olduğunda, Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilen hizmet sorumluları yerine Azure tarafından yönetilen kimlikleri kullanın. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur; kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgileri önlenir.
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure Geçişi içindeki bulma ve değerlendirme hizmetleri hizmet sorumlularını kullanmaz, ancak geçiş hizmeti, Hyper-V kurtarma yöneticisi uygulamasını kullanarak müşterinin anahtar kasasına bağlanmak için genel uç nokta senaryosundaki hizmet sorumlularını kullanır.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Azure Geçişi aleti, hizmet veri yolunun bağlantı dizelerini yönetmek için Key Vault kullanır ve çoğaltma için depolama hesaplarının erişim anahtarları kullanılır.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemeyi destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Aktarımdaki verilerin şifrelenmesinin varsayılan olarak etkin olması. Azure Geçişi, TLS v1.2 veya üzeri ile aktarım sırasında veri şifrelemeyi destekler.
Bu, özel ağlardaki trafik için isteğe bağlı olsa da, dış ve genel ağlardaki trafik için kritik önem taşır. HTTP trafiği için, Azure kaynaklarınıza bağlanan tüm istemcilerin (Azure Geçişi aleti ve Azure Geçişi yazılımını yüklediğiniz diğer makineler dahil) TLS v1.2 veya sonraki bir sürümü üzerinde anlaşmaya varadığından emin olun. Uzaktan yönetim için, şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın. Engellenmiş SSL, TLS ve SSH sürümleri ve protokolleri ile zayıf şifreler devre dışı bırakılmalıdır.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içeriği bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Azure Geçişi'nde kalıcı olan tüm veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir.
Azure Geçişi'ndeki Sunucu Geçişi aracı, azure aboneliğinizdeki depolama hesaplarına ve yönetilen disklere geçirilen sunucuların disklerindeki verileri çoğaltır. Veri işleme, abonelikteki depolama hesaplarına veya yönetilen disklere yazılana ve Azure Geçişi'nde kalıcı hale gelene kadar geçicidir. Depolama hesabında ve yönetilen disklerde çoğaltılan veriler, Bekleyen veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Son derece hassas veriler için depolama hesabında ve yönetilen disklerde müşteri tarafından yönetilen anahtarlarla bekleyen ek şifreleme uygulama seçenekleriniz vardır.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Müşteri tarafından yönetilen anahtarları kullanarak çoğaltılan verileriniz için bekleyen verileri etkinleştirin ve uygulayın.
VM'leri CMK ile çoğaltmak için hedef Kaynak Grubu altında bir disk şifreleme kümesi oluşturmanız gerekir. Disk şifreleme kümesi nesnesi, Yönetilen Diskler SSE için kullanılacak CMK'yi içeren bir Key Vault eşler.
Başvuru: VMware VM'lerini Azure'a geçirme (aracısız)
DP-6: Güvenli bir anahtar yönetim işlemi kullanma
Özellikler
Azure Key Vault'de Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Azure Geçişi aleti, hizmet veri yolunun bağlantı dizelerini yönetmek için Key Vault kullanır ve çoğaltma için depolama hesaplarının erişim anahtarları kullanılır.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Geçişi aletini ayarlama
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure Geçişi Azure İlkesi kullanabilir, ancak bunun uygulanması için müşteri tarafından yapılandırılması gerekir.
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak üzere Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] efektlerini kullanın.
Başvuru: Azure Geçişi için yerleşik tanımları Azure İlkesi
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya log analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin