Aracılığıyla paylaş

Güvenlik Denetimi: Ağ güvenliği

Ağ Güvenliği; sanal ağların güvenliğini sağlama, özel bağlantılar kurma, dış saldırıları önleme ve azaltma ve DNS güvenliğini sağlama dahil olmak üzere ağların güvenliğini sağlama ve koruma denetimlerini kapsar.

NS-1: Ağ segmentasyonu sınırları oluşturma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Güvenlik ilkesi: Sanal ağ dağıtımınızın GS-2 güvenlik denetiminde tanımlanan kurumsal segmentasyon stratejinize uygun olduğundan emin olun. Kuruluş için daha yüksek risk doğurabilecek tüm iş yüklerinin yalıtılmış sanal ağlarda olması gerekir.

Yüksek riskli iş yükü örnekleri şunlardır:

  • Son derece hassas verileri depoluyor veya işliyor.
  • Genel veya kuruluşunuzun dışındaki kullanıcılar tarafından erişilebilen bir dış ağa yönelik uygulama.
  • Güvenli olmayan mimari kullanan veya kolayca düzeltilemeyen güvenlik açıkları içeren bir uygulama.

Kurumsal segmentasyon stratejinizi geliştirmek için ağ denetimlerini kullanarak iç kaynaklar arasındaki trafiği kısıtlayın veya izleyin. Belirli, iyi tanımlanmış uygulamalar (3 katmanlı uygulama gibi) için bu, ağ trafiğinin bağlantı noktalarını, protokollerini, kaynağını ve hedef IP'lerini kısıtlayarak son derece güvenli bir "varsayılan olarak reddet, özel durum tarafından izin ver" yaklaşımı olabilir. Birbiriyle etkileşim kuran çok sayıda uygulamanız ve uç noktanız varsa trafiği engelleme iyi ölçeklendirilmeyebilir ve yalnızca trafiği izleyebilirsiniz.

Azure kılavuzu: Azure ağınızda temel segmentasyon yaklaşımı olarak bir sanal ağ (VNet) oluşturun; böylece VM'ler gibi kaynaklar bir ağ sınırı içinde sanal ağa dağıtılabilir. Ağı daha fazla segmentlere ayırmak için, daha küçük alt ağlar için sanal ağ içinde alt ağlar oluşturabilirsiniz.

Trafiği bağlantı noktası, protokol, kaynak IP adresi veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) ağ katmanı denetimi olarak kullanın. Bkz. NS-7: Tehdit bilgilerine ve trafik analizi sonucuna göre NSG sağlamlaştırma kuralları önermek için Uyarlamalı Ağ Sağlamlaştırma'nın kullanılması için ağ güvenliği yapılandırmasını basitleştirin.

Karmaşık yapılandırmayı basitleştirmek için uygulama güvenlik gruplarını (ASG' ler) de kullanabilirsiniz. ASG'ler, ağ güvenlik gruplarındaki açık IP adreslerine göre ilke tanımlamak yerine, ağ güvenliğini bir uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza olanak tanıyarak sanal makineleri gruplandırmanıza ve bu gruplara göre ağ güvenlik ilkeleri tanımlamanıza olanak tanır.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: EC2 örnekleri gibi kaynakların ağ sınırı içinde VPC'ye dağıtılabilmesi için AWS ağınızda temel segmentasyon yaklaşımı olarak bir Sanal Özel Bulut (VPC) oluşturun. Ağı daha fazla segmentlere ayırmak için VPC içinde daha küçük alt ağlar için alt ağlar oluşturabilirsiniz.

EC2 örnekleri için trafiği bağlantı noktası, protokol, kaynak IP adresi veya hedef IP adresine göre kısıtlamak için durum bilgisi olan bir güvenlik duvarı olarak Güvenlik Grupları'nı kullanın. VPC alt ağı düzeyinde, alt ağa giriş ve çıkış trafiğine yönelik açık kurallara sahip olmak için durum bilgisi olmayan bir güvenlik duvarı olarak Ağ Erişim Denetim Listesi'ni (NACL) kullanın.

Not: VPC trafiğini denetlemek için İnternet ve NAT Gateway, İnternet'ten/İnternet'ten gelen trafiğin kısıtlandığından emin olmak için yapılandırılmalıdır.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: GCP ağınızda temel segmentasyon yaklaşımı olarak bir sanal özel bulut (VPC) ağı oluşturun; böylece işlem altyapısı sanal makine örnekleri (VM' ler) gibi kaynaklar bir ağ sınırı içinde VPC ağına dağıtılabilir. Ağı daha fazla segmentlere ayırmak için VPC içinde daha küçük alt ağlar için alt ağlar oluşturabilirsiniz.

VM'ler, Google Kubernetes Engine (GKE) kümeleri ve App Engine esnek ortam örnekleri dahil olmak üzere VPC ağınızdaki hedeflenen örneklere veya bu örneklerden gelen bağlantılara izin vermek veya bunları reddetmek için VPC güvenlik duvarı kurallarını dağıtılmış ağ katmanı denetimi olarak kullanın.

VPC güvenlik duvarı kurallarını VPC ağındaki tüm örnekleri, eşleşen ağ etiketine sahip örnekleri veya belirli bir hizmet hesabı kullanan örnekleri hedefleyerek örnekleri gruplandırmanıza ve bu gruplara göre ağ güvenlik ilkeleri tanımlamanıza olanak tanıyacak şekilde yapılandırabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-2: Ağ denetimleriyle buluta özel hizmetlerin güvenliğini sağlama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Güvenlik ilkesi: Kaynaklar için özel erişim noktası oluşturarak bulut hizmetlerinin güvenliğini sağlayın. Ayrıca mümkün olduğunda genel ağlara erişimi devre dışı bırakmanız veya kısıtlamanız gerekir.

Azure kılavuzu: Kaynaklar için özel erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın. Özel Bağlantı'nın kullanılması, özel bağlantının genel ağ üzerinden yönlendirilmesine engel olur.

Not: Azure platformunda barındırılan hizmetlere güvenli ve özel erişim için Azure Özel Bağlantı'nın kullanılması önerilse de, bazı Azure hizmetleri hizmet uç noktası özelliği aracılığıyla özel iletişime de izin verebilir.

Belirli hizmetler için, hizmete özel bir erişim noktası oluşturmak amacıyla VNet tümleştirmesini dağıtarak sanal ağı kısıtlayabilirsiniz.

Ayrıca, hizmet yerel ağ ACL kurallarını yapılandırma veya genel ağlardan erişimi engellemek için genel ağ erişimini devre dışı bırakma seçeneğiniz de vardır.

Azure VM'leri için, güçlü bir kullanım örneği yoksa, genel IP'leri/alt ağı doğrudan VM arabirimine atamaktan kaçınmanız ve bunun yerine ağ geçidi veya yük dengeleyici hizmetlerini genel ağ tarafından erişim için ön uç olarak kullanmanız gerekir.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Diğer AWS hesapları (VPC uç nokta hizmetleri) tarafından barındırılan desteklenen AWS hizmetlerine veya hizmetlerine özel bağlantı sağlamak için PrivateLink özelliğini destekleyen tüm AWS kaynakları için VPC PrivateLink dağıtın. PrivateLink kullanıldığında özel bağlantının genel ağ üzerinden yönlendirilmesi engellenir.

Belirli hizmetler için, trafiği yalıtmak için hizmet örneğini kendi VPC'nize dağıtmayı seçebilirsiniz.

Ayrıca, genel ağdan erişimi engellemek için hizmet yerel ACL kurallarını yapılandırma seçeneğiniz de vardır. Örneğin Amazon S3, demet veya hesap düzeyinde genel erişimi engellemenize olanak tanır.

Güçlü bir kullanım örneği olmadığı sürece, VPC'nizdeki hizmet kaynaklarınıza IP'ler atarken, kaynaklarınıza doğrudan genel IP'ler/alt ağ atamaktan kaçınmanız ve bunun yerine özel IP'ler/alt ağ kullanmanız gerekir.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Kaynaklar için özel erişim noktası oluşturmak üzere onu destekleyen tüm GCP kaynakları için VPC Özel Google Access uygulamalarını dağıtın. Bu özel erişim seçenekleri, özel bağlantının genel ağ üzerinden yönlendirmesini engeller. Özel Google Access'in yalnızca iç IP adresleri (dış IP adresi yok) olan VM örnekleri vardır

Belirli hizmetler için, trafiği yalıtmak için hizmet örneğini kendi VPC'nize dağıtmayı seçebilirsiniz. Ayrıca, genel ağdan erişimi engellemek için hizmet yerel ACL kurallarını yapılandırma seçeneğiniz de vardır. Örneğin, Uygulama Altyapısı güvenlik duvarı, Uygulama Altyapısı kaynağıyla iletişim kurarken hangi ağ trafiğine izin verildiğini veya reddedildiğini denetlemenize olanak tanır. Bulut Depolama, tek tek demetlerde veya kuruluş düzeyinde genel erişim önleme uygulayabileceğiniz başka bir kaynaktır.

GCP İşlem Altyapısı VM'leri için, güçlü bir kullanım örneği olmadığı sürece, genel IP'leri/alt ağları doğrudan VM arabirimine atamaktan kaçınmanız ve bunun yerine ağ geçidi veya yük dengeleyici hizmetlerini genel ağ tarafından erişim için ön uç olarak kullanmanız gerekir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-3: Kurumsal ağın kenarında güvenlik duvarı dağıtma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Güvenlik ilkesi: Dış ağlara gelen ve dış ağlardan gelen ağ trafiğinde gelişmiş filtreleme gerçekleştirmek için bir güvenlik duvarı dağıtın. Segmentasyon stratejisini desteklemek için iç segmentler arasında güvenlik duvarlarını da kullanabilirsiniz. Gerekirse, ağ trafiğini güvenlik denetimi amacıyla bir ağ gereci üzerinden gitmeye zorlamanız gerektiğinde sistem yolunu geçersiz kılmak için alt ağınız için özel yollar kullanın.

En azından, uzaktan yönetim (RDP ve SSH gibi) ve intranet protokolleri (örneğin, SMB ve Kerberos) gibi bilinen hatalı IP adreslerini ve yüksek riskli protokolleri engelleyin.

Azure kılavuzu: Çok sayıda kurumsal segment veya uç üzerinde (merkez/uç topolojisinde) tam durum bilgisi olan uygulama katmanı trafik kısıtlaması (URL filtreleme gibi) ve/veya merkezi yönetim sağlamak için Azure Güvenlik Duvarı'nı kullanın.

Merkez/uç kurulumu gibi karmaşık bir ağ topolojiniz varsa, trafiğin istenen yoldan geçtiğinden emin olmak için kullanıcı tanımlı yollar (UDR) oluşturmanız gerekebilir. Örneğin, çıkış İnternet trafiğini belirli bir Azure Güvenlik Duvarı veya ağ sanal gereci aracılığıyla yeniden yönlendirmek için UDR kullanma seçeneğiniz vardır.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Çok sayıda kurumsal segment veya uç (merkez/uç topolojisinde) üzerinde tam durum bilgisi olan uygulama katmanı trafik kısıtlaması (URL filtreleme gibi) ve/veya merkezi yönetim sağlamak için AWS Ağ Güvenlik Duvarı'nı kullanın.

Merkez/uç kurulumu gibi karmaşık bir ağ topolojiniz varsa trafiğin istenen yoldan geçtiğinden emin olmak için özel VPC yol tabloları oluşturmanız gerekebilir. Örneğin, çıkış İnternet trafiğini belirli bir AWS Güvenlik Duvarı veya ağ sanal gereci aracılığıyla yeniden yönlendirmek için özel bir yol kullanma seçeneğiniz vardır.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Yaygın web saldırılarına karşı Katman 7 filtreleme ve koruma sağlamak için Google Cloud Armor güvenlik ilkelerini kullanın. Ayrıca, çok sayıda kurumsal segment veya uç (merkez/uç topolojisinde) üzerinde merkezi yönetim için dağıtılmış, tam durum bilgisi olan ağ katmanı trafik kısıtlaması ve güvenlik duvarı ilkeleri sağlamak için VPC güvenlik duvarı kurallarını kullanın.

Merkez/uç kurulumu gibi karmaşık bir ağ topolojiniz varsa, birden çok VPC ağına uygulanabilmeleri için güvenlik duvarı kurallarını gruplandıran ve hiyerarşik olacak güvenlik duvarı ilkeleri oluşturun.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-4: İzinsiz giriş algılama/yetkisiz erişim önleme sistemlerini (IDS/IPS) dağıtma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Güvenlik ilkesi: İş yükünüze yönelik veya iş yükünüzden gelen ağ ve yük trafiğini incelemek için ağ saldırı algılama ve engelleme sistemlerini (IDS/IPS) kullanın. IDS/IPS'nin her zaman SIEM çözümünüz için yüksek kaliteli uyarılar sağlayacak şekilde ayarlandığından emin olun.

Daha ayrıntılı konak düzeyi algılama ve önleme özelliği için, ağ IDS/IPS ile birlikte konak tabanlı IDS/IPS veya konak tabanlı uç nokta algılama ve yanıt (EDR) çözümünü kullanın.

Azure kılavuzu: Bilinen kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği uyarmak ve/veya engellemek için sanal ağınızı korumak için Azure Güvenlik Duvarı'nın IDPS özelliklerini kullanın.

Daha ayrıntılı bir konak düzeyi algılama ve önleme özelliği sağlamak için, VM düzeyinde, ağ IDS/IPS ile birlikte konak tabanlı bir IDS/IPS veya Microsoft Defender for Endpoint gibi bir endpoint algılama ve yanıt (EDR) çözümü dağıtın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Bilinen kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği uyarmak ve/veya engellemek için VPC'nizi korumak için AWS Ağ Güvenlik Duvarı'nın IPS özelliğini kullanın.

Daha ayrıntılı konak düzeyi algılama ve önleme özellikleri için, konak tabanlı IDS/IPS veya ana bilgisayar tabanlı IDS/IPS için üçüncü taraf çözümü gibi konak tabanlı bir uç nokta algılama ve yanıt (EDR) çözümünü ağ IDS/IPS ile birlikte VM düzeyinde dağıtın.

Not: Marketten bir üçüncü taraf IDS/IPS kullanıyorsanız, trafiği satır içi incelemeye yönlendirmek için Transit Gateway ve Ağ Geçidi Dengeleyici'yi kullanın.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Ağınızdaki yetkisiz erişimler, kötü amaçlı yazılımlar, casus yazılımlar ve komut ve denetim saldırıları için tehdit algılaması sağlamak için Google Cloud IDS özelliklerini kullanın. Bulut IDS, yansıtılmış sanal makine (VM) örnekleriyle Google tarafından yönetilen eşlenmiş bir ağ oluşturarak çalışır. Eşlenen ağdaki trafik yansıtılır ve gelişmiş tehdit algılama sağlamak için tümleşik Palo Alto Networks tehdit koruma teknolojileri tarafından incelenir. Protokole veya IP adresi aralığına göre tüm giriş ve çıkış trafiğini yansıtabilirsiniz.

Daha ayrıntılı konak düzeyi algılama ve önleme özellikleri için, bir IDS uç noktasını kendi bölgesindeki herhangi bir bölgeden gelen trafiği denetleyebilen bölgesel bir kaynak olarak dağıtın. Her IDS uç noktası yansıtılmış trafik alır ve tehdit algılama analizi gerçekleştirir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-5: DDOS korumasını dağıtma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Güvenlik ilkesi: Ağınızı ve uygulamalarınızı saldırılara karşı korumak için dağıtılmış hizmet reddi (DDoS) koruması dağıtın.

Azure kılavuzu: DDoS Protection Basic, Azure temel platform altyapısını (örneğin Azure DNS) korumak için otomatik olarak etkinleştirilir ve kullanıcılardan yapılandırma gerektirmez.

HTTP taşması ve DNS taşması gibi uygulama katmanı (Katman 7) saldırılarınızın daha yüksek düzeyde korunması için, genel ağlara açık kaynakları korumak için sanal ağınızda DDoS standart koruma planını etkinleştirin.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: AWS Shield Standard, iş yükünüzü ortak ağ ve aktarım katmanı (Katman 3 ve 4) DDoS saldırılarından korumak için standart risk azaltmalarıyla otomatik olarak etkinleştirilir

Uygulamalarınızın HTTPS taşması ve DNS taşması gibi uygulama katmanı (Katman 7) saldırılarına karşı daha yüksek düzeyde korunması için Amazon EC2, Elastik Yük Dengeleme (ELB), Amazon CloudFront, AWS Global Accelerator ve Amazon Route 53'te AWS Shield Gelişmiş korumasını etkinleştirin.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Google Cloud Armor, sistemleri DDoS saldırılarına karşı korumaya yardımcı olmak için aşağıdaki seçenekleri sunar:

  • Standart ağ DDoS koruması: Ağ yük dengeleyiciler, protokol iletme veya genel IP adreslerine sahip sanal makineler için daima açık temel koruma.
  • Gelişmiş ağ DDoS koruması: Genel IP adresleriyle ağ yük dengeleyicileri, protokol iletmeyi veya VM'leri kullanan Managed Protection Plus aboneleri için ek korumalar.
  • Standart ağ DDoS koruması her zaman etkindir. Gelişmiş ağ DDoS korumasını bölge bazında yapılandırırsınız.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-6: Web uygulaması güvenlik duvarı dağıtma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Güvenlik ilkesi: Web uygulaması güvenlik duvarı (WAF) dağıtın ve web uygulamalarınızı ve API'lerinizi uygulamaya özgü saldırılara karşı korumak için uygun kuralları yapılandırın.

Azure kılavuzu: Uygulamalarınızı, hizmetlerinizi ve API'lerinizi ağınızın kenarındaki uygulama katmanı saldırılarına karşı korumak için Azure Application Gateway, Azure Front Door ve Azure Content Delivery Network'te (CDN) web uygulaması güvenlik duvarı (WAF) özelliklerini kullanın.

İhtiyaçlarınıza ve tehdit ortamınıza bağlı olarak WAF'nizi "algılama" veya "önleme modunda" ayarlayın.

OWASP İlk 10 güvenlik açıkları gibi yerleşik bir kural kümesi seçin ve bunu uygulama gereksinimlerinize göre ayarlayın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Uygulamalarınızı, hizmetlerinizi ve API'lerinizi ağınızın kenarındaki uygulama katmanı saldırılarına karşı korumak için Amazon CloudFront dağıtımı, Amazon API Gateway, Application Load Balancer veya AWS AppSync'te AWS Web Uygulaması Güvenlik Duvarı'nı (WAF) kullanın.

Uygulama gereksinimlerinizi karşılamak için yerleşik temel grupları dağıtmak ve kullanım durumu kural gruplarına göre özelleştirmek amacıyla WAF için AWS Yönetilen Kuralları'nı kullanın.

WAF kuralları dağıtımını basitleştirmek için AWS WAF Güvenlik Otomasyonları çözümünü kullanarak web ACL'nize web tabanlı saldırıları filtreleyen önceden tanımlanmış AWS WAF kurallarını otomatik olarak dağıtabilirsiniz.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Uygulamalarınızı ve web sitelerinizi hizmet reddi ve web saldırılarına karşı korumaya yardımcı olmak için Google Cloud Armor'ı kullanın.

Yaygın web uygulaması güvenlik açıklarını azaltmak ve OWASP İlk 10'dan koruma sağlamaya yardımcı olmak için sektör standartlarına dayalı Google Cloud Armor kullanıma açık kuralları kullanın.

Her biri ModSecurity Core Rules 'dan (CRS) alınan birden çok imzadan oluşan önceden yapılandırılmış WAF kurallarınızı ayarlayın. Her imza, kural kümesindeki bir saldırı algılama kuralına karşılık gelir.

Bulut Koruması, dış yük dengeleyicilerle birlikte çalışır ve uygulamaların Google Cloud'da, karma dağıtımda veya çok bulutlu mimaride dağıtılıp dağıtılmadığına bakılmaksızın dağıtılmış hizmet reddi (DDoS) ve diğer web tabanlı saldırılardan korur. Güvenlik ilkeleri, yapılandırılabilir eşleşme koşulları ve bir güvenlik ilkesindeki eylemlerle el ile yapılandırılabilir. Cloud Armor ayrıca çeşitli kullanım örneklerini kapsayan önceden yapılandırılmış güvenlik ilkelerine sahiptir.

Cloud Armor'ta Uyarlamalı Koruma, arka uç hizmetlerinize yönelik trafik desenlerini analiz ederek, şüpheli saldırıları algılayıp uyararak ve bu saldırıları azaltmak için önerilen WAF kuralları oluşturarak uygulamanızı ve hizmetlerinizi L7 dağıtılmış saldırılarını önlemenize, algılamanıza ve korumanıza yardımcı olur. Bu kurallar gereksinimlerinizi karşılayacak şekilde ayarlanabilir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-7: Ağ güvenliği yapılandırmasını basitleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Güvenlik ilkesi: Karmaşık bir ağ ortamını yönetirken ağ güvenliği yönetimini basitleştirmek, merkezileştirmek ve geliştirmek için araçları kullanın.

Azure kılavuzu: Sanal ağın, NSG kurallarının ve Azure Güvenlik Duvarı kurallarının uygulanmasını ve yönetimini basitleştirmek için aşağıdaki özellikleri kullanın:

  • Bölgeler ve abonelikler arasında sanal ağları ve NSG kurallarını gruplandırmak, yapılandırmak, dağıtmak ve yönetmek için Azure Virtual Network Manager'ı kullanın.
  • Tehdit zekası ve trafik analizi sonucuna göre bağlantı noktalarını, protokolleri ve kaynak IP'leri daha fazla sınırlayan NSG sağlamlaştırma kuralları önermek için Bulut için Microsoft Defender Uyarlamalı Ağ Sağlamlaştırma'yı kullanın.
  • Sanal ağın güvenlik duvarı ilkesini ve yönlendirme yönetimini merkezileştirmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Güvenlik duvarı kurallarını ve ağ güvenlik grupları uygulamasını basitleştirmek için Azure Güvenlik Duvarı Yöneticisi Azure Resource Manager (ARM) şablonunu da kullanabilirsiniz.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Aşağıdaki hizmetler arasında ağ koruma ilkesi yönetimini merkezileştirmek için AWS Güvenlik Duvarı Yöneticisi'ni kullanın:

  • AWS WAF ilkeleri
  • AWS Shield Gelişmiş ilkeleri
  • VPC güvenlik grubu ilkeleri
  • Ağ Güvenlik Duvarı ilkeleri

AWS Firewall Manager, güvenlik duvarıyla ilgili ilkelerinizi otomatik olarak analiz edebilir, uyumlu olmayan kaynaklar ve algılanan saldırılar için bulgular oluşturabilir ve bunları araştırma için AWS Security Hub'a gönderebilir.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Sanal özel bulut (VPC) ağının, güvenlik duvarı kurallarının ve WAF kurallarının uygulanmasını ve yönetimini basitleştirmek için aşağıdaki özellikleri kullanın:

  • Tek tek VPC ağlarını ve VPC güvenlik duvarı kurallarını yönetmek ve yapılandırmak için VPC Ağlarını kullanın.
  • Güvenlik duvarı kurallarını gruplandırmak ve ilke kurallarını genel veya bölgesel ölçekte hiyerarşik olarak uygulamak için Hiyerarşik Güvenlik Duvarı ilkelerini kullanın.
  • Özel güvenlik ilkeleri, önceden yapılandırılmış WAF kuralları ve DDoS koruması uygulamak için Google Cloud Armor'ı kullanın.

Ayrıca ağınızın analizini yapmak ve yönetim verimliliğini artırmak için sanal ağ topolojiniz, güvenlik duvarı kuralları ve ağ bağlantı durumunuz hakkında içgörüler elde etmek için Ağ Yönetim Merkezi'ni de kullanabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-8: Güvenli olmayan hizmetleri ve protokolleri algılama ve devre dışı bırakma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Güvenlik ilkesi: İşletim sistemi, uygulama veya yazılım paketi katmanında güvenli olmayan hizmetleri ve protokolleri algılayın ve devre dışı bırakın. Güvenli olmayan hizmetleri ve protokolleri devre dışı bırakmak mümkün değilse telafi denetimleri dağıtın.

Azure kılavuzu: SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Kerberos'ta zayıf şifrelemeler ve İmzasız LDAP Bağlamaları gibi güvenli olmayan hizmet ve protokollerin kullanımını keşfetmek için Microsoft Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabı'nı kullanın. Uygun güvenlik standardına uymayan güvenli olmayan hizmetleri ve protokolleri devre dışı bırakın.

Not: Güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse, saldırı yüzeyini azaltmak için ağ güvenlik grubu, Azure Güvenlik Duvarı veya Azure Web Uygulaması Güvenlik Duvarı aracılığıyla kaynaklara erişimi engelleme gibi telafi denetimlerini kullanın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: UYGUN güvenlik standardına uymayan güvenli olmayan olası hizmetleri ve protokolleri belirlemek üzere VPC Akış Günlüklerini analiz etmek için VPC Akış Günlüklerini etkinleştirin ve GuardDuty'yi kullanın.

AWS ortamındaki günlükler Microsoft Sentinel'e iletilebiliyorsa, güvenli olmayan hizmet ve protokollerin kullanımını keşfetmek için Microsoft Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabı'nı da kullanabilirsiniz

Not: Güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse, saldırı yüzeyini azaltmak için güvenlik grupları, AWS Ağ Güvenlik Duvarı, AWS Web Uygulaması Güvenlik Duvarı aracılığıyla kaynaklara erişimi engelleme gibi telafi denetimlerini kullanın.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: UYGUN güvenlik standardına uymayan olası güvenli olmayan hizmetleri ve protokolleri belirlemek üzere VPC Akış Günlüklerini analiz etmek için VPC Akış Günlüklerini etkinleştirin ve BigQuery veya Güvenlik Komut Merkezi'ni kullanın.

GCP ortamındaki günlükler Microsoft Sentinel'e iletilebiliyorsa, güvenli olmayan hizmetlerin ve protokollerin kullanımını keşfetmek için Microsoft Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabı'nı da kullanabilirsiniz. Ayrıca günlükleri Google Cloud Chronicle SIEM ve SOAR'a iletebilir ve aynı amaçla özel kurallar oluşturabilirsiniz.

Not: Güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse VPC Güvenlik Duvarı kuralları ve ilkeleri aracılığıyla kaynaklara erişimi engelleme veya saldırı yüzeyini azaltmak için Cloud Armor gibi telafi denetimlerini kullanın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-9: Şirket içi veya bulut ağına özel olarak bağlanma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
12,7 CA-3, AC-17, AC-4 Mevcut Değil

Güvenlik ilkesi: Ortak konum ortamında bulut hizmeti sağlayıcısı veri merkezleri ve şirket içi altyapı gibi farklı ağlar arasında güvenli iletişim için özel bağlantılar kullanın.

Azure kılavuzu: Basit siteden siteye veya noktadan siteye bağlantı için, şirket içi siteniz veya son kullanıcı cihazınızla Azure sanal ağı arasında güvenli bir bağlantı oluşturmak için Azure sanal özel ağı (VPN) kullanın.

Kurumsal düzeyde yüksek performanslı bağlantılar için, Azure veri merkezlerini ve şirket içi altyapıyı bir ortak konum ortamında bağlamak için Azure ExpressRoute'u (veya Sanal WAN) kullanın.

İki veya daha fazla Azure sanal ağını birbirine bağlarken sanal ağ eşlemesini kullanın. Eşlenen sanal ağlar arasındaki ağ trafiği özeldir ve Azure omurga ağında tutulur.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Siteden siteye veya noktadan siteye bağlantı için, aws ağıyla şirket içi siteniz veya son kullanıcı cihazınız arasında güvenli bir bağlantı oluşturmak için AWS VPN kullanın (IPsec ek yükü önemli olmadığında).

Kurumsal düzeyde yüksek performanslı bağlantılar için AWS Direct Connect'i kullanarak AWS VPC'lerini ve kaynaklarını şirket içi altyapınıza ortak konum ortamında bağlayın.

İki veya daha fazla VPC arasında, ister aynı bölgede ister farklı bölgelerde olsun, bağlantı kurmak için VPC Eşlemesi veya Transit Ağ Geçidi seçenekleriniz vardır. Eşlenen VPC arasındaki ağ trafiği özeldir ve AWS omurga ağında tutulur. Büyük bir düz alt ağ oluşturmak için birden çok VPC'ye katılmanız gerektiğinde, VPC Paylaşımı'nı kullanma seçeneğiniz de vardır.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Basit siteden siteye veya noktadan siteye bağlantı için Google Cloud VPN kullanın.

Kurumsal düzeyde yüksek performanslı bağlantılar için Google Cloud Interconnect'i veya İş Ortağı Bağlantısı'nı kullanarak ortak konum ortamında şirket içi altyapınızla Google Cloud VPC'lerine ve kaynaklarına bağlanın.

Bölge içinde veya bölgeler arasında iki veya daha fazla VPC arasında bağlantı kurmak için VPC Ağ Eşlemesi veya Ağ Bağlantı Merkezi'ni kullanma seçeneğiniz vardır. Eşlenen VPC'ler arasındaki ağ trafiği özeldir ve GCP omurga ağında tutulur. Büyük bir düz alt ağ oluşturmak için birden çok VPC'ye katılmanız gerektiğinde, Paylaşılan VPC'yi kullanma seçeneğiniz de vardır

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

NS-10: Etki Alanı Adı Sistemi (DNS) güvenliğini sağlama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
4.9, 9.2 SC-20, SC-21 Mevcut Değil

Güvenlik ilkesi: Etki Alanı Adı Sistemi (DNS) güvenlik yapılandırmasının bilinen risklere karşı korundığından emin olun:

  • İstemcinin (işletim sistemleri ve uygulamalar gibi) doğru çözüm sonucunu aldığından emin olmak için bulut ortamınızda güvenilen yetkili ve özyinelemeli DNS hizmetlerini kullanın.
  • Özel ağ için DNS çözümleme işleminin genel ağdan yalıtılabilmesi için genel ve özel DNS çözümlemesini ayırın.
  • DNS güvenlik stratejinizin aynı zamanda dangling DNS, DNS çoğaltma saldırıları, DNS zehirlenmesi ve sahtekarlık gibi yaygın saldırılara karşı risk azaltmaları içerdiğinden emin olun.

Azure kılavuzu: Azure özyinelemeli DNS 'yi (genellikle DHCP aracılığıyla VM'nize atanır veya hizmette önceden yapılandırılmış olarak atanır) veya vm'nin işletim sisteminde veya uygulamada olduğu gibi iş yükü özyinelemeli DNS kurulumunuzda güvenilen bir dış DNS sunucusu kullanın.

DNS çözümleme işleminin sanal ağdan ayrılmadığı özel bir DNS bölgesi kurulumu için Azure Özel DNS'yi kullanın. DNS çözümlemesini yalnızca istemciniz için güvenilir çözüme izin verecek şekilde kısıtlamak için özel bir DNS kullanın.

İş yükünüz veya DNS hizmetiniz için aşağıdaki güvenlik tehditlerine karşı gelişmiş koruma için DNS için Microsoft Defender'ı kullanın:

  • DNS tüneli kullanarak Azure kaynaklarınızdan veri sızdırma
  • Kötü amaçlı yazılım, komut ve denetim sunucusuyla iletişim kuruyor.
  • Kimlik avı ve şifreleme madenciliği gibi kötü amaçlı etki alanlarıyla iletişim
  • Kötü amaçlı DNS çözümleyicileriyle iletişimde DNS saldırıları

Bir App Service web sitesinin yetkisini DNS kayıt şirketinizden kaldırmadan çıkarırsanız, sarkan DNS kayıtlarını algılamak için App Service için Microsoft Defender'ı da kullanabilirsiniz.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Amazon DNS Sunucusu'nu (başka bir deyişle, genellikle DHCP aracılığıyla size atanan veya hizmette önceden yapılandırılmış olan Amazon Route 53 Çözümleyici sunucusu) veya vm'nin işletim sisteminde veya uygulamada olduğu gibi iş yükü özyinelemeli DNS kurulumunuzda merkezi bir güvenilen DNS çözümleyici sunucusunu kullanın.

DNS çözümleme işleminin belirlenen VPC'leri bırakmadığı özel bir barındırılan bölge kurulumu oluşturmak için Amazon Route 53'i kullanın. Aşağıdaki kullanım örnekleri için VPC'nizdeki giden DNS/UDP trafiğini düzenlemek ve filtrelemek için Amazon Route 53 güvenlik duvarını kullanın:

  • VPC'nizde DNS sızdırma gibi saldırıları önleme
  • Uygulamalarınızın sorgulayabileceğiniz etki alanları için izin verme veya reddetme listesi ayarlama

Etki alanınızı DNS sahtekarlığına veya ortadaki bir adam saldırısına karşı korumak için DNS trafiğinin güvenliğini sağlamak için Amazon Route 53'teki Etki Alanı Adı Sistem Güvenlik Uzantıları (DNSSEC) özelliğini yapılandırın.

Amazon Route 53 ayrıca, Route 53'in etki alanlarınız için yetkili ad sunucuları olarak kullanılabildiği bir DNS kayıt hizmeti de sağlar. Etki alanı adlarınızın güvenliğini sağlamak için aşağıdaki en iyi yöntemler izlenmelidir:

  • Etki alanı adları Amazon Route 53 hizmeti tarafından otomatik olarak yenilenmelidir.
  • Etki alanı adlarının güvenliğini sağlamak için Aktarım Kilidi özelliği etkinleştirilmelidir.
  • Gönderici Politika Çerçevesi (SPF), spammerların etki alanınızı taklit etmelerini önlemek için kullanılmalıdır.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: VM'nin işletim sistemi veya uygulama gibi iş yükü özyinelemeli DNS kurulumunuzda GCP DNS sunucusunu (örneğin, genellikle DHCP aracılığıyla VM'nize atanan veya hizmette önceden yapılandırılmış meta veri sunucusu) veya merkezi bir güvenilen DNS çözümleyici sunucusunu (Google Genel DNS gibi) kullanın.

GCP Cloud DNS kullanarak DNS çözümlemesinin belirlenen VPC'leri terk etmediği özel bir DNS bölgesi oluşturun. VPC'nizdeki giden DNS/UDP trafiğini kullanım örneklerini düzenleyin ve filtreleyin:

  • VPC'nizde DNS sızdırma gibi saldırıları önleme
  • Uygulamalarınızın sorgulandığı etki alanları için izin verme veya reddetme listeleri ayarlama

Etki alanınızı DNS sahtekarlığına veya ortadaki bir adam saldırısına karşı korumak üzere DNS trafiğinin güvenliğini sağlamak için Bulut DNS'de Etki Alanı Adı Sistem Güvenlik Uzantıları (DNSSEC) özelliğini yapılandırın.

Google Cloud Domains, domain kayıt hizmetleri sunmaktadır. GCP Cloud DNS, etki alanlarınız için yetkili ad sunucuları olarak kullanılabilir. Etki alanı adlarınızın güvenliğini sağlamak için aşağıdaki en iyi yöntemler izlenmelidir:

  • Alan adları Google Cloud Domains tarafından otomatik olarak yenilenmelidir.
  • Etki alanı adlarının güvenliğini sağlamak için Aktarım Kilidi özelliği etkinleştirilmelidir
  • Gönderici Politika Çerçevesi (SPF), spammerların etki alanınızı taklit etmelerini önlemek için kullanılmalıdır.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):