Share via

Güvenlik Denetimi: İdare ve strateji

  • Makale

İdare ve Strateji, farklı bulut güvenliği işlevleri, birleşik teknik strateji ve destekleyici ilkeler ve standartlar için rol ve sorumluluklar oluşturma dahil olmak üzere güvenlik güvencesini yönlendirmek ve sürdürmek için tutarlı bir güvenlik stratejisinin ve belgelenmiş idare yaklaşımının sağlanmasına yönelik rehberlik sağlar.

GS-1: Kuruluş rollerini, sorumluluklarını ve sorumluluklarını uyumlu hale getirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
14.9 PL-9, PM-10, PM-13, AT-1, AT-3 2.4

Genel rehberlik: Güvenlik kuruluşunuzdaki roller ve sorumluluklar için net bir strateji tanımladığınızdan ve ilettiğinizden emin olun. Güvenlik kararlarında net sorumluluk sağlamaya öncelik verin, herkesi paylaşılan sorumluluk modeli konusunda eğitin ve bulutu güvenli hale getirmek için teknik ekipleri teknoloji konusunda eğitin.

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-2: Kurumsal segmentasyon/görev ayrımı stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Genel rehberlik: Kimlik, ağ, uygulama, abonelik, yönetim grubu ve diğer denetimlerin birleşimini kullanarak varlıklara erişimi segmentlere ayırmak için kurumsal çapta bir strateji oluşturun.

Güvenlik ayrımı gereksinimiyle birbirleriyle iletişim kurma ve verilere erişme gereksinimine sahip olan sistemlerin günlük çalışmasını etkinleştirme gereksinimi arasında bir denge kurun.

Ağ güvenliği, kimlik ve erişim modelleri, uygulama izni/erişim modelleri ve insan işlem denetimleri dahil olmak üzere segmentasyon stratejisinin iş yükünde tutarlı bir şekilde uygulandığından emin olun.

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-3: Veri koruma stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Genel rehberlik: Bulut ortamınızda veri koruma için kurumsal çapta bir strateji oluşturun:

  • Veri sınıflandırmasının her düzeyi için gereken güvenlik denetimlerini dikte etmek için kurumsal veri yönetimi standardına ve mevzuat uyumluluğuna uygun olarak veri sınıflandırma ve koruma standardını tanımlayın ve uygulayın.
  • Bulut kaynak yönetimi hiyerarşinizi kurumsal segmentasyon stratejisine uygun olarak ayarlayın. Ayrıca kurumsal segmentasyon stratejisi, hassas ve iş açısından kritik verilerle sistemlerin konumu hakkında da bilgilendirilmelidir.
  • Bir çevre içindeki ağ konumuna göre güven uygulanmasını önlemek için bulut ortamınızda geçerli sıfır güven ilkelerini tanımlayın ve uygulayın. Bunun yerine, veri ve kaynaklara erişimi geçit olarak kullanmak için cihaz ve kullanıcı güveni taleplerini kullanın.
  • Saldırı yüzeyini ve veri koruma maliyetini azaltmak için kuruluş genelinde hassas veri ayak izini (depolama, iletim ve işleme) izleyin ve en aza indirin. Hassas verilerin özgün biçiminde depolanmasını ve iletilmesini önlemek için mümkün olduğunca iş yükünde tek yönlü karma, kesme ve belirteç oluşturma gibi teknikleri göz önünde bulundurun.
  • Verilerin ve erişim anahtarlarının güvenlik güvencesini sağlamak için tam bir yaşam döngüsü denetimi stratejiniz olduğundan emin olun.

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-4: Ağ güvenlik stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Genel rehberlik: Kuruluşunuzun erişim denetimi için genel güvenlik stratejisinin bir parçası olarak bir bulut ağı güvenlik stratejisi oluşturun. Bu strateji kapsamında aşağıdaki öğeler için rehberlik, ilkeler ve standartlar belgelenmiş olmalıdır:

  • Ağ kaynaklarını dağıtmak ve korumak için merkezi/merkezi olmayan bir ağ yönetimi ve güvenlik sorumluluğu modeli tasarlayın.
  • Kurumsal segmentasyon stratejisiyle uyumlu bir sanal ağ segmentasyon modeli.
  • İnternet uç ve giriş ve çıkış stratejisi.
  • Hibrit bulut ve şirket içi bağlantı stratejisi.
  • Ağ izleme ve günlüğe kaydetme stratejisi.
  • Güncel ağ güvenliği yapıtları (ağ diyagramları, başvuru ağ mimarisi gibi).

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-5: Güvenlik duruşu yönetim stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Genel rehberlik: Bulut güvenliği zorunluluğunuzda güvenlik yapılandırma yönetiminin ve güvenlik açığı yönetiminin geçerli olduğundan emin olmak için bir ilke, yordam ve standart oluşturun.

Buluttaki güvenlik yapılandırma yönetimi aşağıdaki alanları içermelidir:

  • Web portalı/konsolu, yönetim ve denetim düzlemi ve IaaS, PaaS ve SaaS hizmetlerinde çalışan kaynaklar gibi buluttaki farklı kaynak türleri için güvenli yapılandırma temellerini tanımlayın.
  • Güvenlik temellerinin ağ güvenliği, kimlik yönetimi, ayrıcalıklı erişim, veri koruma vb. gibi farklı denetim alanlarındaki riskleri giderdiğinden emin olun.
  • Temelden sapmasını önlemek için yapılandırmayı sürekli ölçmek, denetlemek ve zorunlu kılmak için araçları kullanın.
  • Örneğin hizmet güncelleştirmelerine abone olmak gibi güvenlik özellikleriyle güncel kalmak için bir tempo geliştirin.
  • Güvenlik yapılandırması duruşunu düzenli olarak gözden geçirmek ve tanımlanan boşlukları düzeltmek için bir güvenlik durumu veya uyumluluk denetimi mekanizması (Bulut için Microsoft Defender'de Güvenlik Puanı, Uyumluluk Panosu gibi) kullanın.

Buluttaki güvenlik açığı yönetimi aşağıdaki güvenlik yönlerini içermelidir:

  • Buluta özel hizmetler, işletim sistemleri ve uygulama bileşenleri gibi tüm bulut kaynak türlerindeki güvenlik açıklarını düzenli olarak değerlendirin ve düzeltin.
  • Değerlendirmeyi ve düzeltmeyi önceliklendirmek için risk tabanlı bir yaklaşım kullanın.
  • En son güvenlik güncelleştirmelerini almak için ilgili CSPM'nin güvenlik danışmanlığı bildirimlerine ve bloglarına abone olun.
  • Güvenlik açığı değerlendirmesinin ve düzeltmesinin (zamanlama, kapsam ve teknikler gibi) kuruluşunuzun uyumluluk gereksinimlerini karşıladığından emin olun.dule, kapsam ve teknikler), kuruluşunuz için düzenli olarak uyumluluk gereksinimlerini karşılar.

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-6: Kimlik ve ayrıcalıklı erişim stratejisi tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Genel rehberlik: Kuruluşunuzun genel güvenlik erişim denetimi stratejisinin bir parçası olarak bir bulut kimliği ve ayrıcalıklı erişim yaklaşımı oluşturun. Bu strateji aşağıdaki yönlerden belgelenmiş rehberlik, ilke ve standartları içermelidir:

  • Merkezi kimlik ve kimlik doğrulama sistemi (Azure AD gibi) ve diğer iç ve dış kimlik sistemleriyle bağlantısı
  • Ayrıcalıklı kimlik ve erişim idaresi (erişim isteği, gözden geçirme ve onay gibi)
  • Acil durumdaki ayrıcalıklı hesaplar (kırılan cam) durum
  • Farklı kullanım örnekleri ve koşullarında güçlü kimlik doğrulaması (parolasız kimlik doğrulaması ve çok faktörlü kimlik doğrulaması) yöntemleri.
  • Web portalı/konsol, komut satırı ve API aracılığıyla yönetim işlemleriyle güvenli erişim.

Kurumsal sistemin kullanılmadığı özel durumlar için kimlik, kimlik doğrulaması ve erişim yönetimi için yeterli güvenlik denetimlerinin bulunduğuna ve idare edildiğine emin olun. Bu özel durumlar kuruluş ekibi tarafından onaylanmalı ve düzenli aralıklarla gözden geçirilmelidir. Bu özel durumlar genellikle aşağıdaki gibi durumlardadır:

  • Bulut tabanlı üçüncü taraf sistemleri gibi kurumsal olmayan bir kimlik ve kimlik doğrulama sisteminin kullanımı (bilinmeyen risklere neden olabilir)
  • Ayrıcalıklı kullanıcıların kimliği yerel olarak doğrulandı ve/veya güçlü olmayan kimlik doğrulama yöntemlerini kullanıyor

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-7: Günlüğe kaydetme, tehdit algılama ve olay yanıtı stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Genel rehberlik: Tehditleri hızla algılayıp düzeltmek ve uyumluluk gereksinimlerini karşılamak için günlüğe kaydetme, tehdit algılama ve olay yanıtı stratejisi oluşturun. Güvenlik operasyonları (SecOps /SOC) ekibi, günlük tümleştirmesi ve el ile gerçekleştirilen adımlar yerine tehditlere odaklanabilmeleri için yüksek kaliteli uyarıları ve sorunsuz deneyimleri önceliklendirmelidir. Bu strateji aşağıdaki açılardan belgelenmiş ilke, yordam ve standartları içermelidir:

  • Güvenlik operasyonları (SecOps) kuruluşunun rolü ve sorumlulukları
  • NIST SP 800-61 (Bilgisayar Güvenliği Olay İşleme Kılavuzu) veya diğer sektör çerçeveleriyle uyumlu, iyi tanımlanmış ve düzenli olarak test edilmiş bir olay yanıtı planı ve işleme süreci.
  • Müşterileriniz, tedarikçileriniz ve ilgilendiğiniz kamu taraflarıyla iletişim ve bildirim planı.
  • Hazırlığınızın etkinliğini anlamak için bulut ortamınızda hem beklenen hem de beklenmeyen güvenlik olaylarının benzetimini gerçekleştirin. Yanıt duruşunuzun ölçeğini geliştirmek, değer elde etme süresini kısaltmak ve riski daha da azaltmak için simülasyonunuzun sonucunu yineler.
  • Çeşitli alanlardaki tehditleri algılamak için Azure Defender özellikleri gibi genişletilmiş algılama ve yanıt (XDR) özelliklerini kullanma tercihi.
  • Günlüğe kaydetme ve tehdit algılama, adli tıp ve saldırı düzeltme ve yok etme gibi olay işleme için bulutta yerel özelliğin (örneğin, Bulut için Microsoft Defender olarak) ve üçüncü taraf platformların kullanımı.
  • Güvenilir ve tutarlı yanıtlar sağlamak için el ile ve otomatik olarak gerekli runbook'ları hazırlayın.
  • Önemli senaryoları (tehdit algılama, olay yanıtı ve uyumluluk gibi) tanımlayın ve senaryo gereksinimlerini karşılamak için günlük yakalama ve saklama ayarlayın.
  • SIEM, yerel bulut tehdit algılama özelliği ve diğer kaynakları kullanarak tehditlerle ilgili merkezi görünürlük ve bağıntı bilgileri.
  • Öğrenilen dersler ve kanıt saklama gibi olay sonrası etkinlikler.

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-8: Yedekleme ve kurtarma stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
11.1 CP-1, CP-9, CP-10 3.4

Genel rehberlik: Kuruluşunuz için bir yedekleme ve kurtarma stratejisi oluşturun. Bu strateji aşağıdaki açılardan belgelenmiş rehberlik, ilke ve standartları içermelidir:

  • İş dayanıklılığı hedeflerinize ve mevzuat uyumluluğu gereksinimlerinize uygun kurtarma süresi hedefi (RTO) ve kurtarma noktası hedefi (RPO) tanımları.
  • Uygulamalarınızda ve altyapınızda hem bulutta hem de şirket içinde yedeklilik tasarımı (yedekleme, geri yükleme ve çoğaltma dahil). Stratejinizin bir parçası olarak bölgesel, bölge çiftleri, bölgeler arası kurtarma ve site dışı depolama konumunu göz önünde bulundurun.
  • Veri erişim denetimi, şifreleme ve ağ güvenliği gibi denetimleri kullanarak yetkisiz erişim ve temperlemeden yedeklemenin korunması.
  • Fidye yazılımı saldırıları gibi yeni ortaya çıkan tehditlerden kaynaklanan riskleri azaltmak için yedekleme ve kurtarma kullanımı. Ayrıca yedekleme ve kurtarma verilerinin güvenliğini de bu saldırılardan koruyun.
  • Denetim ve uyarı amacıyla yedekleme ve kurtarma verilerini ve işlemlerini izleme.

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-9: Uç nokta güvenlik stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Genel rehberlik: Aşağıdaki özellikleri içeren bir bulut uç noktası güvenlik stratejisi oluşturun:- Uç nokta algılama ve yanıt ile kötü amaçlı yazılımdan koruma özelliğini uç noktanıza dağıtın ve tehdit algılama ile SIEM çözümü ve güvenlik işlemleri süreciyle tümleştirin.

  • Uç noktanız için derinlemesine savunma koruması sağlamak amacıyla ilgili diğer alanlardaki uç noktayla ilgili güvenlik ayarlarının (ağ güvenliği, duruş güvenlik açığı yönetimi, kimlik ve ayrıcalıklı erişim ve günlüğe kaydetme ve tehdit algılamaları gibi) uygulandığından emin olmak için Microsoft Bulut Güvenliği Karşılaştırması'nı izleyin.
  • Üretim ortamınızda uç nokta güvenliğinin önceliğini belirleyin, ancak üretim ortamına kötü amaçlı yazılım ve güvenlik açıkları eklemek için de kullanılabildiğinden üretim dışı ortamların (DevOps işleminde kullanılan test ve derleme ortamı gibi) güvenli ve izlenmiş olduğundan emin olun.

Uygulama ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

GS-10: DevOps güvenlik stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Genel rehberlik: Güvenlik denetimlerini kuruluşun DevOps mühendislik ve işlem standardının bir parçası olarak zorunlu kılın. Kuruluşunuzdaki kurumsal ve bulut güvenlik standartlarına uygun olarak güvenlik hedeflerini, denetim gereksinimlerini ve araç belirtimlerini tanımlayın.

CI/CD iş akışı genelinde farklı türdeki otomasyonları (kod sağlama ve otomatik SAST ve DAST taraması gibi) kullanarak güvenlik açıklarını hızla tanımlama ve düzeltme konusundaki avantajları için DevOps'un kuruluşunuzda temel bir çalışma modeli olarak kullanılmasını teşvik edin. Bu 'sola kaydırma' yaklaşımı ayrıca dağıtım işlem hattınızda tutarlı güvenlik denetimlerini zorunlu kılmaya yönelik görünürlüğü ve yeteneği artırarak üretime bir iş yükü dağıtırken son dakika güvenlik sürprizlerini önlemek için güvenlik korumalarını önceden ortama etkili bir şekilde dağıtır.

Güvenlik denetimlerini dağıtım öncesi aşamalara kaydırırken, denetimlerin DevOps işleminiz boyunca dağıtıldığından ve uygulandığından emin olmak için güvenlik korumaları uygulayın. Bu teknoloji, IaC'de korumaları (kod olarak altyapı) tanımlamak için kaynak dağıtım şablonlarını (Azure ARM şablonu gibi), ortamda hangi hizmetlerin veya yapılandırmaların sağlanabileceğini kısıtlamak için kaynak sağlama ve denetlemeyi içerebilir.

İş yükünüzün çalışma zamanı güvenlik denetimleri için Microsoft Bulut Güvenliği Karşılaştırması'nı izleyerek iş yükü uygulamalarınızda ve hizmetlerinizde kimlik ve ayrıcalıklı erişim, ağ güvenliği, uç nokta güvenliği ve veri koruması gibi etkili denetimleri tasarlayıp uygulayın.

Uygulama ve ek bağlam:

GS-11: Çoklu bulut güvenlik stratejisini tanımlama ve uygulama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
Yok Yok Yok

Genel rehberlik: Bulut ve güvenlik idaresi, risk yönetimi ve işlem sürecinizde aşağıdaki özellikleri içermesi gereken çok bulutlu bir strateji tanımlandığından emin olun:

  • Çoklu bulut benimsemesi: Çok bulutlu altyapı çalıştıran kuruluşlar için ve ekiplerin bulut platformları ile teknoloji yığını arasındaki özellik farkını anlamasını sağlamak için kuruluşunuzu eğitin. Taşınabilir çözümler oluşturun, dağıtın ve/veya geçirin. Bulut benimsemesinden elde edilen en iyi sonuç için buluta özel özelliklerden yararlanırken minimum satıcı kilidiyle bulut platformları arasında hareket kolaylığı sağlar.
  • Bulut ve güvenlik operasyonları: Çözümün nerede dağıtıldığına ve çalıştırıldığına bakılmaksızın ortak operasyon süreçlerini paylaşan merkezi bir idare ve yönetim süreçleri kümesi aracılığıyla her bulut genelinde çözümleri desteklemek için güvenlik operasyonlarını kolaylaştırın.
  • Araçlar ve teknoloji yığını: Bu güvenlik karşılaştırmasında ele alınan tüm güvenlik etki alanlarını içerebilecek birleşik ve merkezi yönetim platformları oluşturmaya yardımcı olmak için çok bulutlu ortamı destekleyen uygun araçları seçin.

Uygulama ve ek bağlam: