Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0 kılavuzunu, kılavuzu uygulamak için kullanmanız gereken Azure İzleyici özellikleriyle eşleştirir. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini sağlama konusunda öneriler sunar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure İzleyici için geçerli olan ilgili yönergelere göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde Azure İlkesi tanımları listelenir.
Bu temel, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için belirli özelliklerle ilgili Azure İlkesi Tanımlarını listeler. Belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planına ihtiyacınız olabilir.
Not
Azure İzleyici için geçerli olmayan özellikler dışlanmıştır. Azure İzleyici'nin Microsoft bulut güvenlik karşılaştırmasına tamamen nasıl eşlendiğini görmek için azure izleyicisi güvenlik temeli eşleme dosyasının tamamına bakın.
Güvenlik profili
Güvenlik profili, Azure İzleyici'nin yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | DevOps, Güvenlik |
| Müşteri HOST/ işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | True |
| Bekleyen müşteri içeriğini depolar | True |
Ağ güvenliği
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyonu sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Yapılandırma Kılavuzu: Hizmeti bir sanal ağa dağıtın. Genel IP'leri kaynağa doğrudan atamak için güçlü bir neden olmadığı sürece kaynağa özel IP'ler atayın (varsa).
Başvuru: Ağları Azure İzleyici'ye bağlamak için Azure Özel Bağlantı kullanma
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Yapılandırma Kılavuzu: Trafiği bağlantı noktası, protokol, kaynak IP adresi veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) kullanın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.
Başvuru: Azure İzleyici tarafından kullanılan IP adresleri
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Yapılandırma Kılavuzu: Azure Özel Bağlantı ile özel uç noktaları kullanarak Azure hizmet olarak platform (PaaS) kaynaklarını sanal ağınıza güvenli bir şekilde bağlayabilirsiniz. Azure İzleyici, iş yüklerinizi izlemek için birlikte çalışan farklı birbirine bağlı hizmetlerin bir bağlantı kümesidir. Azure İzleyici Özel Bağlantı, bir özel uç noktayı bir dizi Azure İzleyici kaynağına bağlayarak izleme ağınızın sınırlarını tanımlar. Bu küme, Azure İzleyici Özel Bağlantı Kapsamı (AMPLS) olarak adlandırılır.
Başvuru: Ağları Azure İzleyici'ye bağlamak için Azure Özel Bağlantı kullanma
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Yapılandırma Kılavuzu: Hizmet düzeyi IP ACL filtreleme kuralını veya genel ağ erişimi için geçiş anahtarını kullanarak genel ağ erişimini devre dışı bırakın. Burada ek bilgilere bakın: Azure İzleyici Özel Bağlantı Kapsamını (AMPLS) kullanma
Başvuru: Ağları Azure İzleyici'ye bağlamak için Azure Özel Bağlantı kullanma
Kimlik yönetimi
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Microsoft Entra Kimlik Doğrulaması, Veri Düzlemi Erişimi için Gereklidir
Açıklama: Hizmet, veri düzlemi erişimi için Microsoft Entra kimlik doğrulamasını kullanmayı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Özellik notları: Azure İzleyici Aracısı varsayılan olarak yönetilen kimlikleri ve Microsoft Entra kimlik doğrulamayı kullanır ve burada belgelenmiştir: Azure İzleyici Aracısı gereksinimleri
Application Insights için Microsoft Entra kimlik doğrulaması burada açıklandığı gibi, Application Insights'ın Microsoft Entra kimlik doğrulamasını zorunlu kılacak şekilde yapılandırılması
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Referans: Application Insights için Microsoft Entra kimlik doğrulaması
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Özellik notları: Yönetilen kimlik, Azure İzleyici Aracısı yüklenmeden önce Azure sanal makinelerinde etkinleştirilmelidir. Azure İzleyici Aracısı Önkoşulları
Yapılandırma Kılavuzu: Mümkün olduğunda hizmet sorumluları yerine Azure tarafından yönetilen kimlikler kullanın. Bu kimlikler, Microsoft Entra kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilir. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur; kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgileri önlenir.
Başvuru: Application Insights için Microsoft Entra kimlik doğrulaması
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Özellik notları: Bu yalnızca Güvenli Web Kancaları için geçerlidir.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure portalında eylem grupları oluşturma ve yönetme
Ayrıcalıklı erişim
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-7: Tam yetecek kadar yönetim uygulama (en düşük ayrıcalık) ilkesi
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Rol Tabanlı Erişim Denetimi (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure İzleyici'de roller, izinler ve güvenlik
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Özellik notları: Yalnızca Azure İzleyici Log Analytics ayrılmış bir kümeyle yapılandırıldığında kullanılabilir.
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, gözden geçirmek için Müşteri Kasası'nu kullanın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin. Bu yalnızca ayrılmış kümelerdeki günlük verileri için geçerlidir.
Başvuru: Müşteri Kasası (önizleme)
Veri koruması
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım içi veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Özellik notları: Veri alımı dışında tümü varsayılan olarak yapılandırılır.
Log Analytics için
Yapılandırma Kılavuzu: Yerleşik aktarım şifrelemesi özelliğinde yerel verilerin bulunduğu hizmetlerde güvenli aktarımı etkinleştirin. Herhangi bir web uygulaması ve hizmeti üzerinde HTTPS uygulayın ve TLS v1.2 veya üzerinin kullanıldığından emin olun. SSL 3.0, TLS v1.0 gibi eski sürümler devre dışı bırakılmalıdır. Sanal Makineler uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Şifrelemedeki Veriler
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Şifrelemedeki Veriler
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | False | Customer |
Özellik notları: Azure İzleyici verileri, hizmetlerin durumuyla ilgili verilerdir ve varsayılan olarak Müşteri Kasası tarafından korunmaz. Yalnızca Günlükler, Kilit Kutusu tarafından ve yalnızca ayrılmış kümeler için korunabilir.
Yapılandırma Kılavuzu: Azure İzleyici verileri yalnızca hizmet durumu verilerine yöneliktir ve yalnızca ayrılmış kümelerde depolanan Günlük Verileri, Rest Encryption'da Veriler için Müşteri Tarafından Yönetilen Anahtarların kullanılmasına izin verir. Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Başvuru: Azure İzleyici müşteri tarafından yönetilen anahtar
Varlık yönetimi
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarmak için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure İzleyici'de tanılama ayarları
Yedekleme ve kurtarma
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin