Güvenlik Denetimi: Veri koruması

  • Makale

Veri Koruması, erişim denetimi, şifreleme, anahtar yönetimi ve sertifika yönetimi kullanarak hassas veri varlıklarını bulma, sınıflandırma, koruma ve izleme dahil olmak üzere bekleyen, aktarımdaki ve yetkili erişim mekanizmaları aracılığıyla veri koruma denetimini kapsar.|

DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Güvenlik ilkesi: Tanımlanan hassas veri kapsamına göre hassas verilerin envanterini oluşturun ve koruyun. Kapsam içi hassas verileri bulmak, sınıflandırmak ve etiketlemek için araçları kullanın.

Azure kılavuzu: Azure, şirket içi, Microsoft 365 ve diğer konumlarda bulunan hassas verileri merkezi olarak taramak, sınıflandırmak ve etiketlemek için eski Azure Purview ve Microsoft 365 uyumluluk çözümlerini birleştiren ve Veri Bulma ve Sınıflandırma'yı Azure SQL Microsoft Purview gibi araçları kullanın.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: Verilerinizi çeşitli kaynaklardan S3 depolama demetine çoğaltın ve AWS Macie'yi kullanarak demette depolanan hassas verileri tarayın, sınıflandırın ve etiketleyelim. AWS Macie güvenlik kimlik bilgileri, finansal bilgiler, PHI ve PII verileri gibi hassas verileri veya özel veri tanımlayıcı kurallarına göre diğer veri desenini algılayabilir.

S3 depolama demetinde bulunan hassas verileri taramak, sınıflandırmak ve etiketlemek için Azure Purview çoklu bulut tarama bağlayıcısını da kullanabilirsiniz.

Not: Veri bulma sınıflandırması ve etiketlemesi amacıyla AWS Market'ten üçüncü taraf kurumsal çözümleri de kullanabilirsiniz.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: GCP ve şirket içi ortamlarda bulunan hassas verileri merkezi olarak taramak, sınıflandırmak ve etiketlemek için Google Bulut Veri Kaybı Önleme gibi araçları kullanın.

Ayrıca Google Cloud Veri Kataloğu kullanarak, tanımlanan etiket şablonlarıyla hassas verileri tanımlamak için Bulut Veri Kaybı Önleme (DLP) taramasının sonuçlarını kullanın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.13 AC-4, SI-4 A3.2

Güvenlik ilkesi: Verilerin kurumsal görünürlük ve denetim dışındaki konumlara yetkisiz aktarılması gibi hassas veriler ile ilgili anomalileri izleyin. Bu normalde yetkisiz veri sızdırmaya işaret ediyor olabilecek anormal etkinliklerin (büyük veya alışılmamış aktarımlar) izlenmesini içerir.

Azure kılavuzu: Sınıflandırılmış ve etiketlenmiş verileri izlemek için Azure Information Protection 'ı (AIP) kullanın.

Depolama için Microsoft Defender, SQL için Microsoft Defender, açık kaynak ilişkisel veritabanları için Microsoft Defender ve cosmos DB için Microsoft Defender kullanarak hassas verilerin yetkisiz aktarımına işaret eden anormal bilgi aktarımı konusunda uyarıda bulunun Bilgi.

Not: Veri kaybı önleme (DLP) uyumluluğu için gerekirse, veri sızdırmayı önlemek için dedektif ve/veya önleyici denetimleri zorunlu kılmak için Azure Market konak tabanlı bir DLP çözümü veya Microsoft 365 DLP çözümü kullanabilirsiniz.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: Sınıflandırılmış ve etiketlenmiş verileri izlemek için AWS Macie'yi kullanın ve bazı kaynaklardaki anormal etkinlikleri (S3, EC2 veya Kubernetes veya IAM kaynakları) algılamak için GuardDuty kullanın. Bulgular ve uyarılar EventBridge kullanılarak önceliklendirilebilir, analiz edilebilir ve izlenebilir ve olay toplama ve izleme için Microsoft Sentinel veya Güvenlik Merkezi'ne iletilebilir.

Uyumluluk denetimleri, kapsayıcı güvenliği ve uç nokta güvenliği özellikleri için AWS hesaplarınızı Bulut için Microsoft Defender da bağlayabilirsiniz.

Not: Veri kaybı önleme (DLP) uyumluluğu için gerekirse AWS Market'ten konak tabanlı bir DLP çözümü kullanabilirsiniz.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: Google Cloud Security Komut Merkezi/Olay Tehdit Algılaması/Anomali Algılama özelliğini kullanarak hassas veri bilgilerinin yetkisiz aktarımını gösterebilecek bilgilerin anormal aktarımı konusunda uyarı alın.

Ayrıca uyumluluk denetimleri, kapsayıcı güvenliği ve uç nokta güvenliği özellikleri için GCP hesaplarınızı Bulut için Microsoft Defender bağlayabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DP-3: Aktarımdaki hassas verileri şifreleme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Güvenlik ilkesi: Saldırganların verileri kolayca okuyamayacağından veya değiştiremediğinden emin olmak için şifreleme kullanarak aktarımdaki verileri 'bant dışı' saldırılara (trafik yakalama gibi) karşı koruyun.

Aktarım şifrelemesindeki verilerin ağ içinde ve dışında zorunlu olduğu ağ sınırını ve hizmet kapsamını ayarlayın. Bu, özel ağlardaki trafik için isteğe bağlı olsa da, dış ve genel ağlardaki trafik için kritik önem taşır.

Azure kılavuzu: Aktarım şifrelemesi özelliğinde yerel verilerin yerleşik olarak bulunduğu Azure Depolama gibi hizmetlerde güvenli aktarımı zorunlu tutun.

Azure kaynaklarınıza bağlanan tüm istemcilerin aktarım katmanı güvenliği (TLS) v1.2 veya sonraki bir sürümü kullanmasını sağlayarak web uygulaması iş yükleri ve hizmetleri için HTTPS uygulayın. VM'lerin uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.

Azure sanal makinelerinin uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın. Güvenli dosya aktarımı için normal FTP hizmetini kullanmak yerine Azure Depolama Blobunda SFTP/FTPS hizmetini, App Service uygulamalarını ve İşlev uygulamalarını kullanın.

Not: Aktarım şifrelemesi, Azure veri merkezleri arasında seyahat eden tüm Azure trafiği için etkinleştirilir. TLS v1.2 veya üzeri, çoğu Azure hizmeti için varsayılan olarak etkindir. Ayrıca Azure Depolama ve Application Gateway gibi bazı hizmetler sunucu tarafında TLS v1.2 veya üzerini zorunlu kılabilir.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: Aktarım şifrelemesi özelliğinde yerel verilerin yerleşik olduğu Amazon S3, RDS ve CloudFront gibi hizmetlerde güvenli aktarımı zorunlu tutun.

AWS kaynaklarınıza bağlanan tüm istemcilerin TLS v1.2 veya üzerini kullanmasını sağlayarak iş yükü web uygulaması ve hizmetleri (sunucu tarafında veya istemci tarafında ya da her ikisinde de) için HTTPS 'yi (AWS Elastic Load Balancer gibi) zorunlu kılın.

EC2 örneklerinin uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın. Güvenli dosya aktarımı için normal bir FTP hizmeti yerine AWS Transfer SFTP veya FTPS hizmetini kullanın.

Not: AWS veri merkezleri arasındaki tüm ağ trafiği fiziksel katmanda saydam bir şekilde şifrelenir. Desteklenen Amazon EC2 örnek türleri kullanılırken bir VPC içindeki ve bölgeler arasında eşlenen VPC'ler arasındaki tüm trafik ağ katmanında saydam bir şekilde şifrelenir. TLS v1.2 veya üzeri, aws hizmetlerinin çoğunda varsayılan olarak etkindir. AYRıCA AWS Load Balancer gibi bazı hizmetler sunucu tarafında TLS v1.2 veya üstünü zorunlu kılabilir.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Aktarımdaki yerel verilerin şifreleme özelliğinin yerleşik olduğu Google Cloud Storage gibi hizmetlerde güvenli aktarımı zorunlu kılma.

GCP kaynaklarınıza bağlanan tüm istemcilerin aktarım katmanı güvenliği (TLS) v1.2 veya üzerini kullanmasını sağlayarak web uygulaması iş yükleri ve hizmetleri için HTTPS'yi zorunlu kılın.

Uzaktan yönetim için Google Cloud Compute Engine şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın. Güvenli dosya aktarımı için, normal bir FTP hizmeti yerine Google Cloud Big Query veya Cloud App Engine gibi hizmetlerde SFTP/FTPS hizmetini kullanın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DP-4: Bekleyen verileri varsayılan olarak şifrelemeyi etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.11 SC-28 3.4, 3.5

Güvenlik ilkesi: Erişim denetimlerini tamamlamak için bekleyen veriler şifreleme kullanılarak 'bant dışı' saldırılarına (temel depolamaya erişim gibi) karşı korunmalıdır. Bu, saldırganların verileri kolayca okuyamamasına veya değiştirememesine yardımcı olur.

Azure kılavuzu: Birçok Azure hizmetinde hizmet tarafından yönetilen anahtar kullanılarak altyapı katmanında bekleyen veriler şifrelemesi varsayılan olarak etkindir. Hizmet tarafından yönetilen bu anahtarlar müşteri adına oluşturulur ve her iki yılda bir otomatik olarak döndürülür.

Teknik olarak uygun olduğunda ve varsayılan olarak etkinleştirilmemişse, Azure hizmetlerinde veya VM'lerinizde bekleyen şifrelemedeki verileri depolama düzeyinde, dosya düzeyinde veya veritabanı düzeyinde etkinleştirebilirsiniz.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Birçok AWS hizmeti, AWS tarafından yönetilen bir müşteri ana anahtarı kullanılarak altyapı/platform katmanında varsayılan olarak bekleyen veriler şifrelemesini etkinleştirir. AWS tarafından yönetilen bu müşteri ana anahtarları müşteri adına oluşturulur ve her üç yılda bir otomatik olarak döndürülür.

Teknik olarak uygun olduğunda ve varsayılan olarak etkinleştirilmemişse, AWS hizmetlerinde veya VM'lerinizde bekleyen şifrelemedeki verileri depolama düzeyinde, dosya düzeyinde veya veritabanı düzeyinde etkinleştirebilirsiniz.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Birçok Google Cloud ürün ve hizmetinin bekleyen verileri, hizmet tarafından yönetilen bir anahtar kullanılarak altyapı katmanında varsayılan olarak etkindir. Bu hizmet tarafından yönetilen anahtarlar müşteri adına oluşturulur ve otomatik olarak döndürülür.

Teknik olarak uygun olduğunda ve varsayılan olarak etkinleştirilmemişse, GCP hizmetlerinde veya VM'lerinizde bekleyen şifrelemedeki verileri depolama düzeyinde, dosya düzeyinde veya veritabanı düzeyinde etkinleştirebilirsiniz.

Not: Ek ayrıntılar için ""Google Cloud services için şifrelemenin ayrıntı düzeyi" belgesine bakın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Güvenlik ilkesi: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtar seçeneğinin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Hizmetlerde müşteri tarafından yönetilen anahtarları kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.

Azure kılavuzu: Azure, çoğu hizmet için kendiniz tarafından yönetilen anahtarları (müşteri tarafından yönetilen anahtarlar) kullanarak bir şifreleme seçeneği de sağlar.

Azure Key Vault Standart, Premium ve Yönetilen HSM, müşteri tarafından yönetilen anahtar kullanım örnekleri için birçok Azure Hizmeti ile yerel olarak tümleştirilmiştir. Anahtarınızı oluşturmak veya kendi anahtarlarınızı getirmek için Azure Key Vault kullanabilirsiniz.

Ancak müşteri tarafından yönetilen anahtar seçeneğinin kullanılması, anahtar yaşam döngüsünü yönetmek için ek operasyonel çaba gerektirir. Bu şifreleme anahtarı oluşturma, döndürme, iptal etme ve erişim denetimi gibi konuları içerebilir.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: AWS, belirli hizmetler için kendiniz tarafından yönetilen anahtarları (AWS Anahtar Yönetimi Hizmeti'nde depolanan müşteri tarafından yönetilen müşteri ana anahtarı) kullanarak bir şifreleme seçeneği de sağlar.

AWS Anahtar Yönetimi Hizmeti (KMS), müşteri tarafından yönetilen müşteri ana anahtarı kullanım örnekleri için birçok AWS hizmetiyle yerel olarak tümleştirilmiştir. Ana anahtarlarınızı oluşturmak veya kendi anahtarlarınızı getirmek için AWS Anahtar Yönetimi Hizmeti'ni (KMS) kullanabilirsiniz.

Ancak müşteri tarafından yönetilen anahtar seçeneğini kullanmak için anahtar yaşam döngüsünü yönetmek için ek operasyonel çabalar gerekir. Bu şifreleme anahtarı oluşturma, döndürme, iptal etme ve erişim denetimi gibi konuları içerebilir.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Google Cloud, çoğu hizmet için kendiniz tarafından yönetilen anahtarları (müşteri tarafından yönetilen anahtarlar) kullanarak bir şifreleme seçeneği sunar.

Google Cloud Key Management Service (Cloud KMS), müşteri tarafından yönetilen şifreleme anahtarları için birçok GCP hizmetiyle yerel olarak tümleştirilmiştir. Bu anahtarlar Bulut KMS kullanılarak oluşturulabilir ve yönetilebilir ve anahtarları yazılım anahtarları olarak, bir HSM kümesinde veya harici olarak depolayabilirsiniz. Anahtarınızı oluşturmak veya kendi anahtarlarınızı (müşteri tarafından sağlanan şifreleme anahtarları) sağlamak için Bulut KMS'sini kullanabilirsiniz.

Ancak müşteri tarafından yönetilen anahtar seçeneğini kullanmak için anahtar yaşam döngüsünü yönetmek için ek operasyonel çabalar gerekir. Bu şifreleme anahtarı oluşturma, döndürme, iptal etme ve erişim denetimi gibi konuları içerebilir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DP-6: Güvenli bir anahtar yönetimi işlemi kullanma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
Yok IA-5, SC-12, SC-28 3.6

Güvenlik ilkesi: Anahtar yaşam döngünüzü denetlemek için kurumsal şifreleme anahtar yönetimi standardı, süreçleri ve yordamlarını belgeleyin ve uygulayın. Hizmetlerde müşteri tarafından yönetilen anahtarın kullanılması gerektiğinde anahtar oluşturma, dağıtma ve depolama için güvenli bir anahtar kasası hizmeti kullanın. Anahtarlarınızı tanımlı zamanlamaya göre ve anahtar kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin.

Azure kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Azure Key Vault ve hizmetinizde anahtarlarınızı tanımlanan zamanlamaya göre ve anahtar kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin. Anahtar oluştururken belirli bir şifreleme türü ve en düşük anahtar boyutu gerektirir.

İş yükü hizmetlerinde veya uygulamalarında müşteri tarafından yönetilen anahtar (CMK) kullanmanız gerektiğinde en iyi yöntemleri izlediğinizi unutmayın:

  • Anahtar kasanızda anahtar şifreleme anahtarınız (KEK) ile ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için bir anahtar hiyerarşisi kullanın.
  • Anahtarların Azure Key Vault kaydedildiğinden ve her hizmet veya uygulamadaki anahtar kimlikleri aracılığıyla uygulandığından emin olun.

Anahtar malzeme ömrünü ve taşınabilirliği en üst düzeye çıkarmak için, kendi anahtarınızı (KAG) hizmetlere getirin (örneğin, HSM korumalı anahtarları şirket içi HSM'lerinizden Azure Key Vault'ye aktarma). Anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.

Not: Azure Key Vault türleri için FIPS 140-2 düzeyi ve FIPS uyumluluk/doğrulama düzeyi için aşağıdakilere bakın.

  • Kasalardaki yazılım korumalı anahtarlar (Premium & Standart SKU'lar): FIPS 140-2 Düzey 1
  • Kasalarda HSM korumalı anahtarlar (Premium SKU): FIPS 140-2 Düzey 2
  • Yönetilen HSM'de HSM korumalı anahtarlar: FIPS 140-2 Düzey 3

Azure Key Vault Premium arka uçta paylaşılan bir HSM altyapısı kullanır. Azure Key Vault Yönetilen HSM, daha yüksek bir anahtar güvenliğine ihtiyacınız olduğunda ayrılmış, gizli hizmet uç noktalarını ayrılmış bir HSM ile kullanır.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için AWS Anahtar Yönetimi Hizmeti'ni (KMS) kullanın. KmS'de anahtarlarınızı ve hizmetinizi tanımlanan zamanlamaya göre ve anahtar kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin.

İş yükü hizmetlerinde veya uygulamalarında müşteri tarafından yönetilen müşteri ana anahtarını kullanmanız gerektiğinde en iyi yöntemleri izlediğinizi unutmayın:

  • KMS'nizde anahtar şifreleme anahtarınız (KEK) ile ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için bir anahtar hiyerarşisi kullanın.
  • Anahtarların KMS'ye kaydedildiğinden emin olun ve her hizmet veya uygulamada IAM ilkeleri aracılığıyla uygulayın.

Anahtar malzeme ömrünü ve taşınabilirliği en üst düzeye çıkarmak için, kendi anahtarınızı (KAG) hizmetlere getirin (örneğin, HSM korumalı anahtarları şirket içi HSM'lerinizden KMS'ye veya Bulut HSM'ye aktarma). Anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.

Not: AWS KMS arka uçta paylaşılan HSM altyapısını kullanır. Şifreleme anahtarlarınızı oluşturmak ve depolamak için kendi anahtar deponuzu ve ayrılmış HSM'lerinizi (ör. daha yüksek anahtar güvenliği için mevzuat uyumluluğu gereksinimi) yönetmeniz gerektiğinde AWS CloudHSM tarafından desteklenen AWS KMS Özel Anahtar Deposu'nı kullanın.

Not: AWS KMS ve CloudHSM'de FIPS uyumluluk düzeyi için FIPS 140-2 düzeyi için aşağıdakilere bakın:

  • AWS KMS varsayılan: FIPS 140-2 Düzey 2 doğrulandı
  • CloudHSM kullanarak AWS KMS: FIPS 140-2 Düzey 3 (belirli hizmetler için) doğrulandı
  • AWS CloudHSM: FIPS 140-2 Düzey 3 doğrulandı

Not: Gizli dizi yönetimi (kimlik bilgileri, parola, API anahtarları vb.) için AWS Gizli Dizi Yöneticisi'ni kullanın.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Uyumlu Google Cloud hizmetlerinde ve iş yükü uygulamalarınızda şifreleme anahtarı yaşam döngülerini oluşturmak ve yönetmek için Bulut Anahtar Yönetimi Hizmeti'ni (Bulut KMS) kullanın. Bulut KMS'de anahtarlarınızı ve hizmetinizi tanımlı zamanlamaya göre ve anahtar kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin.

Cloud KMS'ye (Anahtar Yönetimi Hizmeti) donanım destekli anahtarlar sağlamak için Google'ın Cloud HSM hizmetini kullanın. Tam olarak yönetilen Donanım Güvenlik Modülleri (HSM) tarafından korunurken kendi şifreleme anahtarlarınızı yönetmenize ve kullanmanıza olanak sağlar.

Bulut HSM hizmeti, FIPS 140-2 Düzey 3 onaylı ve her zaman FIPS modunda çalışan HSM'leri kullanır. FIPS 140-2 Düzey 3-doğrulanmış ve her zaman FIPS modunda çalışır. FIPS standardı, HSM'ler tarafından kullanılan şifreleme algoritmalarını ve rastgele sayı oluşturmayı belirtir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DP-7: Güvenli bir sertifika yönetim işlemi kullanma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
Yok IA-5, SC-12, SC-17 3.6

Güvenlik ilkesi: Bir kurumsal sertifika yönetimi standardı, sertifika yaşam döngüsü denetimini içeren işlemler ve yordamlar ve sertifika ilkeleri (ortak anahtar altyapısı gerekiyorsa) belgeleyin ve uygulayın.

Hizmet kesintisini önlemek için, kuruluşunuzdaki kritik hizmetler tarafından kullanılan sertifikaların envantere kaydedilmiş, izlenmiş, izlenmiş ve otomatik mekanizma kullanılarak zamanında yenilenmiş olduğundan emin olun.

Azure kılavuzu: Sertifika oluşturma/içeri aktarma, döndürme, iptal etme, depolama ve temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme vb. gibi güvenli olmayan özellikler kullanmadan sertifika oluşturmanın tanımlı standarda uydığından emin olun. Azure Key Vault ve desteklenen Azure hizmetlerinde sertifikanın otomatik rotasyonunu, tanımlanan zamanlamaya göre ve bir sertifikanın süresi dolduğunda ayarlayın. Ön uç uygulamasında otomatik döndürme desteklenmiyorsa Azure Key Vault'da el ile döndürme kullanın.

Sınırlı güvenlik güvencesi nedeniyle kritik hizmetlerinizde otomatik olarak imzalanan sertifika ve joker sertifika kullanmaktan kaçının. Bunun yerine, Azure Key Vault'da genel olarak imzalanan sertifikalar oluşturabilirsiniz. Aşağıdaki Sertifika Yetkilileri (CA) şu anda Azure Key Vault ile tümleştirilmiş olan iş ortağı sağlayıcılardır.

  • DigiCert: Azure Key Vault, DigiCert ile OV TLS/SSL sertifikaları sunar.
  • GlobalSign: Azure Key Vault, GlobalSign ile OV TLS/SSL sertifikaları sunar.

Not: Yalnızca onaylı CA kullanın ve bu CA'lar tarafından verilen bilinen hatalı kök/ara sertifikaların devre dışı bırakıldığından emin olun.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Sertifika oluşturma/içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için AWS Sertifika Yöneticisi'ni (ACM) kullanın. Yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme vb. gibi güvenli olmayan özellikler kullanmadan sertifika oluşturmanın tanımlı standarda uydığından emin olun. ACM'de sertifikanın otomatik olarak döndürülmesi ve desteklenen AWS hizmetlerini, tanımlanan zamanlamaya göre ve bir sertifikanın süresi dolduğunda ayarlayın. Ön uç uygulamasında otomatik döndürme desteklenmiyorsa, ACM'de el ile döndürmeyi kullanın. Bu arada, sertifikanın geçerliliğini sağlamak için sertifika yenileme durumunuzu her zaman izlemeniz gerekir.

Sınırlı güvenlik güvencesi nedeniyle kritik hizmetlerinizde otomatik olarak imzalanan sertifika ve joker sertifika kullanmaktan kaçının. Bunun yerine, ACM'de genel olarak imzalanan sertifikalar (Amazon Sertifika Yetkilisi tarafından imzalanan) oluşturun ve CloudFront, Load Balancers, API Gateway vb. hizmetlere program aracılığıyla dağıtın. Özel sertifikaları imzalamak üzere özel sertifika yetkilinizi (CA) kurmak için ACM de kullanabilirsiniz.

Not: Yalnızca onaylı bir CA kullanın ve bu CA'lar tarafından verilen bilinen hatalı CA kök/ara sertifikalarının devre dışı bırakıldığından emin olun.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Sertifika oluşturma/içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Google Cloud Sertifika Yöneticisi'ni kullanın. Yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme vb. gibi güvenli olmayan özellikler kullanmadan sertifika oluşturmanın tanımlı standarda uydığından emin olun. Sertifika Yöneticisi'nde sertifikanın otomatik olarak döndürüleceğini ve tanımlanan zamanlamaya ve bir sertifikanın süresinin ne zaman dolmasına bağlı olarak desteklenen GCP hizmetlerini ayarlayın. Ön uç uygulamasında otomatik döndürme desteklenmiyorsa Sertifika Yöneticisi'nde el ile döndürmeyi kullanın. Bu arada, sertifikanın geçerliliğini sağlamak için sertifika yenileme durumunuzu her zaman izlemeniz gerekir.

Sınırlı güvenlik güvencesi nedeniyle kritik hizmetlerinizde otomatik olarak imzalanan sertifika ve joker sertifika kullanmaktan kaçının. Bunun yerine, Sertifika Yöneticisi'nde imzalı ortak sertifikalar oluşturabilir ve Load Balancer ve Bulut DNS gibi hizmetlere program aracılığıyla dağıtabilirsiniz. Özel sertifikaları imzalamak üzere özel sertifika yetkilinizi (CA) kurmak için Sertifika Yetkilisi Hizmeti'ni de kullanabilirsiniz.

Not: TLS sertifikalarını depolamak için Google Cloud Secret Manager'ı da kullanabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DP-8: Anahtar ve sertifika deposunun güvenliğini sağlama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
Yok IA-5, SC-12, SC-17 3.6

Güvenlik ilkesi: Şifreleme anahtarı ve sertifika yaşam döngüsü yönetimi için kullanılan anahtar kasası hizmetinin güvenliğini sağlayın. Anahtar ve sertifikaların her zaman maksimum güvenlik kullanılarak korunduğundan emin olmak için erişim denetimi, ağ güvenliği, günlüğe kaydetme ve izleme ve yedekleme yoluyla anahtar kasası hizmetinizi sağlamlaştırın.

Azure kılavuzu: Aşağıdaki denetimler aracılığıyla Azure Key Vault hizmetinizi sağlamlaştırarak şifreleme anahtarlarınızın ve sertifikalarınızın güvenliğini sağlayın:

  • En az ayrıcalık ve görev ayrımı ilkelerine uyulmasını sağlamak için Azure Key Vault Yönetilen HSM'de RBAC ilkelerini kullanarak erişim denetimini temel düzeyde uygulayın. Örneğin, şifreleme anahtarlarını yöneten kullanıcılar için görev ayrımının geçerli olduğundan emin olun; böylece şifrelenmiş verilere erişme olanağına sahip olmazlar ve bunun tersi de geçerlidir. Azure Key Vault Standart ve Premium için, en az ayrıcalık ve görev ayrımı ilkelerine uyulmasını sağlamak üzere farklı uygulamalar için benzersiz kasalar oluşturun.
  • Kritik yönetim düzlemi ve veri düzlemi etkinliklerinin günlüğe kaydedildiğinden emin olmak için Azure Key Vault günlüğünü açın.
  • Hizmetin en düşük düzeyde açığa çıkartılmasını sağlamak için Özel Bağlantı ve Azure Güvenlik Duvarı kullanarak Azure Key Vault güvenliğini sağlama
  • İş yükü uygulamalarınızda Azure Key Vault depolanan anahtarlara erişmek için yönetilen kimliği kullanın.
  • Verileri temizlerken gerçek veriler, yedeklemeler ve arşivler temizlenmeden önce anahtarlarınızın silinmediğinden emin olun.
  • Azure Key Vault kullanarak anahtarlarınızı ve sertifikalarınızı yedekleyin. Anahtarların yanlışlıkla silinmesini önlemek için geçici silme ve temizleme korumasını etkinleştirin. Anahtarların silinmesi gerektiğinde, anahtarların yanlışlıkla silinmesini ve verilerin şifresel olarak silinmesini önlemek için anahtarları silmek yerine devre dışı bırakmayı göz önünde bulundurun.
  • Kendi anahtarını getir (BYOK) kullanım örnekleri için, şirket içi HSM'de anahtarlar oluşturun ve anahtarların kullanım ömrünü ve taşınabilirliğini en üst düzeye çıkarmak için bunları içeri aktarın.
  • Anahtarları hiçbir zaman Azure Key Vault dışında düz metin biçiminde depolamayın. Tüm anahtar kasası hizmetlerindeki anahtarlar varsayılan olarak dışarı aktarılamaz.
  • Donanım koruması ve en güçlü FIPS düzeyleri için Azure Key Vault Premium ve Azure Yönetilen HSM'de HSM destekli anahtar türlerini (RSA-HSM) kullanın.

Ek güvenlik analizi katmanı sağlayan Azure’a özel gelişmiş tehdit korumasını kullanmak için Key Vault için Microsoft Defender’ı etkinleştirin.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Şifreleme anahtarları güvenliği için aşağıdaki denetimler aracılığıyla AWS Key Management Service (KMS) hizmetinizi sağlamlaştırarak anahtarlarınızın güvenliğini sağlayın:

  • En az ayrıcalık ve görev ayrımı ilkelerine uyulmasını sağlamak için IAM ilkeleriyle (kimlik tabanlı erişim denetimi) birlikte anahtar ilkeleri (anahtar düzeyinde erişim denetimi) kullanarak erişim denetimi uygulayın. Örneğin, şifreleme anahtarlarını yöneten kullanıcılar için görev ayrımının geçerli olduğundan emin olun; böylece şifrelenmiş verilere erişme olanağına sahip olmazlar ve bunun tersi de geçerlidir.
  • KMS'de anahtarların kullanımını günlüğe kaydetmek ve izlemek ve kritik eylemler konusunda sizi uyarmak için CloudTrails gibi dedektif denetimlerini kullanın.
  • Anahtarları hiçbir zaman KMS dışında düz metin biçiminde depolamayın.
  • Anahtarların silinmesi gerektiğinde, anahtarların yanlışlıkla silinmesini ve verilerin şifresel olarak silinmesini önlemek için anahtarları silmek yerine KMS'de devre dışı bırakmayı göz önünde bulundurun.
  • Verileri temizlerken gerçek veriler, yedeklemeler ve arşivler temizlenmeden önce anahtarlarınızın silinmediğinden emin olun.
  • Kendi anahtarını getir (BYOK) kullanım örnekleri için, şirket içi HSM'de anahtarlar oluşturun ve anahtarların kullanım ömrünü ve taşınabilirliğini en üst düzeye çıkarmak için bunları içeri aktarın.

Sertifika güvenliği için aşağıdaki denetimler aracılığıyla AWS Sertifika Yöneticisi (ACM) hizmetinizi sağlamlaştırarak sertifikalarınızın güvenliğini sağlayın:

  • En az ayrıcalık ve görev ayrımı ilkelerine uyulmasını sağlamak için IAM ilkeleriyle (kimlik tabanlı erişim denetimi) birlikte kaynak düzeyi ilkeleri kullanarak erişim denetimi uygulayın. Örneğin, kullanıcı hesapları için görev ayrımının mevcut olduğundan emin olun: Sertifika oluşturan kullanıcı hesapları, yalnızca sertifikalara salt okunur erişim gerektiren kullanıcı hesaplarından ayrıdır.
  • CloudTrails gibi dedektif denetimlerini kullanarak ACM'de sertifikaların kullanımını günlüğe kaydedip izleyin ve kritik eylemler konusunda sizi uyarın.
  • Hizmet sertifikası tümleştirmesi için kullanılan özel anahtarınızın (sertifika isteği için oluşturulan) güvenliğini sağlamak için KMS güvenlik yönergelerini izleyin.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Şifreleme anahtarları güvenliği için, aşağıdaki denetimler aracılığıyla Anahtar Yönetimi Hizmetinizi sağlamlaştırarak anahtarlarınızın güvenliğini sağlayın:

  • En az ayrıcalık ve görev ayrımı ilkelerine uyulmasını sağlamak için IAM rollerini kullanarak erişim denetimi uygulayın. Örneğin, şifreleme anahtarlarını yöneten kullanıcılar için görev ayrımının geçerli olduğundan emin olun; böylece şifrelenmiş verilere erişme olanağına sahip olmazlar ve bunun tersi de geçerlidir.
  • Her proje için, en düşük ayrıcalık en iyi uygulamasını izleyerek anahtarlara erişimi kolayca yönetmenize ve denetlemenize olanak tanıyan ayrı bir anahtar halkası oluşturun. Ayrıca, kimlerin hangi anahtarlara ne zaman erişebileceklerini denetlemeyi de kolaylaştırır.
  • Anahtarların düzenli olarak güncelleştirildiğinden ve yenilendiğinden emin olmak için anahtarların otomatik döndürmesini etkinleştirin. Bu, deneme yanılma saldırıları veya hassas bilgilere erişmeye çalışan kötü amaçlı aktörler gibi olası güvenlik tehditlerine karşı korunmaya yardımcı olur.
  • GCP KMS ortamınızda gerçekleşen tüm etkinlikleri izlemek için bir denetim günlüğü havuzu ayarlayın.

Sertifika güvenliği için aşağıdaki denetimler aracılığıyla GCP Sertifika Yöneticisi ve Sertifika Yetkilisi Hizmetinizi sağlamlaştırarak sertifikalarınızın güvenliğini sağlayın:

  • En az ayrıcalık ve görev ayrımı ilkelerine uyulmasını sağlamak için IAM ilkeleriyle (kimlik tabanlı erişim denetimi) birlikte kaynak düzeyi ilkeleri kullanarak erişim denetimi uygulayın. Örneğin, kullanıcı hesapları için görev ayrımının mevcut olduğundan emin olun: Sertifika oluşturan kullanıcı hesapları, yalnızca sertifikalara salt okunur erişim gerektiren kullanıcı hesaplarından ayrıdır.
  • Sertifika Yöneticisi'nde sertifikaların kullanımını günlüğe kaydetmek ve izlemek ve kritik eylemler konusunda sizi uyarmak için Bulut Denetim Günlükleri gibi dedektif denetimlerini kullanın.
  • Gizli Dizi Yöneticisi, TLS sertifikasının depolanmasını da destekler. Gizli Dizi Yöneticisi'nde güvenlik denetimlerini uygulamak için benzer güvenlik uygulamalarını izlemeniz gerekir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):