Güvenlik Denetimi: Ağ güvenliği
Ağ Güvenliği; sanal ağların güvenliğini sağlama, özel bağlantılar kurma, dış saldırıları önleme ve azaltma ve DNS güvenliğini sağlama dahil olmak üzere ağların güvenliğini sağlama ve koruma denetimlerini kapsar.
NS-1: Ağ segmentasyon sınırları oluşturma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik ilkesi: Sanal ağ dağıtımınızın GS-2 güvenlik denetiminde tanımlanan kurumsal segmentasyon stratejinize uygun olduğundan emin olun. Kuruluş için daha yüksek risk doğurabilecek tüm iş yükleri yalıtılmış sanal ağlarda olmalıdır.
Yüksek riskli iş yükü örnekleri şunlardır:
- Son derece hassas verileri depoluyor veya işliyor.
- Genel veya kuruluşunuzun dışındaki kullanıcılar tarafından erişilebilen bir dış ağa yönelik uygulama.
- Güvenli olmayan mimari kullanan veya kolayca düzeltilemeyen güvenlik açıkları içeren bir uygulama.
Kurumsal segmentasyon stratejinizi geliştirmek için ağ denetimlerini kullanarak iç kaynaklar arasındaki trafiği kısıtlayın veya izleyin. Belirli, iyi tanımlanmış uygulamalar (3 katmanlı uygulama gibi) için bu, ağ trafiğinin bağlantı noktalarını, protokollerini, kaynağını ve hedef IP'lerini kısıtlayarak yüksek oranda güvenli bir "varsayılan olarak reddet, özel durum tarafından izin ver" yaklaşımı olabilir. Birbiriyle etkileşim kuran çok sayıda uygulamanız ve uç noktanız varsa trafiği engellemek iyi ölçeklendirilmeyebilir ve yalnızca trafiği izleyebilirsiniz.
Azure kılavuzu: Azure ağınızda temel bir segmentasyon yaklaşımı olarak bir sanal ağ (VNet) oluşturun; böylece VM'ler gibi kaynaklar bir ağ sınırı içindeki sanal ağa dağıtılabilir. Ağı daha fazla segmentlere ayırmak için, daha küçük alt ağlar için sanal ağ içinde alt ağlar oluşturabilirsiniz.
Trafiği bağlantı noktasına, protokole, kaynak IP adresine veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) ağ katmanı denetimi olarak kullanın. Bkz. NS-7: Tehdit analizi ve trafik analizi sonucuna göre NSG sağlamlaştırma kuralları önermek için Uyarlamalı Ağ Sağlamlaştırma'nın kullanılması için ağ güvenliği yapılandırmasını basitleştirme.
Karmaşık yapılandırmayı basitleştirmek için uygulama güvenlik gruplarını (ASG' ler) de kullanabilirsiniz. ASG'ler, ağ güvenlik gruplarındaki açık IP adreslerine göre ilke tanımlamak yerine, ağ güvenliğini bir uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza olanak tanıyarak sanal makineleri gruplandırmanıza ve bu gruplara göre ağ güvenlik ilkeleri tanımlamanıza olanak tanır.
Azure uygulaması ve ek bağlamı:
- Azure Sanal Ağ kavramları ve en iyi yöntemleri
- Sanal ağ alt ağını ekleme, değiştirme veya silme
- Güvenlik kurallarıyla bir ağ güvenlik grubu oluşturma
- Uygulama güvenlik gruplarını anlama ve kullanma
AWS kılavuzu: EC2 örnekleri gibi kaynakların ağ sınırı içinde VPC'ye dağıtılabilmesi için AWS ağınızda temel segmentasyon yaklaşımı olarak bir Sanal Özel Bulut (VPC) oluşturun. Ağı daha fazla segmentlere ayırmak için VPC içinde daha küçük alt ağlar için alt ağlar oluşturabilirsiniz.
EC2 örneklerinde trafiği bağlantı noktasına, protokole, kaynak IP adresine veya hedef IP adresine göre kısıtlamak için güvenlik gruplarını durum bilgisi olan bir güvenlik duvarı olarak kullanın. VPC alt ağ düzeyinde, alt ağa giriş ve çıkış trafiğine yönelik açık kurallara sahip olmak için durum bilgisi olmayan bir güvenlik duvarı olarak Ağ Access Control Listesi'ni (NACL) kullanın.
Not: VPC trafiğini denetlemek için İnternet ve NAT Gateway, İnternet'ten/İnternet'ten gelen trafiğin kısıtlandığından emin olmak için yapılandırılmalıdır.
AWS uygulaması ve ek bağlam:
- Güvenlik gruplarıyla EC2 örneklerine trafiği denetleme
- Güvenlik gruplarını ve ağ ACL'lerini karşılaştırma
- Internet Gateway
- NAT Ağ Geçidi
GCP kılavuzu: GCP ağınızda temel segmentasyon yaklaşımı olarak bir sanal özel bulut (VPC) ağı oluşturun; böylece işlem altyapısı sanal makine örnekleri (VM) gibi kaynaklar bir ağ sınırı içinde VPC ağına dağıtılabilir. Ağı daha fazla segmentlere ayırmak için VPC içinde daha küçük alt ağlar için alt ağlar oluşturabilirsiniz.
VM'ler, Google Kubernetes Engine (GKE) kümeleri ve Uygulama Altyapısı esnek ortam örnekleri dahil olmak üzere VPC ağında hedeflenen örneklerinize yönelik veya bu örneklerden gelen bağlantılara izin vermek veya bunları reddetmek için VPC güvenlik duvarı kurallarını dağıtılmış ağ katmanı denetimi olarak kullanın.
VpC güvenlik duvarı kurallarını VPC ağındaki tüm örnekleri, eşleşen ağ etiketine sahip örnekleri veya belirli bir hizmet hesabı kullanan örnekleri hedefleyerek örnekleri gruplandırmanıza ve bu gruplara göre ağ güvenlik ilkeleri tanımlamanıza olanak tanıyacak şekilde de yapılandırabilirsiniz.
GCP uygulaması ve ek bağlam:
- VPC ağları oluşturma ve yönetme
- Google Cloud VPC Alt Ağları
- VPC güvenlik duvarı kurallarını kullanma
- Ağ etiketleri ekleme
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-2: Ağ denetimleriyle buluta özel hizmetlerin güvenliğini sağlama
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik ilkesi: Kaynaklar için özel bir erişim noktası oluşturarak bulut hizmetlerinin güvenliğini sağlayın. Ayrıca mümkün olduğunda genel ağlardan erişimi devre dışı bırakmanız veya kısıtlamanız gerekir.
Azure kılavuzu: Kaynaklar için özel erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın. Özel Bağlantı kullanılması, özel bağlantının genel ağ üzerinden yönlendirilmesine engel olur.
Not: Azure platformunda barındırılan hizmetlere güvenli ve özel erişim için Azure Özel Bağlantı kullanılması önerilse de, bazı Azure hizmetleri hizmet uç noktası özelliği aracılığıyla özel iletişime de izin verebilir.
Belirli hizmetler için, hizmet için sanal ağın hizmet için özel erişim noktası oluşturmasını kısıtlayabileceğiniz sanal ağ tümleştirmesini dağıtmayı seçebilirsiniz.
Ayrıca hizmet yerel ağ ACL kurallarını yapılandırma veya genel ağlardan erişimi engellemek için genel ağ erişimini devre dışı bırakma seçeneğiniz de vardır.
Azure VM'leri için, güçlü bir kullanım örneği olmadığı sürece, genel IP'leri/alt ağı doğrudan VM arabirimine atamaktan kaçınmanız ve bunun yerine ağ geçidi veya yük dengeleyici hizmetlerini genel ağ tarafından erişim için ön uç olarak kullanmanız gerekir.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: Diğer AWS hesapları (VPC uç nokta hizmetleri) tarafından barındırılan desteklenen AWS hizmetlerine veya hizmetlerine özel bağlantı sağlamak için PrivateLink özelliğini destekleyen tüm AWS kaynakları için VPC PrivateLink dağıtın. PrivateLink kullanıldığında özel bağlantının genel ağ üzerinden yönlendirilmesi engellenir.
Belirli hizmetler için, trafiği yalıtmak için hizmet örneğini kendi VPC'nize dağıtmayı seçebilirsiniz.
Ayrıca, hizmet yerel ACL kurallarını genel ağdan erişimi engelleyecek şekilde yapılandırma seçeneğiniz de vardır. Örneğin Amazon S3, demet veya hesap düzeyinde genel erişimi engellemenize olanak tanır.
GÜÇLÜ bir kullanım örneği olmadığı sürece VPC'nizdeki hizmet kaynaklarınıza IP atarken, kaynaklarınıza doğrudan genel IP'ler/alt ağ atamaktan kaçınmanız ve bunun yerine özel IP'ler/alt ağ kullanmanız gerekir.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Kaynaklar için özel bir erişim noktası oluşturmak üzere onu destekleyen tüm GCP kaynakları için VPC Özel Google Access uygulamalarını dağıtın. Bu özel erişim seçenekleri, özel bağlantının genel ağ üzerinden yönlendirilmesine engel olur. Özel Google Access'in yalnızca iç IP adresleri olan (dış IP adresi olmayan) VM örnekleri vardır
Belirli hizmetler için, trafiği yalıtmak için hizmet örneğini kendi VPC'nize dağıtmayı seçebilirsiniz. Ayrıca, hizmet yerel ACL kurallarını genel ağdan erişimi engelleyecek şekilde yapılandırma seçeneğiniz de vardır. Örneğin, Uygulama Altyapısı güvenlik duvarı, Uygulama Altyapısı kaynağıyla iletişim kurarken hangi ağ trafiğine izin verildiğini veya reddedildiğini denetlemenize olanak tanır. Bulut Depolama, tek tek demetlerde veya kuruluş düzeyinde genel erişim önlemeyi zorunlu kabileceğiniz başka bir kaynaktır.
GCP İşlem Altyapısı VM'leri için, güçlü bir kullanım örneği olmadığı sürece, genel IP'leri/alt ağları doğrudan VM arabirimine atamaktan kaçınmanız ve bunun yerine ağ geçidi veya yük dengeleyici hizmetlerini genel ağ tarafından erişim için ön uç olarak kullanmanız gerekir.
GCP uygulaması ve ek bağlam:
- Özel Google Access
- Hizmetler için özel erişim seçenekleri
- Uygulama Altyapısı güvenlik duvarını anlama
- Bulut Depolama - genel erişim önlemeyi kullanma
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-3: Kurumsal ağın kenarında güvenlik duvarı dağıtma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Güvenlik ilkesi: Dış ağlardan gelen ve bu ağlardan gelen ağ trafiğinde gelişmiş filtreleme gerçekleştirmek için bir güvenlik duvarı dağıtın. Segmentasyon stratejisini desteklemek için iç segmentler arasında güvenlik duvarlarını da kullanabilirsiniz. Gerekirse, ağ trafiğini güvenlik denetimi amacıyla bir ağ aletinden geçmeye zorlamanız gerektiğinde sistem yolunu geçersiz kılmak için alt ağınız için özel yollar kullanın.
En azından, uzaktan yönetim (örneğin, RDP ve SSH) ve intranet protokolleri (örneğin, SMB ve Kerberos) gibi bilinen hatalı IP adreslerini ve yüksek riskli protokolleri engelleyin.
Azure kılavuzu: Çok sayıda kurumsal segment veya uç üzerinde (merkez/uç topolojisinde) tam durum bilgisi olan uygulama katmanı trafik kısıtlaması (URL filtreleme gibi) ve/veya merkezi yönetim sağlamak için Azure Güvenlik Duvarı kullanın.
Merkez/uç kurulumu gibi karmaşık bir ağ topolojiniz varsa trafiğin istenen yoldan geçtiğinden emin olmak için kullanıcı tanımlı yollar (UDR) oluşturmanız gerekebilir. Örneğin, çıkış İnternet trafiğini belirli bir Azure Güvenlik Duvarı veya ağ sanal gereci aracılığıyla yeniden yönlendirmek için UDR kullanma seçeneğiniz vardır.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: Çok sayıda kurumsal segment veya uç üzerinde (merkez/uç topolojisinde) tam durum bilgisi olan uygulama katmanı trafik kısıtlaması (URL filtreleme gibi) ve/veya merkezi yönetim sağlamak için AWS Ağ Güvenlik Duvarı'nı kullanın.
Merkez/uç kurulumu gibi karmaşık bir ağ topolojiniz varsa trafiğin istenen yoldan geçtiğinden emin olmak için özel VPC rota tabloları oluşturmanız gerekebilir. Örneğin, çıkış İnternet trafiğini belirli bir AWS Güvenlik Duvarı veya ağ sanal gereci aracılığıyla yeniden yönlendirmek için özel bir yol kullanma seçeneğiniz vardır.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Katman 7 filtreleme ve yaygın web saldırılarının korunmasını sağlamak için Google Cloud Armor güvenlik ilkelerini kullanın. Ayrıca, çok sayıda kurumsal segment veya uç üzerinde (merkez/uç topolojisinde) merkezi yönetim için dağıtılmış, tam durum bilgisi olan ağ katmanı trafik kısıtlaması ve güvenlik duvarı ilkeleri sağlamak için VPC güvenlik duvarı kurallarını kullanın.
Merkez/uç kurulumu gibi karmaşık bir ağ topolojiniz varsa, birden çok VPC ağına uygulanabilmeleri için güvenlik duvarı kurallarını gruplayan ve hiyerarşik olacak güvenlik duvarı ilkeleri oluşturun.
GCP uygulaması ve ek bağlam:
- VPC güvenlik duvarı kurallarını kullanma
- Güvenlik duvarı ilkeleri
- Google Cloud Armor en iyi yöntemleri
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-4: İzinsiz giriş algılama/yetkisiz erişim önleme sistemlerini (IDS/IPS) dağıtma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Güvenlik ilkesi: Ağı incelemek ve iş yükünüzden gelen veya iş yükünden gelen trafiği yüklemek için ağ yetkisiz erişim algılama ve yetkisiz erişim önleme sistemlerini (IDS/IPS) kullanın. IDS/IPS'nin SIEM çözümünüz için her zaman yüksek kaliteli uyarılar sağlayacak şekilde ayarlandığından emin olun.
Daha ayrıntılı konak düzeyi algılama ve önleme özelliği için, ağ IDS/IPS ile birlikte konak tabanlı IDS/IPS veya konak tabanlı uç nokta algılama ve yanıt (EDR) çözümünü kullanın.
Azure kılavuzu: Bilinen kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği engellemek ve/veya uyarı almak için sanal ağınızı korumak için Azure Güvenlik Duvarı IDPS özelliklerini kullanın.
Daha ayrıntılı konak düzeyi algılama ve önleme özelliği için, ağ IDS/IPS ile birlikte VM düzeyinde konak tabanlı IDS/IPS veya Uç Nokta için Microsoft Defender gibi bir konak tabanlı uç nokta algılama ve yanıt (EDR) çözümü dağıtın.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: BILINEN kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği engellemek ve/veya uyarı almak için VPC'nizi korumak için AWS Ağ Güvenlik Duvarı'nın IPS özelliğini kullanın.
Daha ayrıntılı konak düzeyi algılama ve önleme özellikleri için, konak tabanlı IDS/IPS veya ana bilgisayar tabanlı IDS/IPS için üçüncü taraf çözümü gibi konak tabanlı bir uç nokta algılama ve yanıt (EDR) çözümünü ağ IDS/IPS ile birlikte VM düzeyinde dağıtın.
Not: Marketten bir üçüncü taraf IDS/IPS kullanıyorsanız, trafiği satır içi incelemeye yönlendirmek için Transit Ağ Geçidi ve Ağ Geçidi Dengeleyici'yi kullanın.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Ağınızdaki yetkisiz erişimler, kötü amaçlı yazılımlar, casus yazılımlar ve komut ve denetim saldırıları için tehdit algılama sağlamak üzere Google Cloud IDS özelliklerini kullanın. Bulut IDS, yansıtılmış sanal makine (VM) örnekleriyle Google tarafından yönetilen eşlenmiş bir ağ oluşturarak çalışır. Eşlenen ağdaki trafik yansıtılır ve gelişmiş tehdit algılama sağlamak için eklenmiş Palo Alto Networks tehdit koruma teknolojileri tarafından incelenir. Tüm giriş ve çıkış trafiğini protokole veya IP adresi aralığına göre yansıtabilirsiniz.
Daha ayrıntılı konak düzeyi algılama ve önleme özellikleri için, ids uç noktasını bölgesindeki herhangi bir bölgeden gelen trafiği inceleyebilen bir bölge kaynağı olarak dağıtın. Her IDS uç noktası yansıtılmış trafik alır ve tehdit algılama analizi gerçekleştirir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-5: DDOS korumasını dağıtma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Güvenlik ilkesi: Ağınızı ve uygulamalarınızı saldırılara karşı korumak için dağıtılmış hizmet engelleme (DDoS) koruması dağıtın.
Azure kılavuzu: DDoS Koruması Temel, Azure temel platform altyapısını (örneğin Azure DNS) korumak için otomatik olarak etkinleştirilir ve kullanıcılardan yapılandırma gerektirmez.
HTTP taşması ve DNS taşması gibi uygulama katmanı (Katman 7) saldırılarınızın daha yüksek düzeyde korunması için, genel ağlara sunulan kaynakları korumak için sanal ağınızda DDoS standart koruma planını etkinleştirin.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: AWS Shield Standard, iş yükünüzü ortak ağ ve aktarım katmanı (Katman 3 ve 4) DDoS saldırılarından korumak için standart azaltmalarla otomatik olarak etkinleştirilir
Uygulamalarınızın UYGULAMA KATMANI (Katman 7) saldırılarına karşı HTTPS taşmalarına ve DNS taşmalarına karşı daha yüksek düzeyde korunması için Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator ve Amazon Route 53'te AWS Shield Gelişmiş korumasını etkinleştirin.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Google Cloud Armor, sistemleri DDoS saldırılarına karşı korumaya yardımcı olmak için aşağıdaki seçenekleri sunar:
- Standart ağ DDoS koruması: Ağ yük dengeleyiciler, protokol iletme veya genel IP adreslerine sahip VM'ler için temel her zaman açık koruma.
- Gelişmiş ağ DDoS koruması: Ağ yük dengeleyicileri, protokol iletmeyi veya genel IP adresleri olan VM'leri kullanan Yönetilen Koruma Artı aboneleri için ek korumalar.
- Standart ağ DDoS koruması her zaman etkindir. Gelişmiş ağ DDoS korumasını bölge bazında yapılandırırsınız.
GCP uygulaması ve ek bağlam:
- Gelişmiş ağ DDoS korumasını yapılandırma
- Google Cloud Armor'a genel bakış
- Google Cloud Armor Güvenlik ilkesine genel bakış
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-6: Web uygulaması güvenlik duvarı dağıtma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
13.10 | SC-7 | 1.1, 1.2, 1.3 |
Güvenlik ilkesi: Web uygulaması güvenlik duvarı (WAF) dağıtın ve web uygulamalarınızı ve API'lerinizi uygulamaya özgü saldırılara karşı korumak için uygun kuralları yapılandırın.
Azure kılavuzu: Uygulamalarınızı, hizmetlerinizi ve API'lerinizi ağınızın kenarındaki uygulama katmanı saldırılarına karşı korumak için Azure Application Gateway, Azure Front Door ve Azure Content Delivery Network'teki (CDN) web uygulaması güvenlik duvarı (WAF) özelliklerini kullanın.
WAF'nizi ihtiyaçlarınıza ve tehdit ortamınıza bağlı olarak "algılama" veya "önleme modunda" ayarlayın.
OWASP İlk 10 güvenlik açıkları gibi yerleşik bir kural kümesi seçin ve bunu uygulama gereksinimlerinize göre ayarlayın.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: Uygulamalarınızı, hizmetlerinizi ve API'lerinizi ağınızın kenarındaki uygulama katmanı saldırılarına karşı korumak için Amazon CloudFront dağıtımı, Amazon API Gateway, Application Load Balancer veya AWS AppSync'te AWS Web Uygulaması Güvenlik Duvarı (WAF) kullanın.
Yerleşik temel grupları dağıtmak ve kullanıcı örneği kural grupları için uygulama gereksinimlerinize göre özelleştirmek için WAF için AWS Yönetilen Kuralları'nı kullanın.
WAF kuralları dağıtımını basitleştirmek için AWS WAF Security Automations çözümünü kullanarak web ACL'nize web tabanlı saldırıları filtreleyen önceden tanımlanmış AWS WAF kurallarını otomatik olarak dağıtabilirsiniz.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Uygulamalarınızı ve web sitelerinizi hizmet reddi ve web saldırılarına karşı korumaya yardımcı olmak için Google Cloud Armor'ı kullanın.
Yaygın web uygulaması güvenlik açıklarını azaltmak ve OWASP İlk 10'dan koruma sağlamaya yardımcı olmak için endüstri standartlarına dayalı Google Cloud Armor kullanıma açık kuralları kullanın.
Her biri ModSecurity Core Rules'dan (CRS) alınan birden çok imzadan oluşan önceden yapılandırılmış WAF kurallarınızı ayarlayın. Her imza kural kümesindeki bir saldırı algılama kuralına karşılık gelir.
Cloud Armor, dış yük dengeleyicilerle birlikte çalışır ve uygulamaların Google Cloud'da, karma dağıtımda veya çok bulutlu mimaride dağıtıldığından bağımsız olarak dağıtılmış hizmet reddi (DDoS) ve diğer web tabanlı saldırılardan korur. Güvenlik ilkeleri, yapılandırılabilir eşleştirme koşulları ve bir güvenlik ilkesindeki eylemlerle el ile yapılandırılabilir. Cloud Armor ayrıca çeşitli kullanım örneklerini kapsayan önceden yapılandırılmış güvenlik ilkelerine sahiptir.
Cloud Armor'ta Uyarlamalı Koruma, arka uç hizmetlerinize yönelik trafik desenlerini analiz ederek, şüpheli saldırıları algılayıp uyararak ve bu saldırıları azaltmak için önerilen WAF kuralları oluşturarak uygulamanızı ve hizmetlerinizi L7 dağıtılmış saldırılarını önlemenize, algılamanıza ve korumanıza yardımcı olur. Bu kurallar gereksinimlerinizi karşılayacak şekilde ayarlanabilir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-7: Ağ güvenliği yapılandırmasını basitleştirme
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik ilkesi: Karmaşık bir ağ ortamını yönetirken ağ güvenlik yönetimini basitleştirmek, merkezileştirmek ve geliştirmek için araçları kullanın.
Azure kılavuzu: Sanal ağın, NSG kurallarının ve Azure Güvenlik Duvarı kurallarının uygulanmasını ve yönetimini basitleştirmek için aşağıdaki özellikleri kullanın:
- Bölgeler ve abonelikler arasında sanal ağları ve NSG kurallarını gruplandırmak, yapılandırmak, dağıtmak ve yönetmek için Azure Sanal Ağ Yöneticisi'ni kullanın.
- Tehdit analizi ve trafik analizi sonucuna göre bağlantı noktalarını, protokolleri ve kaynak IP'leri daha fazla sınırlayan NSG sağlamlaştırma kuralları önermek için Bulut Uyarlamalı Ağ Sağlamlaştırma için Microsoft Defender kullanın.
- Sanal ağın güvenlik duvarı ilkesini ve yol yönetimini merkezileştirmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Güvenlik duvarı kurallarının ve ağ güvenlik gruplarının uygulanmasını basitleştirmek için Azure Güvenlik Duvarı Manager Azure Resource Manager(ARM) şablonunu da kullanabilirsiniz.
Azure uygulaması ve ek bağlamı:
- Bulut için Microsoft Defender'de Uyarlamalı Ağ Sağlamlaştırma
- Azure Güvenlik Duvarı Yöneticisi
- Azure Güvenlik Duvarı ve güvenlik duvarı ilkesi oluşturma - ARM şablonu
AWS kılavuzu: Aşağıdaki hizmetler arasında ağ koruma ilkesi yönetimini merkezileştirmek için AWS Güvenlik Duvarı Yöneticisi'ni kullanın:
- AWS WAF ilkeleri
- AWS Shield Gelişmiş ilkeleri
- VPC güvenlik grubu ilkeleri
- Ağ Güvenlik Duvarı ilkeleri
AWS Güvenlik Duvarı Yöneticisi, güvenlik duvarıyla ilgili ilkelerinizi otomatik olarak analiz edebilir, uyumlu olmayan kaynaklar ve algılanan saldırılar için bulgular oluşturabilir ve araştırma için AWS Güvenlik Merkezi'ne gönderebilir.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Sanal özel bulut (VPC) ağının, güvenlik duvarı kurallarının ve WAF kurallarının uygulanmasını ve yönetimini basitleştirmek için aşağıdaki özellikleri kullanın:
- Tek tek VPC ağlarını ve VPC güvenlik duvarı kurallarını yönetmek ve yapılandırmak için VPC Ağlarını kullanın.
- Güvenlik duvarı kurallarını gruplandırmak ve ilke kurallarını genel veya bölgesel ölçekte hiyerarşik olarak uygulamak için Hiyerarşik Güvenlik Duvarı ilkelerini kullanın.
- Özel güvenlik ilkeleri, önceden yapılandırılmış WAF kuralları ve DDoS koruması uygulamak için Google Cloud Armor'u kullanın.
Ayrıca Ağ Yönetim Merkezi'ni kullanarak ağınızı analiz edebilir ve yönetim verimliliğini artırmak için sanal ağ topolojiniz, güvenlik duvarı kuralları ve ağ bağlantı durumunuz hakkında içgörüler elde edebilirsiniz.
GCP uygulaması ve ek bağlam:
- VPC ağları
- Hiyerarşik güvenlik duvarı ilkeleri
- Good Cloud Armor'a genel bakış
- Ağ Yönetim Bilgileri Merkezi
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-8: Güvenli olmayan hizmetleri ve protokolleri algılama ve devre dışı bırakma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Güvenlik ilkesi: İşletim sistemi, uygulama veya yazılım paketi katmanında güvenli olmayan hizmetleri ve protokolleri algılayın ve devre dışı bırakın. Güvenli olmayan hizmetleri ve protokolleri devre dışı bırakmak mümkün değilse telafi denetimleri dağıtın.
Azure kılavuzu: SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Kerberos'ta zayıf şifreler ve İmzasız LDAP Bağlamaları gibi güvenli olmayan hizmet ve protokollerin kullanımını keşfetmek için Microsoft Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabını kullanın. Uygun güvenlik standardına uymayan güvenli olmayan hizmetleri ve protokolleri devre dışı bırakın.
Not: Güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse, saldırı yüzeyini azaltmak için ağ güvenlik grubu, Azure Güvenlik Duvarı veya Azure Web Uygulaması Güvenlik Duvarı aracılığıyla kaynaklara erişimi engelleme gibi telafi denetimlerini kullanın.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: UYGUN güvenlik standardına uymayan olası güvenli olmayan hizmetleri ve protokolleri belirlemek üzere VPC Akış Günlüklerini analiz etmek için VPC Akış Günlüklerini etkinleştirin ve GuardDuty kullanın.
AWS ortamındaki günlükler Microsoft Sentinel'e iletilebiliyorsa, güvenli olmayan hizmetlerin ve protokollerin kullanımını keşfetmek için Microsoft Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabı'nı da kullanabilirsiniz
Not: Güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse, saldırı yüzeyini azaltmak için güvenlik grupları, AWS Ağ Güvenlik Duvarı, AWS Web Uygulaması Güvenlik Duvarı aracılığıyla kaynaklara erişimi engelleme gibi telafi denetimlerini kullanın.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: UYGUN güvenlik standardına uymayan olası güvenli olmayan hizmetleri ve protokolleri belirlemek üzere VPC Akış Günlüklerini analiz etmek için VPC Akış Günlüklerini etkinleştirin ve BigQuery veya Güvenlik Komut Merkezi'ni kullanın.
GCP ortamındaki günlükler Microsoft Sentinel'e iletilebiliyorsa, güvenli olmayan hizmetlerin ve protokollerin kullanımını keşfetmek için Microsoft Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabını da kullanabilirsiniz. Ayrıca günlükleri Google Cloud Chronicle SIEM ve SOAR'a iletebilir ve aynı amaçla özel kurallar oluşturabilirsiniz.
Not: Güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse VPC Güvenlik Duvarı kuralları ve ilkeleri aracılığıyla kaynaklara erişimi engelleme veya saldırı yüzeyini azaltmak için Cloud Armor gibi telafi denetimlerini kullanın.
GCP uygulaması ve ek bağlam:
- VPC Akış Günlüklerini kullanma
- Google Cloud'da güvenlik günlüğü analizi
- BigQuery'ye genel bakış - Güvenlik Komut Merkezi'ne genel bakış
- GCP iş yükleri için Microsoft Sentinel
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-9: Şirket içi veya bulut ağını özel olarak bağlama
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
12.7 | CA-3, AC-17, AC-4 | Yok |
Güvenlik ilkesi: Bulut hizmeti sağlayıcısı veri merkezleri ve birlikte bulundurma ortamındaki şirket içi altyapı gibi farklı ağlar arasında güvenli iletişim için özel bağlantılar kullanın.
Azure kılavuzu: Basit siteden siteye veya noktadan siteye bağlantı için, şirket içi siteniz veya son kullanıcı cihazınız ile Azure sanal ağı arasında güvenli bir bağlantı oluşturmak için Azure sanal özel ağını (VPN) kullanın.
Kurumsal düzeyde yüksek performanslı bağlantılar için Azure veri merkezlerini ve şirket içi altyapıyı bir ortak konum ortamında bağlamak için Azure ExpressRoute 'u (veya Sanal WAN) kullanın.
İki veya daha fazla Azure sanal ağını birbirine bağlarken sanal ağ eşlemesini kullanın. Eşlenen sanal ağlar arasındaki ağ trafiği özeldir ve Azure omurga ağında tutulur.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: Siteden siteye veya noktadan siteye bağlantı için, ŞIRKET içi siteniz veya son kullanıcı cihazınız ile AWS ağı arasında güvenli bir bağlantı oluşturmak için AWS VPN kullanın (IPSec ek yükü önemli olmadığında).
Kurumsal düzeyde yüksek performanslı bağlantılar için AWS Direct Connect'i kullanarak AWS VPC'lerini ve kaynaklarını şirket içi altyapınıza ortak konum ortamında bağlayın.
Bölgeler içinde veya bölgeler arasında iki veya daha fazla VPC arasında bağlantı kurmak için VPC Eşleme veya Transit Ağ Geçidi kullanma seçeneğiniz vardır. Eşlenen VPC arasındaki ağ trafiği özeldir ve AWS omurga ağında tutulur. Büyük bir düz alt ağ oluşturmak için birden çok VPC'ye katılmanız gerektiğinde, VPC Paylaşımı'nı kullanma seçeneğiniz de vardır.
AWS uygulaması ve ek bağlam:
- AWS Direct Connect'e giriş
- AWS VPN'e giriş
- Transit Ağ Geçidi
- VPC eşleme bağlantıları oluşturma ve kabul etme
- VPC Paylaşımı
GCP kılavuzu: Basit siteden siteye veya noktadan siteye bağlantı için Google Cloud VPN kullanın.
Kurumsal düzeyde yüksek performanslı bağlantılar için, birlikte bulundurma ortamında şirket içi altyapınızla Google Cloud VPC'lerine ve kaynaklarına bağlanmak için Google Cloud Interconnect veya İş Ortağı Bağlantısı'nı kullanın.
Bölgeler içinde veya bölgeler arasında iki veya daha fazla VPC arasında bağlantı kurmak için VPC Ağ Eşlemesi veya Ağ Bağlantı Merkezi'ni kullanma seçeneğiniz vardır. Eşlenen VPC'ler arasındaki ağ trafiği özeldir ve GCP omurga ağında tutulur. Büyük bir düz alt ağ oluşturmak için birden çok VPC'ye katılmanız gerektiğinde, Paylaşılan VPC'yi kullanma seçeneğiniz de vardır
GCP uygulaması ve ek bağlam:
- Bulut VPN'e genel bakış
- Bulut Bağlantısı, Ayrılmış Bağlantı ve İş Ortağı Bağlantısı
- Ağ Bağlantı Merkezi'ne genel bakış
- Özel Hizmet Bağlantısı
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
NS-10: Etki Alanı Adı Sistemi (DNS) güvenliğini sağlama
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
4.9, 9.2 | SC-20, SC-21 | Yok |
Güvenlik ilkesi: Etki Alanı Adı Sistemi (DNS) güvenlik yapılandırmasının bilinen risklere karşı koruduğuna emin olun:
- İstemcinin (işletim sistemleri ve uygulamalar gibi) doğru çözüm sonucunu aldığından emin olmak için bulut ortamınızda güvenilen yetkili ve özyinelemeli DNS hizmetlerini kullanın.
- Özel ağ için DNS çözümleme işleminin genel ağdan yalıtılabilmesi için genel ve özel DNS çözümlemesini ayırın.
- DNS güvenlik stratejinizin DNS'yi sallama, DNS amplifikasyon saldırıları, DNS zehirlenmesi ve kimlik sahtekarlığı gibi yaygın saldırılara karşı risk azaltmaları da içerdiğini doğrulayın.
Azure kılavuzu: Azure özyinelemeli DNS 'yi (genellikle DHCP aracılığıyla VM'nize atanır veya hizmette önceden yapılandırılmıştır) ya da vm'nin işletim sistemi veya uygulama gibi iş yükü özyinelemeli DNS kurulumunuzda güvenilen bir dış DNS sunucusu kullanın.
DNS çözümleme işleminin sanal ağdan ayrılmadığı özel bir DNS bölgesi kurulumu için Azure Özel DNS kullanın. DNS çözümlemesini yalnızca istemciniz için güvenilir çözüme izin verecek şekilde kısıtlamak için özel bir DNS kullanın.
İş yükünüz veya DNS hizmetiniz için aşağıdaki güvenlik tehditlerine karşı gelişmiş koruma için DNS için Microsoft Defender kullanın:
- DNS tünelini kullanarak Azure kaynaklarınızdan veri sızdırma
- Komut ve denetim sunucusuyla iletişim kurarak kötü amaçlı yazılım
- Kimlik avı ve kripto madenciliği gibi kötü amaçlı etki alanlarıyla iletişim
- Kötü amaçlı DNS çözümleyicileriyle iletişimde DNS saldırıları
Ayrıca, App Service web sitesinin özel etki alanını DNS kayıt şirketinizden kaldırmadan yetkisini alırsanız App Service için Microsoft Defender kullanabilirsiniz.
Azure uygulaması ve ek bağlamı:
- Azure DNS'ye genel bakış
- Güvenli Etki Alanı Adı Sistemi (DNS) Dağıtım Kılavuzu:
- Azure Özel DNS
- DNS için Azure Defender
- Sarkan DNS girdilerini önleyin ve alt etki alanı devralmayı önleyin:
AWS kılavuzu: Amazon DNS Sunucusu'nu (başka bir deyişle, genellikle DHCP aracılığıyla size atanan veya hizmette önceden yapılandırılmış olan Amazon Route 53 Resolver sunucusu) ya da vm'nin işletim sisteminde veya uygulamada olduğu gibi iş yükü özyinelemeli DNS kurulumunuzda merkezi bir güvenilen DNS çözümleyici sunucusunu kullanın.
Amazon Route 53'i kullanarak DNS çözümleme işleminin belirlenen VPC'leri bırakmadığı özel bir barındırılan bölge kurulumu oluşturun. Aşağıdaki kullanım örnekleri için VPC'nizdeki giden DNS/UDP trafiğini düzenlemek ve filtrelemek için Amazon Route 53 güvenlik duvarını kullanın:
- VPC'nizde DNS sızdırma gibi saldırıları önleme
- Uygulamalarınızın sorgulayabileceğiniz etki alanları için izin verme veya reddetme listesi ayarlama
Etki alanınızı DNS kimlik sahtekarlığına veya ortadaki adam saldırısına karşı korumak üzere DNS trafiğinin güvenliğini sağlamak için Amazon Route 53'teki Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC) özelliğini yapılandırın.
Amazon Route 53 ayrıca Route 53'in etki alanlarınız için yetkili ad sunucuları olarak kullanılabildiği bir DNS kayıt hizmeti de sağlar. Etki alanı adlarınızın güvenliğini sağlamak için aşağıdaki en iyi yöntemler izlenmelidir:
- Etki alanı adları Amazon Route 53 hizmeti tarafından otomatik olarak yenilenmelidir.
- Etki alanı adlarının güvenliğini sağlamak için Aktarım Kilidi özelliği etkinleştirilmelidir.
- Gönderen İlke Çerçevesi (SPF), spam gönderenlerin etki alanınızda kimlik sahtekarlığına uğramasını durdurmak için kullanılmalıdır.
AWS uygulaması ve ek bağlam:
- Amazon Route 53 DNSSEC yapılandırması
- Amazon Route 53 güvenlik duvarı
- Amazon Route 53 etki alanı kaydı
GCP kılavuzu: GCP DNS sunucusunu (genellikle DHCP aracılığıyla VM'nize atanan veya hizmette önceden yapılandırılmış meta veri sunucusu) veya iş yükü özyinelemeli DNS kurulumunuzdaki merkezi bir güvenilen DNS çözümleyici sunucusunu (örneğin, VM'nin işletim sisteminde veya uygulamada) kullanın.
GCP Bulut DNS'sini kullanarak DNS çözümleme işleminin ayrılmış VPC'leri bırakmadığı özel bir DNS bölgesi oluşturun. VpC'nizdeki giden DNS/UDP trafiğini kullanım örneklerini düzenleyin ve filtreleyin:
- VPC'nizde DNS sızdırma gibi saldırıları önleme
- Uygulamalarınızın sorgulandığı etki alanları için izin verme veya reddetme listeleri ayarlama
Etki alanınızı DNS kimlik sahtekarlığına veya ortadaki adam saldırısına karşı korumak üzere DNS trafiğinin güvenliğini sağlamak için Bulut DNS'de Etki Alanı Adı Sistem Güvenlik Uzantıları (DNSSEC) özelliğini yapılandırın.
Google Cloud Domains, etki alanı kayıt hizmetleri sağlar. GCP Bulut DNS, etki alanlarınız için yetkili ad sunucuları olarak kullanılabilir. Etki alanı adlarınızın güvenliğini sağlamak için aşağıdaki en iyi yöntemler izlenmelidir:
- Etki alanı adları Google Cloud Domains tarafından otomatik olarak yenilenmelidir.
- Etki alanı adlarında güvenli kalmaları için Aktarım Kilidi özelliği etkinleştirilmelidir
- Gönderen İlke Çerçevesi (SPF), spam gönderenlerin etki alanınızda kimlik sahtekarlığına uğramasını durdurmak için kullanılmalıdır.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):