Veri Koruması

Veri koruması, hassas bilgileri tam veri yaşam döngüsü boyunca yetkisiz erişim, sızdırma ve kötüye kullanımdan korur. Veri envanteri oluşturmak için bulma ve sınıflandırma, aktarımdaki ve bekleyen verileri korumak için şifreleme ve şifreleme bütünlüğünü korumak için disiplinli anahtar ve sertifika yönetimi uygulayın. Bu katmanlı yaklaşım, Sıfır Güven ilkeleri ve derinlemesine savunma stratejileriyle uyumlu.

Kapsamlı veri koruması olmadan kuruluşlar veri ihlalleri, mevzuat cezaları ve hassas bilgilerin sızdırmasından kaynaklanan itibar zararları ile karşı karşıya kalır.

Data Protection güvenlik etki alanının üç temel sütunu aşağıdadır.

Verilerinizi bilin ve sınıflandırabilirsiniz: Risk tabanlı denetimleri etkinleştirmek için hassas bilgileri keşfedin ve tutarlı etiketler uygulayın.

İlgili denetimler:

DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme

Verileri şifreleme ile koruma: Modern şifreleme standartlarını kullanarak aktarımdaki ve bekleyen veriler için kapsamlı şifreleme uygulayın.

İlgili denetimler:

DP-3: Aktarımdaki hassas verileri şifreleme
DP-4: Sakin durumdaki veri şifrelemesini varsayılan olarak etkinleştir
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın

Şifreleme altyapısını yönetme: Otomatik döndürme ve kapsamlı denetim günlüğü ile şifreleme anahtarları ve sertifikaları için disiplinli yaşam döngüsü yönetimi oluşturun.

İlgili denetimler:

DP-6: Güvenli anahtar yönetimi işlemi kullanma
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
DP-8: Anahtar ve sertifika deposunun güvenliğini sağlama

DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DP-1.

Güvenlik ilkesi

Tüm depolardaki verileri keşfederek, sınıflandırarak ve etiketleyerek hassas verilerin kapsamlı bir envanterini oluşturun ve koruyun. Bu, yetkisiz erişim ve sızdırmaya karşı koruma sağlamak için risk tabanlı erişim denetimleri, şifreleme ilkeleri ve izleme sağlar.

Azaltma riski

Tehdit aktörleri, yüksek değerli bilgileri sızdırmak veya kötüye kullanmak için görünürlük eksikliğinden ve hassas verilerin tutarsız işlenmesinden yararlanıyor. Hassas veriler keşfedilmediğinde, sınıflandırılmadığında veya etiketlenmediğinde:

İzlenmeyen düzenlemeye tabi veriler: Yönetilmeyen konumlarda (gölge BT) depolanan (PCI, PHI, PII) gerekli şifreleme, saklama veya izleme denetimlerini atlar.
Fazla ayrıcalıklı erişim: Duyarlılık ve iş etkisi belirlenmediğinden geniş kullanıcı/hizmet erişimi devam eder.
Veri çoğaltma yaygınlaşması: Analiz, test veya dışa aktarma işlem hatlarına veri çoğaltılması, hassas içeriği daha düşük güven ortamlarına yayar.
Adli kör noktalar: Olay yanıtlayıcıları, eksik veya yanlış duyarlılık meta verileri nedeniyle patlama yarıçapını hızla kapsamlayamaz.
Otomasyon hatası: İdare (DLP, koşullu erişim, şifreleme iş akışları) tutarlı etiketleme olmadan tetiklenemiyor.

Temel sınıflandırmanın olmaması, kalma süresini artırır, yanal hareket fırsatlarını genişletir, mevzuat ve itibara maruziyeti artırır.

MITRE ATT&CK

Keşif (TA0043): yüksek değerli depoların profilini oluşturma amacıyla depolama hesaplarını, şema kataloglarını ve sınıflandırma meta verilerini numaralandırarak kurban kimliğini / veri varlıklarını (T1596) toplama.
Bulma (TA0007): hesap ve izinlerin numaralandırılması (T1087, T1069), yatay veya dikey veri erişiminin artmasına olanak tanıyan aşırı rol bağlamalarını ortaya çıkarmak için.
Koleksiyon (TA0009): Etiketsiz blob kapsayıcıları ayıklayarak veya yönetilmeyen dışarı aktarmalarda izleme etiketi olmayan bulut depolamadan (T1530) veriler.
Sızdırma (TA0010): etiketleme/ilke geçitlerinin bulunmadığı geçici dışarı aktarma uç noktaları aracılığıyla web hizmetleri (T1567) üzerinden sızdırma.
Sızdırma (TA0010): Yanlış sınıflandırılmış veri kümelerini sessizce toplamak için betikli sayfalama/döngü kullanarak (T1020) otomatik sızdırma.

DP-1.1: Hassas verileri bulma, sınıflandırma ve etiketleme

Tüm veri varlığınızda hassas bilgileri otomatik olarak bulan, sınıflaştıran ve etiketleyen kapsamlı bir veri haritası oluşturmak için Microsoft Purview'u kullanın. Microsoft Purview Information Protection'ı uygulayarak altyapı düzeyinde şifrelemenin ötesinde korumayı genişleterek, nereye giderse gitsin verileri takip eden kalıcı belge düzeyinde şifreleme ve kullanım hakları uygulayın. Bu temel özellik, veri kaybı önleme, koşullu erişim ve şifreleme ilkeleri gibi aşağı akış güvenlik denetimlerinin yalnızca konum yerine veri duyarlılığına göre çalışmasına olanak tanır.

Veri bulma ve sınıflandırma:

Azure, şirket içi, Microsoft 365 ve çok bulutlu ortamlarda hassas verileri bulmak, sınıflandırmak ve etiketlemek için Microsoft Purview'u dağıtın.
Azure Depolama, Azure SQL Veritabanı, Azure Synapse Analytics ve diğer desteklenen hizmetler gibi veri kaynaklarını otomatik olarak taramak ve katalog oluşturmak için Microsoft Purview Veri Eşlemesi'ni kullanın.
Purview Veri Haritası'nda duyarlılık etiketlerini etkinleştirerek veri içeriği desenlerine ve kuruluş ilkelerine göre sınıflandırma etiketlerini (gizli, çok gizli, PII, PHI gibi) otomatik olarak uygulayın.

Belge düzeyinde şifreleme ve koruma:

Duyarlılık etiketlerine göre belgelere ve e-postalara kalıcı şifreleme ve kullanım hakları uygulamak için Microsoft Purview Information Protection'ı dağıtın. Verileri kuruluşunuzdan ayrıldıktan sonra bile dosyaları otomatik olarak şifrelemek, filigran uygulamak, iletmeyi kısıtlamak, son kullanma tarihlerini ayarlamak ve erişimi iptal etmek için etiketleri yapılandırın.
Azure Rights Management Service'i (Azure RMS), verilerin nerede depolandığına veya paylaşıldığına bakılmaksızın kalıcı olan kullanım ilkeleriyle (yalnızca görüntüleme, kopyalama yok, yazdırma yok) belgeleri ve e-postaları şifreleyen temel koruma teknolojisi olarak etkinleştirin.

Veritabanı sınıflandırması ve tümleştirmesi:

Azure SQL veritabanlarında kredi kartı numaraları, sosyal güvenlik numaraları veya sistem durumu kayıtları gibi hassas verileri içeren sütunları tanımlamak, sınıflandırmak ve etiketlemek için SQL Veri Bulma ve Sınıflandırma'yı etkinleştirin.
Sınıflandırma meta verilerini aşağı akış denetimleriyle tümleştirin: Microsoft Purview'da Veri Kaybı Önleme (DLP) ilkelerini yapılandırın, Entra ID'de koşullu erişim kuralları uygulayın ve duyarlılık etiketlerine göre şifreleme ilkelerini uygulayın.
Veri varlığınız geliştikçe yeni oluşturulan veya değiştirilen hassas veri varlıklarını sürekli bulmak için düzenli bir tarama zamanlaması oluşturun.

Uygulama örneği

Küresel bir finansal hizmetler kuruluşu, 200'den fazla Azure Depolama hesabı, 50 SQL veritabanı ve Synapse Analytics çalışma alanlarında hassas verileri otomatik olarak bulmak ve sınıflandırmak için Microsoft Purview Veri Eşlemesi dağıttı.

Sorun: Kuruluş, hızla büyüyen Azure veri varlıklarında hassas verilerin nerede bulunduğunu görmekte zorlanıyordu. El ile veri sınıflandırması tutarsızdı, idareyi geciktirdi ve uyumluluk boşlukları oluşturdu. Otomatik bulma olmadan, düzenlenen veriler (PHI, PII, PCI) yönetilmeyen konumlarda korumasız kaldı ve veri kaybı önleme ilkeleri uygun şekilde tetiklenemedi.

Çözüm yaklaşımı:

Veri bulma için Microsoft Purview Veri Eşlemesi dağıtma: Purview hesabı oluşturun ve veri kaynaklarını (Azure Depolama hesapları, SQL veritabanları, Synapse Analytics çalışma alanları) kaydedin, yönetilen kimlik kimlik doğrulamasını kullanarak kaynakları taramak için Veri Eşlemesi yapılandırın, şemaları kataloglayıp hassas sütunları algılamak için tarama kimliği okuma izinleri (db_datareader rol) verin.
Sınıflandırma ve duyarlılık algılamayı yapılandırma: Hassas desenleri (SSN, kredi kartı numaraları, tıbbi kayıt numaraları, SWIFT kodları) algılamak, veri sınıflandırma ilkesiyle uyumlu özel sınıflandırma kuralları tanımlamak ("İş açısından hassas veriler için Gizli - dahili", PHI/PCI/PII verileri için "Çok Gizli - Düzenlemeli"), otomatik etiketleme eşiklerini yapılandırmak (tek varlıkta algılanan ≥3 PII desenleri uygulandığında "Çok Gizli" uygulamak), veri kritikliğine dayalı tarama zamanlamaları oluşturma (üretim için haftalık, arşivler için aylık), yeni yüksek duyarlılık verileri bulunduğunda güvenlik ekiplerine bildirim göndermek için uyarıları yapılandırın.
Belge düzeyinde şifreleme için Microsoft Purview Information Protection'ı dağıtın: Koruma ayarlarıyla Purview uyumluluk portalında duyarlılık etiketleri oluşturma (Genel: şifreleme yok, yalnızca görsel işaretler; İç: filigran, iletme kısıtlaması yok; Gizli: Azure RMS ile şifreleme, yalnızca çalışanlar için görüntüleme/düzenlemeye izin verme, iletmeyi/yazdırmayı engelleme; Çok Gizli - Düzenleme: Azure RMS ile şifreleme, yalnızca görüntüleme erişimi, kopyalama/yazdırma/iletme yok, 90 günlük süre sonu, iptal edilebilir erişim), etiket ilkeleri aracılığıyla kullanıcılara duyarlılık etiketleri yayımlama (kapsam: Finans, Yasal, Yönetici departmanları), otomatik etiketleme ilkelerini otomatik olarak etiket uygulamak için yapılandırma (≥10 SSN'ler → "Çok Gizli - Düzenlemeli", ≥5 kredi kartı numaraları → "Çok Gizli - Düzenlemeli"), SharePoint'te depolanan etiketlenmiş belgeler için Azure RMS korumasını etkinleştirin, OneDrive ve Azure Depolama hesapları, office uygulamaları için istemci tarafı etiketlemeyi yapılandırarak kullanıcılardan kaydetmeden/göndermeden önce belgeleri sınıflandırmalarını ister.

Sonuç: Purview Veri Haritası otomatik tarama, ilk hafta içinde düzenlenen verileri içeren 15.000'den fazla veri varlığını tanımlayarak bulma süresini aylardan güne kısaltır. Information Protection otomatik etiketlemesi 72 saat içinde 8.500 belgeye şifreleme uyguladı. Duyarlılık etiketleri, veriler yönetilmeyen cihazlara taşınsa bile sürekli veri varlığı görünürlüğünü ve kalıcı korumayı etkinleştirdi.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

CIS Denetimleri v8.1: 3.2, 3.7, 3.13
NIST SP 800-53 Rev.5: RA-2, SC-28
PCI-DSS v4: 3.2.1, 12.3.1
NIST CSF v2.0: PR. DS-1, PR. DS-5
ISO 27001:2022: A.8.11
SOC 2: CC6.1

DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DP-2.

Güvenlik ilkesi

Yetkisiz sızdırma, şirket içi tehditler veya güvenliği aşılmış hesapları gösteren anomaliler için hassas veri erişimi ve aktarım etkinliklerini izleyin. Büyük aktarımlar, anormal erişim süreleri veya beklenmeyen veri taşıma gibi olağan dışı desenleri algılamak için davranış taban çizgilerini ve veri duyarlılığı bağlamlarını kullanın.

Azaltma riski

Saldırganlar ve kötü niyetli insider'lar gizli veya düşük sinyal davranışları kullanarak hassas verileri dışarı aktarmaya, hazırlamaya veya yoklama yapmaya çalışır. Bağlamsal ve veri duyarlılığına bağlı sürekli anomali izleme olmadan:

Sessiz sızdırma: Toplu dışarı aktarmalar, büyük sonuç kümeleri veya artımlı sifonlama, taban çizgisi eksikliği nedeniyle algılanmadan devam eder.
Insider kötüye kullanımı: Meşru kimlik bilgileri, kaba izlemeyi atlayan olağan dışı dizilimler (günün saati, hacim, konum) gerçekleştirir.
Hazırlama ve numaralandırma: Saldırganlar, toplu ayıklamadan önce yüksek değerli hedeflere öncelik vermek için şemaları / etiketleri eşler.
Arazi dışında yaşayan sorgular: Standart yönetim araçları, normal çalışma gürültüsünde keşfi maskeler.
Çoklu mağaza kaçışı: Birden fazla hizmete dağıtılmış erişim, tekil mağaza eşiklerini ve bağıntıyı önler.

Yetersiz anomali algılaması, olay yanıtı etkinliğini sıfırlar ve keşiften en düşük sürtünmeyle tam ölçekli sızdırmaya yükseltmeye olanak tanır.

MITRE ATT&CK

Koleksiyon (TA0009): Bulut depolamadan (T1530) hassas kapsayıcılar arasında anormal toplu veya geniş fan-out okumaları yoluyla elde edilen veriler.
Kimlik Bilgisi Erişimi (TA0006): geçerli hesaplar (T1078) güvenliği aşılmış veya iç kimlik bilgilerini geçerli trafik temelleriyle uyumlu olacak şekilde kötüye kullanıyor.
Sızdırma (TA0010): Uyarı eşiklerinden kaçınmak için tasarlanmış betikli, kısıtlanmış sorguları kullanan otomatik sızdırma (T1020).
Sızdırma (TA0010): Saldırgan kontrolündeki bölgeler veya hesaplar üzerinden daha sonra alınmak üzere bulut depolama alanına (T1567.002) veri sızdırma.
Komut ve Denetim / Sızdırma (TA0011/TA0010): uygulama katmanı protokolü (T1071) normal DB/API çağrıları aracılığıyla hassas satırlara tünel oluşturma.
Bulma (TA0007): sistem/hizmet bulma (T1082, T1046) uç noktaları sayarak yanal hareket yollarını daha değerli depolara yönlendirmek için grafiğini çıkarmak.

DP-2.1: Veri hizmetleri için tehdit algılamayı etkinleştirme

Veri depolama ve veritabanı platformlarınızda gerçek zamanlı tehdit algılama ve anomali izleme sağlamak için Microsoft Defender hizmetlerini dağıtın. Bu hizmetler, SQL ekleme girişimleri, anormal sorgu desenleri, olağan dışı veri erişim birimleri ve geleneksel erişim denetimlerinin algılayamayacağı olası sızdırma göstergeleri gibi şüpheli etkinlikleri tanımlamak için davranış analizi ve tehdit bilgileri kullanır.

Veri hizmetleri için tehdit algılamayı etkinleştirme:

Azure Depolama hesaplarında anormal erişim düzenlerini, olağan dışı karşıya yükleme/indirme birimlerini ve olası veri sızdırma girişimlerini izlemek için kötü amaçlı yazılım taraması ve hassas veri tehdidi algılama ile Depolama için Microsoft Defender'ı etkinleştirin.
SQL ekleme girişimleri, anormal sorgu desenleri, olağan dışı veri dışarı aktarma işlemleri ve yabancı konumlardan erişim gibi şüpheli veritabanı etkinliklerini algılamak için SQL için Microsoft Defender'ı etkinleştirin.
Anormal veritabanı erişim düzenlerini, olası veri sızdırmayı ve şüpheli işlem etkinliklerini algılamak için Azure Cosmos DB için Microsoft Defender'ı etkinleştirin.
Açık kaynak veritabanları için (PostgreSQL, MySQL, MariaDB), deneme yanılma saldırılarını, şüpheli erişim düzenlerini ve anormal yönetim işlemlerini algılamak amacıyla Microsoft Defender'ı etkinleştirin.

DP-2.2: Veri sızdırmayı izleme ve önleme

Yetkisiz veri aktarımlarını başarılı olmadan önce algılamak ve engellemek için proaktif veri kaybı önleme denetimleri ve davranışsal izleme uygulayın. İlke tabanlı DLP'yi şirket içi risk yönetimi, SIEM bağıntısı ve otomatik yanıt ile birleştirerek olay araştırması için adli kanıt sağlarken birden çok kanalda sızdırma girişimlerini durduran derinlemesine savunma yaklaşımı oluşturun.

DLP ve içeriden gelen risk kontrollerini dağıtın:

Gizli verilerin Azure hizmetleri, Microsoft 365 ve uç noktalar arasında yetkisiz aktarımını izleyerek ve engelleyerek hassas veri sızdırmasını önlemek için Microsoft Purview Veri Kaybı Önleme (DLP) ilkelerini kullanın.
Makine öğrenmesi ve davranış analizi kullanarak riskli kullanıcı davranışlarını algılamak için Microsoft Purview Insider Risk Management'ı dağıtın. Olağan dışı veri indirmeleri, dosyaları USB/kişisel bulut depolama alanına kopyalama, normal çalışma saatleri dışında hassas kaynaklara erişme veya istifa tarihlerinden önceki veri erişimi artışları gibi göstergeleri izleyin. Insider Risk Management, olası veri hırsızlığını veya ilke ihlallerini belirlemek için Microsoft 365, Azure, İk sistemlerinden ve güvenlik araçlarından gelen sinyalleri ilişkilendirmektedir.

İzlemeyi ve yanıtı yapılandırma:

Veri hizmetleri için tanılama günlüklerini yapılandırın ve davranış taban çizgilerini oluşturmak ve normal erişim desenlerinden sapmaları algılamak için bunları Azure İzleyici veya Microsoft Sentinel'e yönlendirin.
Toplu indirmeler, çalışma saatleri dışında erişim veya şüpheli sorgu davranışları gibi anormal veri erişim desenlerini algılamaya yönelik analiz kuralları oluşturmak için veri hizmeti günlüklerini Microsoft Sentinel ile tümleştirin.
Güvenliği aşılmış kimlikleri yalıtmak, erişimi iptal etmek ve veri sızdırma girişimleri algılandığında güvenlik ekiplerine bildirmek için Azure Logic Apps veya Microsoft Sentinel playbook'larını kullanarak otomatik olay yanıtı iş akışları uygulayın.

Not: Konak tabanlı DLP gereksinimleri için, uç nokta düzeyinde veri koruma denetimlerini zorunlu kılmak için Azure Market'ten Microsoft Purview Endpoint DLP özelliklerini veya üçüncü taraf çözümlerini dağıtın.

Uygulama örneği

Bir sağlık hizmeti sağlayıcısı, Azure Depolama hesapları ve SQL veritabanlarında hasta verilerini hedefleyen anomalileri ve tehditleri izlemek için Depolama için Microsoft Defender ve SQL için Defender'ı etkinleştirdi.

Zorluk: Kuruluş, yetkisiz veri erişimini ve sızdırma girişimlerini tespit etmede kör noktalar yaşadı. Geleneksel çevre savunmaları, toplu indirmeler gerçekleştiren şirket içi tehditleri ve güvenliği aşılmış hizmet sorumlularını gözden kaçırdı. Davranış analizi ve anomali algılaması olmadan, şüpheli erişim düzenleri uzun süre fark edilmeyerek ihlal riskini ve bekleme süresini artırdı.

Çözüm yaklaşımı:

Depolama için Microsoft Defender'ın etkinleştirilmesi: Depolama için Defender'ı hassas veriler içeren depolama hesapları için abonelik düzeyinde etkinleştirin, blob depolamadaki kötü amaçlı dosyaları algılayacak ve karantinaya alacak şekilde kötü amaçlı yazılım taraması yapılandırın, Purview Hassas Bilgi Türlerini kullanarak hassas veri tehdidi algılamayı etkinleştirerek PHI/PII desenlerini belirleyin, maliyetleri denetlemek için işlem başına tarama sınırları veya aylık sınır ayarlayın, tıbbi görüntüleme ve EHR dışarı aktarmalarını barındıran üretim Depolama hesaplarını içeren kaynak gruplarına koruma uygulayın.
SQL için Microsoft Defender'ın etkinleştirilmesi: Azure SQL Veritabanı ve SQL Yönetilen Örneği için abonelik düzeyinde SQL için Defender'ı etkinleştirin, yinelenen taramalarla Güvenlik Açığı Değerlendirmesi'ni yapılandırın ve tarama sonuçları için depolama hesabı belirleyin, güvenlik ekibine tanımlanan güvenlik açıklarını uyarmak için e-posta bildirimleri ayarlayın, SQL ekleme girişimlerini, olağan dışı sorgu desenlerini, yabancı bölgelerden anormal erişimi algılamak için Gelişmiş Tehdit Koruması'nı etkinleştirin, ve olası veri sızdırma.
Microsoft Sentinel ile tümleştirme: Veri bağlayıcısını kullanarak Bulut için Microsoft Defender'ı Microsoft Sentinel'e bağlama, tanılama ayarlarını yapılandırma (depolama işlemleri ve SQL denetim günlükleri için tanılama günlüklerini etkinleştirme, Log Analytics çalışma alanına yönlendirme), anomalileri algılamak için Sentinel Analytics kuralları oluşturma (1 saat içinde 10 GB indirme >uyarıları, çalışma saatleri dışında veritabanı erişimi, şüpheli sorgu desenleri), güvenliği aşılmış kimlikleri yalıtmak için otomatik yanıt playbook'larını yapılandırma, depolama erişimini iptal edin ve güvenlik ekiplerine bildirin.
Davranışsal tehdit algılama için Microsoft Purview İçerdeki Risk Yönetimi'ni dağıtın: İçerdeki Risk Yönetimi'ni etkinleştirin ve politika şablonlarını yapılandırın (ayrılmadan 30-90 gün önce olağandışı dosya indirmelerini algılayan ayrılmakta olan kullanıcıların veri hırsızlığı, USB/bulut depolama kopyalamayı izleyen genel veri sızıntıları, yüksek ayrıcalıklı roller için gelişmiş izleme ile öncelikli kullanıcılar tarafından veri sızıntıları), risk göstergelerini ve eşik değerlerini yapılandırın (toplu dosya indirme hacmi uyarıları, mesai saatleri dışında erişim artışları, birden fazla riskli sinyali birleştiren sıra algılama), veri kaynaklarını entegre edin (Azure Etkinlik Günlükleri, Microsoft 365 denetim günlükleri, Cloud Apps için Defender, İK sistemleri, uç nokta DLP olayları), uyarı önceliklendirme iş akışlarını yapılandırarak orta/yüksek önem dereceli uyarıları özel araştırma kuyruğuna yönlendirin.

Sonuç: Depolama için Defender, güvenliği aşılmış bir hizmet sorumlusundan 48 saat içinde anormal toplu indirme etkinliği algılandı. Otomatik yanıt, kimliği izole edip dakikalar içinde SOC'ye bildirerek algılama süresini günlerden 15 dakikanın altına düşürdü. Insider Risk Management, işten ayrılan bir çalışanın araştırma verilerini kişisel normallerinin çok üzerinde kişisel bulut depolama alanına indirdiğini belirleyerek hızlı müdahaleye imkan tanıdı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

CIS Denetimleri v8.1: 3.13
NIST SP 800-53 Rev.5: AC-4, SI-4
PCI-DSS v4: 3.2.1, 10.4.1
NIST CSF v2.0: DE. CM-1, PR. DS-5
ISO 27001:2022: A.8.11, A.8.16
SOC 2: CC6.1, CC7.2

DP-3: Aktarımdaki hassas verileri şifreleme

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DP-3.

Güvenlik ilkesi

Kesme, kurcalama ve yetkisiz erişimi önlemek için güçlü şifreleme (TLS 1.2 veya üzeri gibi) kullanarak aktarımdaki verileri koruyun. Şifrelemenin zorunlu olduğu ağ sınırlarını ve hizmet kapsamlarını tanımlayın ve veri duyarlılığına göre iç ağ korumasını göz önünde bulundurarak dış ve genel ağ trafiğine öncelik verin.

Azaltma riski

Şifrelenmemiş veya zayıf korumalı ağ kanalları hassas verileri kesintiye, işlemeye ve kötüye kullanıma düşürmeye maruz bırakır. Zorunlu modern aktarım şifrelemesi yok (TLS 1.2+):

Pasif kesme: Ağ gözlemcileri kimlik bilgilerini, belirteçleri, API yüklerini veya düzenlenmiş verileri düz metin olarak yakalar.
Ortadaki Adam Saldırısı: Saldırganlar sorguları değiştirir, zararlı yazılım enjekte eder veya oturum bilgilerini toplar.
Protokol düşürme: Eski geri dönüş (SSL/TLS < 1.2, düz metin HTTP/FTP), kullanım dışı şifreleme paketlerinin kötüye kullanılmasını sağlar.
Oturum ele geçirme: Kanal bütünlüğünün olmaması, yanal hareket için jetonun yeniden oynatılmasına veya çerez hırsızlığına olanak tanır.
Bütünlük işleme: Kurcalama analizi bozar veya sahte işlemleri tetikler.
Opak yanal yollar: İçerideki düz yazı trafiği, ayak basıldıktan sonra keşif malzemesi haline gelir.

Aktarım sırasında güçlü şifrelemenin uygulanmaması ihlal kapsamını genişletir, kimlik bilgilerinin ele geçirilmesini hızlandırır ve sıfır güven varsayımlarını zedeler.

MITRE ATT&CK

Kimlik Bilgisi Erişimi (TA0006): korunmayan kimlik bilgileri (T1552), belirteçleri/oturum materyallerini açığa çıkararak düz metin ya da düşürülmüş TLS oturumları esnasında yakalanır.
Koleksiyon (TA0009): ağ dinleme (T1040) zayıf şifreleme veya düz metin yollarını geçerken API yüklerini ve gizli bilgileri toplama.
Sızdırma (TA0010): geçerli API uç noktaları aracılığıyla web hizmetleri (T1567) üzerinden yapılandırılmış verilerin akışı.
Savunma Kaçağı (TA0005): TLS'yi düşürmeye zorlayan veya trafiği görüntülemek/değiştirmek amacıyla kesme ara sunucularını ekleyen ortadaki düşman (T1557).
Command & Control (TA0011): izlemeyi atlamak için uygulama dışı katman protokolü (T1095) eski veya daha az denetlenen aktarımlara geri dönüyor.

DP-3.1: Veri hizmetleri ve uygulamaları için TLS şifrelemesini zorunlu kılma

Dinleme, kurcalama ve ortadaki adam saldırılarına karşı koruma sağlamak için müşteriye yönelik tüm hizmetler ve veri platformlarında modern taşımacılık katmanı güvenliği standartları oluşturun. Depolama, web uygulamaları, veritabanları ve API ağ geçitleri arasında en düşük TLS 1.2 veya 1.3'e zorlarken, verileri şifrelemeye düşürme saldırılarına neden olan eski protokolleri ve zayıf şifreleme paketlerini devre dışı bırakın.

Veri hizmetleri ve uygulamaları için TLS'i zorunlu kılma:

Tüm istemci bağlantılarının blob, dosya, kuyruk ve tablo işlemleri için TLS 1.2 veya üzerini kullandığına emin olmak için Azure Depolama hesapları için güvenli aktarım (yalnızca HTTPS) uygulayın.
Azure App Service'te barındırılan web uygulamalarında , "Yalnızca HTTPS" ayarını etkinleştirin ve en düşük TLS sürümünü 1.2 veya 1.3 olarak yapılandırarak sürüm düşürme saldırılarını önleyin ve modern şifreleme standartlarını güvence altına alın.
Azure Application Gateway'i hem ön uç dinleyicileri hem de arka uç bağlantı şifrelemesi (uçtan uca TLS) için TLS 1.2/1.3 en düşük sürümünü zorunlu kacak şekilde yapılandırın.
Azure SQL Veritabanı ve diğer PaaS veri hizmetleri için "Güvenli Bağlantılar Gerektir" veya eşdeğer ayarların şifrelenmiş bağlantıları zorunlu kıldığını doğrulayın; düz metin bağlantılarını reddeder.
API Management, Azure Front Door ve diğer ağ geçidi hizmetleri için TLS 1.2 veya üzerini zorunlu kılmak ve zayıf şifreleme paketlerini devre dışı bırakmak için en düşük TLS sürüm ilkelerini yapılandırın.

Not: Azure, MACsec (katman 2) ve TLS (katman 7) kullanarak Azure veri merkezleri arasındaki tüm trafiği otomatik olarak şifreler. Azure PaaS hizmetlerinin çoğu TLS 1.2+ sürümünü varsayılan olarak etkinleştirir, ancak müşteri tarafından yapılandırılabilir ilkelerle (Depolama, App Service, Application Gateway, API Management, Front Door) hizmetler için en düşük TLS sürüm ayarlarını doğrulayın.

DP-3.2: Uzaktan erişim ve dosya aktarım protokollerinin güvenliğini sağlama

İşletimsel etkinlikler sırasında kimlik bilgilerini ve hassas verileri kullanıma sunan düz metin yönetim erişimini ve eski dosya aktarım protokollerini ortadan kaldırın. Yönetim arabirimlerinin doğrudan internete açık olmasını ortadan kaldırmak için güvenli olmayan protokolleri (FTP, şifrelenmemiş RDP/SSH) modern, şifrelenmiş alternatiflerle değiştirin ve merkezi savunmalar aracılığıyla ayrıcalıklı erişimi yönlendirin.

Güvenli uzaktan yönetim protokolleri:

Azure sanal makinelerinin uzaktan yönetimi için yalnızca güvenli protokolleri kullanın:
- Linux VM'leri: Anahtar tabanlı kimlik doğrulaması ile SSH (bağlantı noktası 22) kullanın; parola kimlik doğrulamasını devre dışı bırakın.
- Windows VM'leri: Ağ Düzeyi Kimlik Doğrulaması (NLA) etkinken TLS üzerinden RDP (bağlantı noktası 3389) kullanın.
- Ayrıcalıklı erişim: Genel IP açıklarını ortadan kaldırmak ve TLS üzerinden tarayıcı tabanlı veya yerel istemci erişimi sağlamak için Azure Bastion aracılığıyla yönetim bağlantılarını yönlendirin.

Güvenli dosya aktarım protokolleri:

Dosya aktarımı işlemleri için güvenli protokolleri kullanın ve eski alternatifleri devre dışı bırakın:
- Azure Blob Depolama'da SFTP desteğini kullanın (hiyerarşik ad alanı gerektirir).
- Azure App Service ve Azure İşlevleri'nde FTPS kullanın.
- Eski FTP protokollerini (düz metin) devre dışı bırakın.
Ortamınız genelinde güvenli aktarım ilkelerini zorunlu kılmak ve TLS sürüm gereksinimlerinin uyumluluğunu izlemek için Azure İlkesi'ni kullanın.

Uygulama örneği

Bir e-ticaret platformu, PCI-DSS 4.0 gereksinimlerini karşılamak için müşteriye yönelik tüm hizmetler genelinde TLS 1.3 en düşük sürümünü zorunlu kılmıştır.

Zorluk: Eski TLS 1.0/1.1 protokolleri ve zayıf şifreleme paketleri, müşteri ödeme verilerini dinleme saldırılarına maruz bıraktı. Uygulama katmanları genelinde tutarsız TLS zorlaması, saldırganların bağlantıları düşürebileceği güvenlik boşlukları oluşturdu. Merkezi TLS politikası zorlaması olmadan, el ile yapılan yapılandırma sapmaları güvenli olmayan protokollerin üretimde kalmasına izin verdi.

Çözüm yaklaşımı:

TLS 1.3 için Azure App Service'i yapılandırma: Müşteriye yönelik web uygulamaları ve API'ler için en düşük TLS sürümünü 1.3 olarak ayarlayın, tüm HTTP trafiğini otomatik olarak HTTPS'ye yönlendirmek için yalnızca HTTPS modunu etkinleştirin, yönetilen sertifikaların veya özel sertifikaların güçlü şifreleme paketleri kullandığını doğrulayın.
Azure Application Gateway'i uçtan uca TLS için yapılandırın: Ön uç HTTPS dinleyicisini AppGwSslPolicy20220101 SSL ilkesiyle yapılandırın (CustomV2 ilkesiyle EN az TLS 1.3), TLS sertifikasını karşıya yükleyin veya sertifika yönetimi için Key Vault ile tümleştirin, HTTPS bağlantıları için arka uç ayarlarını yapılandırın (arka uç protokollerini 443 numaralı bağlantı noktasında HTTPS olarak ayarlayın, Arka uç App Services Azure tarafından yönetilen sertifikalar kullanıyorsa "Bilinen CA sertifikasını kullan" seçeneğini etkinleştirin, arka uç bağlantıları için en düşük TLS sürümünü 1.2 olarak ayarlayın), HTTPS dinleyicilerini TLS özellikli ayarlarla arka uç havuzlarına bağlayan yönlendirme kuralları oluşturun.
Azure Depolama için güvenli aktarımı zorunlu kılma: Blob, dosya, kuyruk ve tablo işlemleri için yalnızca HTTPS'yi zorunlu kılmak için "Güvenli aktarım gerekli" ayarını etkinleştirin, tüm depolama bağlantıları için en düşük TLS sürümünü 1.2 olarak ayarlayın, tüm SAS belirteçlerinin ve paylaşılan anahtarların yalnızca HTTPS bağlantıları üzerinden çalıştığını doğrulayın.
Güvenli uzaktan erişim için Azure Bastion'ı yapılandırın: TLS 1.2 üzerinden tarayıcı tabanlı RDP/SSH erişimi sağlamak, vm'lerden genel IP'leri kaldırmak ve tüm yönetim erişimini özel olarak Bastion aracılığıyla yönlendirmek için hub sanal ağından Azure Bastion'ı dağıtın.

Sonuç: Azure Depolama hesapları hizmet sınırındaki HTTP bağlantılarını reddeder, Application Gateway TLS 1.2 arka uç şifrelemesi ile ön uç bağlantıları için TLS 1.3'i zorlar ve Azure Bastion, VM yönetimi için genel IP açıklarını ortadan kaldırır.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

CIS Denetimleri v8.1: 3.10
NIST SP 800-53 Rev.5: SC-8
PCI-DSS v4: 4.2.1, 4.2.2
NIST CSF v2.0: PR. DS-2
ISO 27001:2022: A.8.24
SOC 2: CC6.1, CC6.7

DP-4: Hareketsiz durumdaki veri şifrelemesini varsayılan olarak etkinleştirin

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DP-4.

Güvenlik ilkesi

Beklemedeki veriler için şifrelemeyi varsayılan olarak etkinleştirerek, temel depolama, fiziksel medya hırsızlığı, anlık görüntülerin açığa çıkması veya güvenlik ihlali yapılan altyapıya erişim aracılığıyla verileri yetkisiz erişime karşı koruyun. Şifreleme, depolama düzeyi güvenlik atlandığında bile verilerin korunduğundan emin olarak erişim denetimlerini tamamlar.

Azaltma riski

Şifrelenmemiş veya seçmeli olarak şifrelenmiş depolama katmanları, bant dışı erişime (altyapı güvenliği aşılma, çalınmış medya, anlık görüntü kötüye kullanımı) sahip saldırganların hassas verileri büyük ölçekte toplamasına olanak sağlar. Varsayılan şifreleme olmadan:

Ham medyadan veri toplama: Çalınan diskler, yedeklemeler veya yönetilmeyen anlık görüntüler tam düz metin veri kümelerini kullanıma sunar.
Ayrıcalık sınırı erozyonu: Platform yöneticileri veya güvenliği aşılmış konak aracıları, kriptografik ayrım olmaksızın kiracı verilerini okuyabilir.
Sessiz kopyalama ve sızdırma: Şifrelenmemiş çoğaltmalar (test, analiz, dışarı aktarma) düşük sürtünmeli sızdırma kanallarına dönüşür.
Bütünlük tahrifatı: Saldırganlar, daha sonraki aşamalarda sistem güvenliğinin ihlaline yol açmak için pasif verileri (kötü amaçlı DLL'ler, yapılandırma veya referans verileri) değiştirir.
Mevzuata uyumsuzluk: Sistemik şifrelemenin olmaması, birçok sektör sertifikası için gereken güvenceleri baltalar.
Anahtarsız kurtarma maruziyeti: Olağanüstü durum kurtarma görüntüleri ve soğuk arşivler, kurtarılabilir düz metinde hassas içeriği süresiz olarak korur.

Bekleyen evrensel şifrelemenin uygulanamaması, ihlal ölçeğini artırır, adli kapsam belirlemeyi karmaşıklaştırır ve aşağı akış işletimsel ve yasal riski büyütür.

MITRE ATT&CK

Koleksiyon (TA0009): Şifrelenmemiş anlık görüntüler, çoğaltmalar veya ayrılmış diskler ayıklayarak bulut depolamadan (T1530) alınan veriler.
Savunma Kaçağı (TA0005): gösterge kaldırma (T1070) çevrimdışı medya / anlık görüntü erişimi sonrasında günlükleri düzenleme veya temizleme.
Etki (TA0040): veri yok etme (T1485) sonraki süreçleri kesintiye uğratmak için şifrelenmemiş pasif varlıkları bozuyor.
Etki (TA0040): Sistem kurtarmayı (T1490) şifrelenmemiş yedeklemeleri ve kurtarma kataloglarını silmesini veya değiştirmesini engelleyin.
Etki (TA0040): veri işleme (T1565), depolanan başvuru veya yapılandırma verilerini alt olarak değiştirerek sonraki aşama mantık hatalarına neden olur.

DP-4.1: Dinlenme halindeki verilerin şifrelenmesini varsayılan olarak etkinleştir

Altyapı güvenliğinin aşılmasına, çalınmış medyaya veya yetkisiz anlık görüntülere karşı yetkisiz erişime karşı koruma sağlamak için Azure'da depolanan tüm verilerin beklemede şifrelendiğinden emin olun. Çoğu Azure hizmeti varsayılan olarak şifrelemeyi etkinleştirse de, sanal makineler, depolama hesapları ve veritabanları genelinde kapsamı doğrulayın ve mevzuat ve veri hakimiyeti gereksinimlerini karşılamak için yüksek düzeyde hassas iş yükleri için ek şifreleme katmanları (konakta şifreleme, altyapı şifrelemesi, gizli bilgi işlem ve sütun düzeyinde şifreleme) etkinleştirin.

VM'ler ve depolama için şifrelemeyi etkinleştirin:

Veriler Azure Depolama'ya ulaşmadan önce geçici diskleri, işletim sistemi disk önbelleğini, veri diski önbelleğini ve kısa ömürlü işletim sistemi disklerini şifrelemek için Azure Sanal Makineleri için konakta şifrelemeyi etkinleştirin. EncryptionAtHost özelliğini abonelik düzeyinde kaydedin ve desteklenen VM boyutlarını (örneğin, DSv3, Easv4, Dadsv5 serisi) kullanarak VM'leri dağıtın.
Ek şifreleme katmanları gerektiren Azure Depolama hesapları için altyapı şifrelemesini (çift şifreleme) etkinleştirin. Bu, hem hizmet hem de altyapı düzeylerinde farklı anahtarlarla AES-256 şifrelemesinin iki katmanını sağlar; oluşturma işleminden sonra etkinleştirilemediğinden depolama hesabı oluşturma sırasında yapılandırın.

Gizli bilgi işlem ve sütun düzeyinde şifreleme dağıtma:

Dışarı aktarma denetimindeki veya hassas verileri işleyen yüksek düzeyde düzenlenmiş iş yükleri için gizli disk şifrelemesi ile Azure Gizli VM'lerini dağıtın. İşleme sırasında verilerin şifrelenmiş kalmasını sağlamak için vTPM'ye bağlı disk şifreleme anahtarlarıyla DCasv5/DCadsv5 serisi (AMD SEV-SNP) veya ECasv5/ECadsv5 serisini (Intel TDX) kullanın.
Azure SQL Veritabanı için, verilerin veritabanı yöneticileri, bulut operatörleri ve yüksek ayrıcalıklı ama yetkisiz kullanıcılardan bile şifrelendiği son derece hassas veriler (SSN, kredi kartı numaraları, tıbbi kayıtlar) için istemci tarafı sütun düzeyinde şifreleme sağlamak üzere Always Encrypted'ı uygulayın. Şifrelenmiş sütunlarda daha zengin sorgular sağlamak için Always Encrypted'ı güvenli kuşatmalarla (Intel SGX) kullanın.

Şifreleme uyumluluğunu denetle ve zorla:

Abonelik veya yönetim grubu kapsamında "Sanal makineler konakta şifrelemeyi etkinleştirmelidir", "Depolama hesaplarının altyapı şifrelemesi olmalıdır" ve "SQL veritabanlarında Saydam Veri Şifreleme etkinleştirilmelidir" gibi yerleşik ilkeler atayarak Azure İlkesi'ni kullanarak şifreleme uyumluluğunu zorunlu kılın.
Ortamınızda şifreleme yapılandırmalarını sorgulamak ve envanterini oluşturmak, konakta şifrelemesi olmayan VM'leri, altyapı şifrelemesi olmayan depolama hesaplarını veya TDE etkinleştirilmemiş veritabanlarını tanımlamak için Azure Kaynak Grafı'nı kullanın.

Not: Birçok Azure hizmetinde (Azure Depolama, Azure SQL Veritabanı, Azure Cosmos DB) her iki yılda bir otomatik olarak dönen hizmet tarafından yönetilen anahtarları kullanarak altyapı katmanında bekleyen veri şifrelemesi varsayılan olarak etkindir. Şifreleme varsayılan olarak etkin değilse, teknik fizibilite ve iş yükü gereksinimlerine göre depolama, dosya veya veritabanı düzeyinde etkinleştirin.

Uygulama örneği

Çok uluslu bir üretim şirketi ERP verilerini, tedarik zinciri uygulamalarını ve mühendislik ticari sırlarını korumak için Azure ortamında bekleyen şifrelemeyi standartlaştırmış.

Zorluk: Tutarsız şifreleme kapsamı, hassas verileri, altyapının ihlal edilmesine ve sistem görüntüsü hırsızlığına karşı savunmasız bıraktı. Geçici disk verileri ve kısa süreli depolama şifrelenmemiş olarak kalır ve uyumluluk boşlukları oluşturur. Sistematik şifreleme uygulanmadığında, mühendislik ticari sırları ve tedarik zinciri verileri çalınan diskler, yetki verilmemiş anlık görüntüler veya güvenliği aşılmış konak ajanları aracılığıyla ortaya çıkabilir.

Çözüm yaklaşımı:

Azure Sanal Makineler için konakta şifrelemeyi etkinleştirin: EncryptionAtHost özelliğini abonelik düzeyinde kaydedin, desteklenen VM boyutlarını (DSv3, Easv4, Dadsv5 serisi) kullanarak VM'ler için konakta şifrelemeyi etkinleştirin; şifreleme geçici diskleri, işletim sistemi disk önbelleğini, veri diski önbelleğini ve kısa ömürlü işletim sistemi disklerini kapsar.
Azure Depolama için altyapı şifrelemesini (çift şifreleme) etkinleştirin: Hassas depolama hesapları için Azure Depolama Hizmeti Şifrelemesi'nin (SSE) etkinleştirildiğini doğrulayın (varsayılan olarak AES-256 şifrelemesi), depolama hesabı oluşturma sırasında altyapı şifrelemesini etkinleştirir (oluşturulduktan sonra etkinleştirilemez), sonuç: farklı anahtarlarla iki AES-256 şifreleme katmanı.
Yüksek düzeyde düzenlenmiş iş yükleri için Azure Gizli VM'lerini dağıtma: Uygun Gizli VM serisini seçin (AMD SEV-SNP için DCasv5/DCadsv5 serisi veya Intel TDX için ECasv5/ECadsv5 serisi), platform tarafından yönetilen anahtarla gizli disk şifrelemesini etkinleştirin (disk şifreleme anahtarlarını VM'nin sanal TPM'sine bağlar), kanıtlama için Güvenli Önyükleme'yi ve vTPM'yi etkinleştirin, dışarı aktarılan denetimli teknik verileri işleyen iş yükleri için dağıtın veya işleme sırasında verilerin şifrelenmesi gereken yüksek düzeyde düzenlenmiş PII'yi etkinleştirin.
Hassas veritabanı sütunları için Always Encrypted'i uygulayın: Azure SQL Veritabanı'nda sütun düzeyinde şifreleme gerektiren son derece hassas sütunları belirleyin (SSN, Kredi Kartı Numarası, Tıbbi Kayıt Numarası), veri sütunlarını şifrelemek için sütun şifreleme anahtarları (CEK) ve CEK'i şifrelemek için sütun ana anahtarları (CMK) oluşturup, CMK'yı Azure Key Vault'ta saklayın. Şifrelenmiş veriler üzerinde daha gelişmiş sorgular yapabilmek için Always Encrypted'i güvenli bölgeler (Intel SGX) ile etkinleştirin, hassas sütunları eşitlik aramaları için belirlenimci şifreleme veya maksimum güvenlik için rastgele şifreleme kullanarak şifreleyin. Saydam şifreleme/şifre çözme için uygulama bağlantı dizelerini Sütun Şifreleme Ayarı=Etkin olacak şekilde yapılandırın.
Azure Kaynak Grafı ile envanter şifreleme yapılandırmaları: Konakta şifrelemesi olmayan VM'ler ve altyapı şifrelemesi olmayan depolama hesapları için şifreleme durumunu sorgular, sonuçları CSV'ye aktarın ve düzeltme görevlerini kaynak sahiplerine atayın.

Sonuç: Konakta şifreleme, geçici disk verilerinin daha önce şifrelenmemiş olduğu uyumluluk boşluklarını giderdi. Çift katmanlı şifrelemeyle korunan mühendislik dosyaları altyapı şifreleme ile korunur. Gizli VM'ler, dışarı aktarma denetimindeki verilerin bulut yöneticilerinden bile şifrelenmiş kalmasını sağladı. Always Encrypted korumalı hassas veritabanı sütunları— veritabanı yöneticileri şifrelenmiş sütunlardan düz metin okuyamadığını ve uyumluluk gereksinimlerini karşıladığını doğruladı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

CIS Denetimleri v8.1: 3.11
NIST SP 800-53 Rev.5: SC-28
PCI-DSS v4: 3.5.1, 3.6.1
NIST CSF v2.0: PR. DS-1
ISO 27001:2022: A.8.24
SOC 2: CC6.1

DP-5: Gerektiğinde durağan veri şifrelemesinde müşteri tarafından yönetilen anahtar seçeneğini kullanın

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DP-5.

Güvenlik ilkesi

Müşteri tarafından yönetilen şifreleme anahtarlarını, mevzuat uyumluluğu, sözleşme gereksinimleri veya veri duyarlılığı anahtar oluşturma, döndürme ve iptal yetkisi dahil olmak üzere şifreleme anahtarı yaşam döngüsü üzerinde doğrudan denetimi gerektirdiğinde kullanın. operasyonel ek yükü işlemek için uygun anahtar yönetimi işlemlerinin gerçekleştiğinden emin olun.

Azaltma riski

Yalnızca mevzuat, sözleşme veya ayrım güvenceleri kiracı denetimini gerektirdiğinde hizmet sağlayıcısı tarafından yönetilen anahtarlara güvenmek, uyumluluk ve yoğunlaşma riskleri getirir. Düzgün yönetilen müşteri tarafından yönetilen anahtarlar (CMK) olmadan:

Yetersiz mevzuat güvencesi: Anahtar velayet, döndürme temposu veya iptal yetkisi gösterilemiyorsa denetçiler şifreleme denetiminin kanıtını reddedebilir.
İptal gecikmesi: Güvenliği aşılmış platform anahtarlarının hızlı bir şekilde iptal edilememesi veya döndürülememesi, kimlik bilgisi veya tedarik zinciri olaylarından sonra pozlama penceresini genişletir.
Yargı yetkisi: Veri egemenliği, kiracı tarafından işletilen veya HSM destekli anahtarları gerektirebilir; bu eksiklik, bölgesel dağıtımın uygulanabilirliğini bozar.
Kiracılar arası patlama yarıçapı: Şifreleme yalıtımı yetersiz olduğunda çok kiracılı platform anahtarı güvenliğinin aşılmış olması geniş veri kümelerini etkileyebilir.
Gölge çoğalması: Yaşam döngüsü yönetimi olmayan geçici CMK dağıtımları eski, sahipsiz veya zayıf anahtarlara yol açar.
operasyonel kırılganlık: Düşük döndürme otomasyonu veya eksik bağımlılık eşlemesi, anahtar geçişi sırasında uygulama kesintilerine neden olur.

Hatalı veya atlanmış CMK kullanımı şifreleme güvencesini zayıflatır ve hassas iş yükleri için stratejik uyumluluk konumlandırmasını zayıflatır.

MITRE ATT&CK

Kimlik Bilgisi Erişimi (TA0006): zayıf bir şekilde korunan veya yanlış bölümlenmiş platform anahtarları nedeniyle açığa çıkan korumasız kimlik bilgileri (T1552).
Etki (TA0040): etki için şifrelenmiş veriler (T1486) CMK döndürmesini/ iptalini kötüye kullanarak verilere erişilemez hale getirir.
Etki (TA0040): koruma katmanlarını eşitleme dışı bırakmak için şifreleme durumu meta verilerini değiştiren veri manipülasyonu (T1565).
Sızdırma (TA0010): Verileri bulut hesabına aktarma (T1537) veri kümelerini yeniden şifreleyip saldırgan denetimindeki depolama alanına dışarı aktarın.
Sızdırma (TA0010): normal hizmet kalıplarına uygun bir şekilde, anahtar etkin yüksek hacimli toplu veri dışa aktarımlarını düzenleyen web hizmetleri (T1567) üzerinden sızdırma.

DP-5.1: Gerektiğinde bekleyen şifrelemedeki verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın

Mevzuat uyumluluğu, veri hakimiyeti zorunlulukları veya sözleşme yükümlülükleri şifreleme anahtarı saklama, döndürme zamanlamaları ve iptal yetkisi üzerinde doğrudan denetim gerektirdiğinde müşteri tarafından yönetilen anahtarları uygulayın. Microsoft'un bile verilerin şifresini çözemediği nihai denetim gerektiren iş yükleri için, kuruluşunuzun Azure dışında ikinci bir şifreleme anahtarı bulundurduğu Çift Anahtar Şifrelemesi (DKE) uygulayın. Anahtar yaşam döngüsü yönetiminin operasyonel karmaşıklığını, olağanüstü durum kurtarma planlamasını ve anahtar yönetimi hatalarından olası hizmet kullanılabilirliğini dengeleyerek şifreleme denetimini korumak için Azure Key Vault veya Yönetilen HSM'yi kullanın.

CMK gereksinimlerini değerlendirme ve anahtar altyapısı sağlama:

Hangi iş yüklerinin platform tarafından yönetilen anahtarlar yerine müşteri tarafından yönetilen anahtarlara (CMK) ihtiyacı olduğunu belirlemek için mevzuat, uyumluluk veya iş gereksinimlerini değerlendirin. Yaygın etmenler arasında veri hakimiyeti, denetim gereksinimleri veya doğrudan anahtar saklamaya yönelik sözleşme yükümlülükleri yer alır.
Müşteri tarafından yönetilen şifreleme anahtarlarını depolamak ve yönetmek için Azure Key Vault (Standart veya Premium) veya Azure Key Vault Yönetilen HSM sağlama. FIPS 140-3 Düzey 3 doğrulanmış donanım koruması gerektiren iş yükleri için Yönetilen HSM kullanın.
Anahtar oluşturma özelliklerini kullanarak Azure Key Vault'ta şifreleme anahtarları oluşturun veya maksimum taşınabilirlik ve denetim için Kendi Anahtarını Getir (BYOK) kullanarak şirket içi HSM'lerden anahtarları içeri aktarabilirsiniz.

CMK'yi yapılandırın ve anahtar hiyerarşisi oluşturun:

Aşırı denetim gereksinimleri için, hassas belgelerin şifre çözme için iki anahtar gerektirdiği Çift Anahtar Şifrelemesi (DKE) uygulayın: biri Microsoft (Azure RMS) tarafından, diğeri ise yalnızca kuruluşunuz tarafından şirket içinde veya kendi dış anahtar yönetim hizmetinizde yönetilir. DKE ile, şifre çözme için gereken ikinci anahtarı denetlediğinizden, Microsoft yasal süreç tarafından etkilense bile verilerinizin şifresini çözemez.
Azure hizmetlerini (Azure Depolama, Azure SQL Veritabanı, Azure Cosmos DB, Azure Disk Şifrelemesi vb.) Key Vault anahtar URI'sine başvurarak CMK kullanacak şekilde yapılandırın. El ile işletim yükünü azaltmak için otomatik anahtar döndürme ilkelerini etkinleştirin.
KEK'nin (Key Vault'ta depolanan) DEK'yi (hizmetler tarafından kullanılan) şifrelediği bir anahtar şifreleme anahtarı (KEK) ve veri şifreleme anahtarı (DEK) hiyerarşisi oluşturarak anahtar döndürmenin hizmet kullanılabilirliği üzerindeki etkisini en aza indirin.
Anahtar döndürme zamanlamaları, güvenliği aşılmış anahtarlar için iptal işlemleri, anahtar kullanımdan kaldırma iş akışları ve olağanüstü durum kurtarma yordamları gibi anahtar yaşam döngüsü yordamlarını belgeleyin. Anahtar yönetimini kurumsal değişiklik yönetimi süreçlerinizle tümleştirin.

Not: Müşteri tarafından yönetilen anahtarlar, anahtar yaşam döngüsü yönetimi, erişim denetimi yönetimi, izleme ve olağanüstü durum kurtarma planlaması dahil olmak üzere sürekli operasyonel yatırım gerektirir. Hatalı anahtar yönetimi verilerin kullanılamaması veya kaybolmasına neden olabileceği için CMK'yi benimsemeden önce işletimsel hazırlığı güvence altına alın.

Uygulama örneği

Düzenlemeye tabi bir finansal kurum, ticari veriler ve müşteri finansal kayıtları üzerinde doğrudan şifreleme denetimine yönelik mevzuat gereksinimlerini karşılamak için Azure hizmetleri genelinde müşteri tarafından yönetilen anahtarlar (CMK) dağıttı.

Zorluk: Düzenleyici denetçiler, anahtar velayeti, anahtar döndürme yetkisi ve iptal etme kapasitesi dahil olmak üzere şifreleme denetiminin gösterilmesini gerektirdi. Hizmet tarafından yönetilen anahtarlar, kiracı tarafından denetlenen anahtar yaşam döngüsünün kanıtını sağlayamadı. Müşteri tarafından yönetilen anahtarlar olmadan, kuruluş güvenlik olayları sırasında erişimi hızla iptal etme yeteneğine sahip değildi ve bölgesel dağıtımlar için veri hakimiyeti gereksinimlerini karşılayamadı.

Çözüm yaklaşımı:

Azure Key Vault Yönetilen HSM'yi sağlama: Yüksek kullanılabilirlik için en az 3 HSM bölümüyle Yönetilen HSM (FIPS 140-3 Düzey 3 doğrulandı) oluşturun, kvorum anahtarlarıyla güvenlik etki alanını dışarı aktararak Yönetilen HSM'yi etkinleştirin (coğrafi olarak dağıtılmış çevrimdışı kasalarda depolanan anahtar parçalarına bölünür), anahtar işlemleriyle şifreleme anahtarları (RSA-4096 adlı KEK-Prod-2024) oluşturun: Anahtar Sarmalama, Anahtar Açma, Şifreleme, Şifre çözme.
Azure hizmetleri için müşteri yönetimli anahtarları yapılandırın: Azure Depolama için depolama hesabını CMK şifreleme türünü kullanacak şekilde yapılandırın, anahtar kaynağı olarak Key Vault Yönetilen HSM'yi seçin, Yönetilen HSM Şifreleme Servisi Kullanıcı rolüyle kullanıcı tarafından atanan yönetilen kimliği etkinleştirin; Azure SQL Veritabanı için SQL Veritabanı'nı müşteri tarafından yönetilen anahtarı TDE koruyucusu olarak kullanacak şekilde yapılandırın, Yönetilen HSM'den anahtarı seçin, otomatik dönüşümü etkinleştirin; Azure Cosmos DB için Cosmos DB hesabı için müşteri yönetimli anahtarları etkinleştirin, Yönetilen HSM anahtarını seçin, Cosmos DB yönetilen kimliğine erişim izni verin.
Otomatik anahtar döndürmeyi uygulama: Döndürme ilkesini 90 günlük döndürme sıklığıyla yapılandırın, otomatik döndürmeyi etkinleştirin, süre sonu bildirimini yapılandırın (süre dolmadan 7 gün önce uyarı), güvenlik ekibine bildirmek üzere Anahtara Yakın Süre Sonu ölçümü için Azure İzleyici uyarısı oluşturun.
Uyumluluk için denetim günlüğünü etkinleştirin: Yönetilen HSM (AuditEvent günlükleri) için tanılama günlüğünü etkinleştirin, sabit depolama (kurcalamaya dayanıklı denetim izleri için 90 günlük saklama), Şifreleme, Şifre çözme, WrapKey ve UnwrapKey işlemlerini izlemek için sorgu anahtarı erişim günlükleri ile Log Analytics çalışma alanına günlük gönderin.
Belge anahtarı yaşam döngüsü yordamları: Acil durum iptal runbook'ları oluşturun (anahtar iptal adımları, olay yanıtı kişileri, güvenlik etki alanı çekirdek anahtarlarını kullanan kurtarma yordamları), tabletop alıştırmaları aracılığıyla runbook'ları üç ayda bir test edin, CMK işlemlerini BT Hizmet Yönetimi değişiklik onay iş akışıyla tümleştirin.

Sonuç: Yönetilen HSM'deki RSA-4096 KEK'leri Azure Depolama, SQL Veritabanı ve Cosmos DB için hizmet düzeyi DEK'leri şifreler. Yalnızca Veri Şifreleme Anahtarlarını (DEK'leri) yeniden şifreleyerek üç aylık otomatik döndürme, çalışma kesintisini en aza indirir. Güvenlik alanı kuorumu, tamamen bölgesel arızalarla bile felaket kurtarma sağlar.

Kritiklik düzeyi

Olmalıydı.

Denetim eşlemesi

CIS Denetimleri v8.1: 3.11
NIST SP 800-53 Rev.5: SC-12, SC-28
PCI-DSS v4: 3.5.1, 3.6.1, 12.3.2
NIST CSF v2.0: PR.DS-1, ID.AM-3
ISO 27001:2022: A.8.24
SOC 2: CC6.1

DP-6: Güvenli bir anahtar yönetim süreci kullanın

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DP-6.

Güvenlik ilkesi

Tam anahtar yaşam döngüsünü yöneten güvenli anahtar yönetimi süreçleri uygulayın: oluşturma, dağıtım, depolama, döndürme ve iptal. Güçlü erişim denetimleriyle ayrılmış anahtar kasası hizmetlerini kullanın, şifreleme standartlarını koruyun, görev ayrımını zorunlu tutun ve anahtarların güvenliği aşıldığında düzenli olarak döndürüldüğünden ve hemen iptal edildiğinden emin olun.

Azaltma riski

Zayıf veya yönetilmeyen şifreleme anahtarı yaşam döngüleri, şifreleme tarafından sağlanan güvenceyi düşürür ve sistemik güvenliğin aşılmasına olanak sağlayabilir. Yapılandırılmış anahtar oluşturma, yenileme, koruma ve iptal süreçleri olmadan:

Anahtar dağılımı ve yetimlik: İzlenmeyen anahtarlar iş gereksiniminin ötesinde kalır ve istenmeyen şifre çözme yetkisini sürdürür.
Eski şifreleme: Nadiren yapılan güncellemeler, algoritmik gerilemeye, kaba kuvvet saldırılarına veya yan kanal saldırılarının gelişimine maruz kalma oranını artırır.
Ayrıcalık aşırı erişim: Rol ayrımının olmaması, yöneticilerin anahtarları hem yönetip hem de kullanmasına izin vererek içeriden kötüye kullanıma neden olduğundan, risk teşkil etmektedir.
Algılanmayan ihlal: Hiçbir bütünlük izlemesi veya sürüm kökeni, anahtarların kötü amaçlı olarak değiştirilip değiştirilmediğini belirsizleştirir.
İptal başarısız oldu: Olay yanıtı, şüpheli ihlalden sonra şifreli olarak veri erişimini içeremez.
Tutarsız hiyerarşi: Eksik KEK/DEK katmanlaması, dönüş patlaması yarıçapını çoğaltır ve operasyonel aksama süresini artırır.

Yetersiz anahtar yönetimi, şifrelemeyi gelişen tehditlere karşı sürekli bir azaltma yerine belirli bir noktaya denetime dönüştürür.

MITRE ATT&CK

Kimlik Bilgisi Erişimi (TA0006): Parola depolarından (T1555) yanlış depolanan veya önbelleğe alınmış anahtar malzemelerini ayıklayan kimlik bilgileri veya anahtarlara gayri meşru olarak erişmek veya anahtarları döndürmek için geniş anahtar yönetimi RBAC rollerinden yararlanan geçerli hesaplar (T1078).
Savunma Kaçamak (TA0005): Kriptografik gücü azaltmak için kullanım dışı algoritmalar ve yetersiz anahtar boyutları kullanarak şifrelemeyi (T1600) zayıflatır.
Etki (TA0040): yıkıcı temizleme veya yanlış yürütülen iptal olayları ile veri yok etme (T1485).
Etki (TA0040): şifreleme akışlarını yeniden yönlendirmek veya devre dışı bırakmak için anahtar sürümlerini değiştirme veya değiştirme yoluyla veri manipülasyonu (T1565).

DP-6.1: Temel yönetim ilkeleri ve altyapı oluşturma

Merkezi anahtar depolama alanı oluşturarak, şifreleme standartlarını tanımlayarak ve iş yükü duyarlılığına göre uygun koruma düzeylerini seçerek şifreleme anahtarı yönetimi için bir idare temeli oluşturun. Uyumluluk ve adli amaçlarla tüm önemli erişim ve yönetim değişikliklerini izlemek için kapsamlı denetim günlüğü uygularken, Azure Key Vault'ı anahtar işlemleri için tek bir gerçek kaynağı olarak dağıtın.

Merkezi anahtar yönetimi altyapısı oluşturma:

Azure Key Vault'u merkezi şifreleme anahtar yönetimi hizmeti olarak kullanarak tam anahtar yaşam döngüsünü kontrol edin: oluşturma, dağıtım, depolama, döndürme ve iptal.
En düşük şifreleme standartlarını belirten anahtar ilkeleri tanımlayın ve uygulayın:
- Anahtar türü: RSA (önerilen: 4096 bit veya 3072 bit minimum) veya EC (P-256, P-384, P-521 eğrileri).
- Önemli işlemler: İzin verilen işlemleri (şifreleme, şifre çözme, imzalama, doğrulama, sarmalama, sarmalama, kaldırma) en az ayrıcalık ilkelerine göre sınırlayın.
- Geçerlilik süresi: Zamana bağlı anahtar kullanımını zorunlu kılmak için etkinleştirme ve son kullanma tarihlerini ayarlayın.

Uygun anahtar kasası katmanını seçin:

İş yükünüzün güvenlik ve uyumluluk gereksinimlerine göre uygun Key Vault katmanını seçin:
- Yazılım korumalı anahtarlar (Standart ve Premium SKU'lar): FIPS 140-2 Düzey 1 doğrulandı
- HSM korumalı anahtarlar (Premium SKU): FIPS 140-2 Düzey 2 doğrulandı (paylaşılan çok kiracılı HSM arka ucu)
- Yönetilen HSM: FIPS 140-3 Düzey 3 doğrulanmış (özel tek kiracılı HSM havuzu)
Gelişmiş güvenlik için tek kiracılı, FIPS 140-3 Düzey 3 doğrulanmış HSM koruması için Azure Key Vault Yönetilen HSM'yi kullanın. Yönetilen HSM, yedekleme ve olağanüstü durum kurtarma için kripto etki alanını destekler.
Denetim ve uyumluluk amacıyla tüm önemli erişimi, döndürme olaylarını ve yönetim işlemlerini izlemek için Azure Key Vault günlüğünü yapılandırın ve günlükleri Azure İzleyici'ye veya Microsoft Sentinel'e yönlendirin.

DP-6.2: Anahtar yaşam döngüsü otomasyonu uygulama

Operasyonel yükü azaltmak, insan hatasını en aza indirmek ve hizmet kesintisi olmadan hızlı anahtar değişimini sağlamak için anahtar döndürmeyi otomatikleştirin ve anahtar hiyerarşileri oluşturun. Veri kümelerinin tamamı yerine küçük anahtar paketlerini yeniden şifreleyerek verimli döndürmeye olanak sağlayan KEK/DEK desenleri uygulayın ve bölgesel hatalar veya yıkıcı olaylar arasında anahtar kullanılabilirliğini korumak için olağanüstü durum kurtarma yordamlarını tümleştirin.

Otomatik anahtar döndürmeyi uygulama:

Azure Key Vault'ta otomatik anahtar döndürme ilkeleri uygulama:
- Uyumluluk gereksinimlerine göre döndürme sıklığını yapılandırın (ortak aralıklar: 90 gün, 180 gün veya yıllık).
- Anahtar süresinin dolmasından önce operasyonel ekipleri uyarmak için rotasyon bildirimlerini etkinleştirin.
- El ile müdahale olmadan yeni anahtar sürümleri oluşturmak için otomatik döndürmeyi yapılandırın.

Anahtar hiyerarşisi ve KAG oluşturma:

Anahtar Şifreleme Anahtarlarını (KEK) ve Veri Şifreleme Anahtarlarını (DEK) ayıran bir anahtar hiyerarşisi oluşturun:
- Kısıtlı erişim denetimleriyle KEK'leri Azure Key Vault'ta depolayın.
- KEK'ler tarafından şifrelenmiş hizmet düzeyi DEK'ler oluşturarak anahtar döndürmenin patlama yarıçapını en aza indirin.
- KEK'i döndürmek için yalnızca DEK'lerin yeniden şifrelenmesi gerekir (veri kümelerinin tamamı değil), kesintisiz verimli anahtar döndürmeyi sağlar.
Kendi Anahtarını Getir (BYOK) senaryoları için, şirket içi FIPS 140-2 Düzey 2+ HSM'lerde anahtarlar oluşturun ve anahtarları Azure Key Vault'a veya Yönetilen HSM'ye güvenli bir şekilde içeri aktarmak için BYOK aktarım anahtarı mekanizmasını kullanarak anahtar kaynağının ve velayetinin şifreleme kanıtını koruyun.

Olağanüstü durum kurtarma yordamlarını uygulama:

İkincil bölgelerde coğrafi olarak çoğaltılmış Anahtar Kasaları oluşturun.
Bölgeler arasında anahtar kullanılabilirliğini korumak için anahtarları yedekleyin ve geri yükleyin.
Tanımlı RTO/RPO hedefleriyle olağanüstü durum kurtarma yordamlarını belgeleyin ve test edin.

DP-6.3: Anahtar erişimi için görev ayrımını zorunlu kılma

Anahtar yönetimi rollerini şifreleme işlemi rollerinden ayırarak, tek bir kimliğin hem anahtar oluşturamasını hem de bunları veri şifreleme veya şifre çözme için kullanmasını sağlayarak iç tehditleri ve ayrıcalık kötüye kullanımını önleyin. Anormal anahtar erişim desenlerini algılamak ve güvenlik olayları veya uyumluluk denetimleri sırasında hızlı etki değerlendirmesine olanak tanıyan kapsamlı anahtar envanterleri korumak için sürekli izleme uygulayın.

Görev ayrımını zorunlu kılma:

Görev ayrımını zorunlu kılmak için rol tabanlı erişim denetimi (RBAC) veya erişim ilkeleri uygulayın:
- Anahtar yöneticileri (anahtarları oluşturabilen/döndürebilen/silebilen ancak şifreleme işlemleri gerçekleştiremeyen) için ayrı roller.
- Anahtar kullanıcıları için ayrı roller (şifreleme/şifre çözme işlemleri gerçekleştirebilen ancak anahtarları yönetemeyen).
- Örnek roller: Key Vault Şifreleme Yetkilisi (yöneticiler), Key Vault Şifreleme Kullanıcısı (uygulamalar/kullanıcılar).
Ayrıcalık kötüye kullanımını önlemek için tek bir kimliğin hem yönetim hem de işlem anahtarı erişimine sahip olmadığını doğrulayın.

Anahtar erişimini kontrol etme ve envanteri yönetme:

Anomalileri algılamak için anahtar erişim izlemeyi Microsoft Sentinel ile tümleştirin:
- Olağan dışı anahtar erişim desenleri (bilinmeyen IP adreslerinden veya bölgelerden erişim).
- Toplu anahtar işlemleri (kısa süreler içinde fazla sayıda işlem).
- Çalışma saatleri dışında yönetim değişiklikleri (anahtar silme veya iş saatleri dışında döndürme).
Anahtar envanteri yönetimini sürdürün; anahtarın adı, amacı, döndürme programı ve bağlı hizmetler. Güvenlik gözden geçirmeleri sırasında envanteri düzenli olarak gözden geçirin.

Uygulama örneği

Merkezi şifreleme anahtarı yönetimi için, çok kiracılı platformlarında PHI şifrelemesi amacıyla, HSM korumalı anahtarlarla Azure Key Vault Premium SKU kullanan bir sağlık hizmetleri SaaS sağlayıcısı.

Zorluk: Geliştirme ekipleri arasında parçalanmış anahtar yönetimi, güvenlik olayları sırasında anahtar yayılmasına, tutarsız döndürme uygulamalarına ve anahtar kullanımını izlemekle ilgili zorluklara yol açtı. Fazla geniş RBAC izinleri, yöneticilerin anahtarları hem yönetmesine hem de kullanmasına izin verilerek içeriden risk oluşturmasına olanak sağladı. Otomatik döndürme ve görev ayrımı olmadan kuruluş, genişletilmiş önemli güvenlik ihlal pencereleri ve denetim uyumluluğu hatalarıyla karşılaştı.

Çözüm yaklaşımı:

HSM korumalı anahtarlarla Azure Key Vault Premium sağlama: HSM korumalı anahtarları desteklemek için Premium katmanı ile Azure Key Vault oluşturun, saklama süresi boyunca kalıcı silmeyi önlemek için temizleme korumasını etkinleştirin, yanlışlıkla silinen anahtarların kurtarılmasını sağlamak için 90 günlük saklama süresiyle geçici silmeyi etkinleştirin, donanım destekli anahtar türüyle RSA-3072 HSM korumalı şifreleme anahtarları (KEK-PHI-Prod) oluşturun.
Otomatik anahtar döndürme ilkelerini uygulama: Döndürme ilkesini 180 günlük döndürme sıklığıyla yapılandırın, otomatik döndürmeyi etkinleştirin ve süresi dolmadan 30 gün önce uyarıya bildirim ayarlayın, anahtarlar sona erdiğinde güvenlik operasyonları ekibine bildirim göndermek için Azure İzleyici eylem grupları oluşturun, döndürme eylemini yeni anahtar sürümlerini otomatik olarak oluşturacak şekilde yapılandırın.
Görevlerin RBAC ayrımını yapılandırma: Güvenlik ekibi üyelerine Key Vault Şifreleme Yetkilisi rolü atayın (izinler: anahtar yaşam döngüsünü yönetme ama şifreleme/şifre çözme işlemleri gerçekleştiremez), uygulama tarafından yönetilen kimliklere Key Vault Şifreleme Kullanıcısı rolü atayın (izinler: şifreleme/şifre çözme işlemlerini yalnızca anahtar yönetimi izinleri olmadan gerçekleştirin), hiçbir kimliğin hem Şifreleme Yetkilisi hem de Şifreleme Kullanıcısı rolüne sahip olmadığından emin olarak görev ayrımını doğrulayın.
Hızlı anahtar döndürme için KEK/DEK hiyerarşisi oluşturun: Hasta verilerini şifrelemek için uygulama kodu (AES-256 anahtarları) içinde uygulama düzeyinde Veri Şifreleme Anahtarları (DEK) oluşturun, şifrelenmiş verilerin yanı sıra şifrelenmiş DEK'leri depolayın, WrapKey işlemiyle DEK'leri sarmalamak/şifrelemek için Key Vault KEK'yi kullanın, hasta verilerinin şifresini çözerken UnwrapKey işlemini kullanarak DEK'yi alın ve açın, avantaj: KEK'yi döndürmek yalnızca hasta veritabanının tamamı yerine DEK'lerin yeniden şifrelenmesini gerektirir.
Key Vault günlüklerini Microsoft Sentinel ile tümleştirme: Key Vault için tanılama ayarlarını etkinleştirin ve günlükleri Log Analytics çalışma alanına gönderin, olağan dışı anahtar erişim desenlerini, toplu anahtar işlemlerini, çalışma saatleri dışında yönetim değişikliklerini algılamak için Sentinel analiz kuralları oluşturun.
Şirket içi HSM'den Kendi Anahtarını Getir (KAG) aktarımı: Key Vault'tan KAG aktarım anahtarını indirin, anahtarı Key Vault'un KAG aktarım ortak anahtarıyla sarılmış bir şekilde şirket içi HSM'den dışa aktarın, anahtarın kökenine dair kriptografik kanıtı koruyun. Sarılmış anahtarı, düz metin maruziyeti olmadan HSM korumalı şekilde geldiği Key Vault'a aktarın.

Sonuç: RSA-3072 tuşları otomatik bildirimlerle 180 günde bir döndürülür. RBAC ayrımı ayrıcalıkların kötüye kullanımını önler. KEK/DEK hiyerarşisi, yalnızca DEK'leri yeniden şifreleyerek hızlı döndürmeyi etkinleştirir. Geçici silme yanlışlıkla silinen anahtarları kurtarır. Microsoft Sentinel, bilinmeyen IP erişimi veya çalışma saatleri dışında değişiklikler gibi anomalileri algılar.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

CIS Denetimleri v8.1: YOK
NIST SP 800-53 Rev.5: IA-5, SC-12, SC-28
PCI-DSS v4: 3.6.1, 8.3.2
NIST CSF v2.0: PR. AC-1, PR. DS-1
ISO 27001:2022: A.8.24, A.8.3
SOC 2: CC6.1, CC6.2

DP-7: Güvenli bir sertifika yönetim işlemi kullanma

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DP-7.

Güvenlik ilkesi

Envanter, otomatik yenileme, güçlü şifreleme standartları ve zamanında iptal gibi merkezi süreçler aracılığıyla sertifika yaşam döngülerini yönetin. Hizmet kesintilerini önlemek ve güvenli şifreli iletişimleri korumak için kritik hizmetlere yönelik sertifikaların süresi dolmadan önce izlendiğinden, izlendiğine ve yenilendiğine emin olun.

Azaltma riski

Kötü yönetilen sertifika yaşam döngüleri hizmet kesintilerine neden olur, şifrelenmiş kanalları zayıflatır ve kimliğe bürünme izni verir. Merkezi envanter, ilke uygulaması ve otomatik yenileme olmaksızın:

Beklenmeyen süre sonu: API'lerin bozulmasına, kimlik federasyonuna veya istemci güven yollarına neden olan zaman aşımına uğrayan sertifikalar üretim kesintilerini tetikler.
Zayıf şifreleme kalıcılığı: Eski anahtar boyutları /imza algoritmaları (örneğin, SHA-1, RSA < 2048) kullanımdan kaldırılana kadar kullanımda kalır.
Wildcard ve kendinden imzalı kötüye kullanım: Geniş kapsamlı veya yönetilmeyen kendinden imzalı sertifikalar, yanal kimliğe bürünme ve TLS düşürme saldırısı riskini etkinleştirir.
Algılanmayan risk: Çalınan özel anahtarlar, dönüşe kadar ortadaki saydam adamın veya trafiğin şifre çözmesini sağlar.
Gölge sertifikalar: Onaylanan CA'ların dışında yetkilendirilmemiş sertifika yayımı, yönetimi parçalar ve iptal edilebilir boşlukları artırır.
El ile yenileme hataları: Tutarsız değiştirme sıralaması güven zinciri uyuşmazlıklarına ve kısmi ortam kaymalarına neden olur.

Yetersiz sertifika yönetimi, şifrelenmiş güvenceyi düşürür ve kritik hizmetler arasında hem güvenilirlik hem de güvenlik dengesizliği sağlar.

MITRE ATT&CK

Savunma Atlatma (TA0005): doğrulamayı atlamak için sahte/düzmece sertifikaların verilmesi veya tanıtılması yoluyla güven denetimlerini (T1553) alt etme.
Kaynak Geliştirme (TA0042): Gelecekteki yetkisiz erişim aşamaları için sertifikaları veya araçları taklit eden özellikler (T1587) geliştirin.
Savunma Kaçağı (TA0005): Şifrelemeyi (T1600) zayıflatarak eski imza algoritmalarının kullanılmaya devam etmesi, doğrulama güvencesini azaltır.
Kimlik Bilgisi Erişimi (TA0006): korumasız kimlik bilgileri (T1552) güvenli olmayan dosya depolarından özel anahtarları ayıklama veya bellek işleme.
Kalıcılık (TA0003): uzun süreli erişim eklemek için sertifika tabanlı kimlik doğrulama akışlarını yeniden yazan kimlik doğrulama işlemini (T1556) değiştirin.

DP-7.1: Sertifika ilkeleri ve CA tümleştirmesi oluşturma

Altyapınız genelinde tutarlı şifreleme kalitesi ve otomatik verme sağlamak için sertifika idare standartlarını tanımlayın ve güvenilen sertifika yetkililerini tümleştirin. Modern anahtar boyutlarını, imza algoritmalarını ve geçerlilik sürelerini zorlayan ilkeler oluşturun ve özel anahtarlar tehlikeye atıldığında saldırı yüzeylerini genişleten kendi kendine imzalanan sertifikalar ve joker sertifikalar gibi riskli uygulamaların ortadan kaldırılmasını sağlayın.

Sertifika yönetimi altyapısı oluşturma:

Sertifika yaşam döngüsünün tamamını merkezi olarak yönetmek için Azure Key Vault'u kullanın: oluşturma, içeri aktarma, yenileme, döndürme, iptal etme ve güvenli silme.
Kurumsal güvenlik standartlarını zorunlu kılmak için Azure Key Vault'ta sertifika ilkeleri tanımlayın:
- Anahtar türü ve boyutu: RSA 2048 bit minimum (uzun ömürlü sertifikalar için 3072 bit veya 4096 bit önerilir); Eliptik eğri sertifikaları için EC P-256 veya üzeri.
- İmza algoritması: SHA-256 veya daha güçlü (SHA-1 ve MD5'i yasakla).
- Geçerlilik süresi: Genel TLS sertifikaları için en fazla 397 gün (CA/Tarayıcı Forumu temel gereksinimleri başına); daha kısa süreler (90 gün) daha az maruz kalma için önerilir.
- Sertifika yetkilisi: Yalnızca onaylı, tümleşik CA'ları (DigiCert, GlobalSign) veya kuruluşunuzun özel CA'sını kullanın.

Sertifika yetkililerini tümleştirme:

Genel TLS/SSL sertifikaları için Azure Key Vault ile tümleştirilmiş iş ortağı Sertifika Yetkilileri'ni kullanın:
- DigiCert: Kuruluş Tarafından Doğrulanmış (OV) TLS/SSL sertifikaları
- GlobalSign: Kuruluş Tarafından Doğrulanmış (OV) TLS/SSL sertifikaları
Özel/iç hizmetler için, otomatik sertifika verme için kuruluşunuzun iç Sertifika Yetkilisi'ni (örneğin, Active Directory Sertifika Hizmetleri - ADCS) Azure Key Vault ile tümleştirin.
Üretim ortamlarında otomatik olarak imzalanan sertifikalardan ve joker karakter sertifikalarından kaçının:
- Otomatik olarak imzalanan sertifikalar: Üçüncü taraf doğrulaması eksiktir, genel CRL/OCSP aracılığıyla iptal edilemez ve modern tarayıcılar/istemciler tarafından reddedilir.
- Joker sertifikalar: Geniş kapsam, tehlikeye atılırsa riski artırır; bunun yerine açık FQDN'leri olan konu alternatif adı (SAN) sertifikalarını kullanın.

Not: Basit senaryolar için Azure App Service Yönetilen Sertifikalarını (özel etki alanları için ücretsiz, otomatik olarak yenilenen sertifikalar) kullanabilirsiniz.

DP-7.2: Otomatik sertifika yenileme uygulama

Süresi dolmadan önce tetiklenen yenileme iş akışlarını otomatikleştirerek ve el ile müdahale olmadan bağımlı hizmetler genelinde sertifikaları sorunsuz bir şekilde güncelleştirerek süresi dolan sertifikaların neden olduğu hizmet kesintilerini ortadan kaldırın. Azure hizmetlerini yönetilen kimlikleri kullanarak Key Vault'tan yenilenen sertifikaları otomatik olarak alacak şekilde yapılandırın; bu da işletimsel yükü azaltır ve tatiller veya personel geçişleri sırasında el ile yapılan yenilemelerin unutulma riskini ortadan kaldırır.

Otomatik yenilemeyi yapılandırma:

Sertifika ömrünün belirtilen bir yüzdesiyle yenilemeyi tetikleyen yaşam süresi eylemlerini yapılandırarak Azure Key Vault'ta otomatik sertifika yenilemeyi etkinleştirin:
- Önerilen tetikleyici: 80-90% geçerlilik süresi (örneğin, 397 günlük sertifika için yaklaşık 318 gün).
- Eylem: Otomatik olarak yenile (Key Vault el ile müdahale olmadan CA'dan yenileme ister).
Otomatik yenileme tetikleyicilerinden önce yöneticileri yaklaşan sertifika süre sonu konusunda uyarmak için bildirim kişilerini yapılandırın.

Otomatik sertifika bağlamayı etkinleştir:

Otomatik sertifika döndürmeyi destekleyen Azure hizmetleri için (Azure App Service, Azure Application Gateway, Azure Front Door), bu hizmetleri uygun Key Vault erişim ilkelerine sahip yönetilen kimlikleri veya hizmet sorumlularını kullanarak güncelleştirilmiş sertifikaları Key Vault'tan otomatik olarak alacak şekilde yapılandırın:
- Azure hizmetleri yenilendiğinde yeni sertifika sürümlerini otomatik olarak bağlar (genellikle 24 saat içinde hizmetin yeniden başlatılması gerekmez).
Key Vault sertifikalarını otomatik olarak kullanamayan uygulamalar için, süre sonuyla ilgili kesintileri önlemek için işletimsel runbook'larla el ile sertifika döndürme iş akışları ve izleme uyarıları uygulayın.
Azure Key Vault izleme sertifikası adı, amacı, son kullanma tarihi, bağımlı hizmetler ve yenileme durumu içindeki tüm sertifikaların envanterini koruyun.

DP-7.3: Sertifika yaşam döngüsünü izleme ve iptal işlemini işleme

Otomatik izleme, envanter sorguları ve sertifikaların süresi dolmak üzere olan, kullanım dışı bırakılmış kriptografi kullanan ya da uygun yönetişimden yoksun olan sertifikaları ortaya çıkaran panolar aracılığıyla sertifikaların sağlığına ilişkin sürekli görünürlüğü koruyun. Kompromize edilmiş sertifikalar için hızlı iptal prosedürleri oluşturun ve ortadaki adam saldırılarına olanak tanımadan önce, güvenliği ihlal edilmiş sertifika yetkilileri tarafından verilen sertifikaları proaktif olarak engellemek için sektör tehdit istihbaratıyla entegre edin.

İzlemeyi ve uyarıyı yapılandırın:

Sertifika süre sonu olayları için Azure İzleyici uyarılarını yapılandırın:
- Süre dolmadan 30 gün önce uyarılar oluşturun (uyarı bildirimi).
- Süre dolmadan 7 gün önce uyarılar oluşturun (güvenlik ekibine yükseltme ile kritik uyarı).

Sertifika envanteri ve panolarını koruyun:

Sertifika envanteri sorgulamak için Azure Kaynak Grafiği'ni kullanın:
- Süresi dolacak sertifikaları sorgula (60/30/90 gün içinde).
- Otomatik olarak imzalanan sertifikaları sorgula.
- Kullanım dışı algoritmaları (sha-1 gibi) kullanarak sertifikaları sorgulama.
Görselleştirmelerle sertifika denetim panoları (örneğin, Power BI) oluşturun:
- Zaman dilimine göre sertifika son kullanma tarihi zamanlaması.
- Kaynak grubuna göre otomatik olarak imzalanan sertifika sayısı.
- Kullanım dışı şifreleme standartlarını kullanan sertifikalar.
Güvenlik gözden geçirme toplantıları sırasında sertifika denetim panolarını düzenli olarak gözden geçirin (önerilen: üç ayda bir).

İptal prosedürleri oluşturun:

Güvenliği aşılmış veya kullanımdan kaldırılmış sertifikalar için sertifika iptal yordamları oluşturun:
- Belge iptal işlemi (Key Vault'ta sertifikayı devre dışı bırakın, bağımlı hizmetlere bildirin).
- Sertifika güvenliği ihlal senaryoları için olay yanıtı runbook'larını koruyun.
- Güvenliği aşılmış kök veya ara CA sertifikaları için sektör önerilerini izleyin ve bunları hemen engelleyin.

Uygulama örneği

Kuruluş, 200'den fazla genel kullanıma yönelik web uygulaması için DigiCert ile tümleştirilmiş Azure Key Vault kullanarak merkezi sertifika yaşam döngüsü yönetimini sağlamıştır.

Karşılaşılan Sorun: Sertifikaların beklenmedik şekilde süresinin dolması nedeniyle manuel sertifika yenileme süreçleri birden fazla üretim kesintisine neden oldu. Jenerik sertifikalar, özel anahtarlar tehlikeye atıldığında geniş çapta güvenlik etkisi oluşturdu. Ekipler arasında parçalanmış sertifika yönetimi gölge sertifikalar, tutarsız şifreleme standartları ve güvenlik olayları sırasında iptalin gecikmesi ile sonuçlandı. Kuruluş, otomatik yenileme ve merkezi envanter olmadan uyumluluk hataları ve hizmet kesintileriyle karşı karşıya kaldı.

Çözüm yaklaşımı:

Azure Key Vault ile sertifika yetkilisi tümleştirmesini yapılandırma: Otomatik sertifika istekleri için API kimlik bilgileriyle Key Vault'a DigiCert (veya başka bir iş ortağı Sertifika Yetkilisi) ekleyin.
Güvenlik standartlarını zorunlu kılmaya yönelik sertifika politikaları oluşturun: Sertifika adı (www-contoso-com-2024), veren (DigiCert), konu (CN=www.contoso.com), DNS adları (SAN: www.contoso.com, api.contoso.com, portal.contoso.com - joker karakter sertifikalardan kaçının), anahtar tipi (RSA 4096 bit), imza algoritması (SHA-256), geçerlilik süresi (CA/Tarayıcı Forumu taban çizgisi başına en fazla 397 gün), otomatik yenileme için yaşam süresi eylemini yapılandırın (397 günlük sertifika için yaklaşık %80 sertifika ömrü tetikleyiciyi ayarlayın), eylem: otomatik yenileme (Key Vault, manuel müdahale gerektirmeden DigiCert'ten yenileme ister).
Azure hizmetleri için otomatik sertifika bağlamayı yapılandırma: Azure App Service sertifikasını Key Vault'tan içeri aktarma için, Key Vault Gizli Dizileri Kullanıcı rolü ile kullanıcı tarafından atanan yönetilen kimlik atayın, otomatik sertifika güncelleştirmelerini etkinleştirin (App Service yenilendiğinde yeni sertifika sürümünü 24 saat içinde bağlar, yeniden başlatma gerekmez); Azure Application Gateway için dinleyiciyi Key Vault'tan sertifika alacak şekilde yapılandırın, Key Vault Gizli Dizileri Kullanıcı ve Sertifikaları Kullanıcı rolleri ile kullanıcı tarafından atanan yönetilen kimlik atayın; Application Gateway, Key Vault sertifikayı yenilediğinde güncelleştirilmiş sertifikayı otomatik olarak alır.
Sertifika süre sonu uyarılarını yapılandırma: Azure İzleyici'de iki uyarı kuralı oluşturun: 30 günlük süre sonu uyarısı (platform mühendisliği Slack kanalına bildirim gönderme), 7 günlük süre sonu kritik uyarısı (el ile gözden geçirmek ve güvenlik ekibine e-posta göndermek için Jira biletini açın).
SAN sertifikaları yerine joker sertifikaları ortadan kaldırın: Key Vault'ta var olan joker sertifikaları (*.contoso.com) denetleyin, yerine açık DNS adları (www.contoso.comapi.contoso.com) içeren SAN sertifikalarıyla değiştirin, avantaj: özel anahtarın gizliliği ihlal edilirse, yalnızca listelenen FQDN'ler etkilenir (tüm alt etki alanları etkilenmez).
Sertifika süre sonunu izleme: Sertifika envanteri sorgulamak ve süresi dolmak üzere olan sertifikaları (30 gün içinde), otomatik olarak imzalanan sertifikaları veya kullanım dışı SHA-1 imza algoritması kullanan sertifikaları belirlemek için Azure Kaynak Grafiği'ni kullanın, güvenlik gözden geçirme toplantıları sırasında panoyu üç ayda bir gözden geçirin.

Sonuç: Otomatik sertifika yenilemesi, ömrünün %80'inde tetiklenir. Azure App Service ve Application Gateway, güncelleştirilmiş sertifikaları yönetilen kimlikler aracılığıyla 24 saat içinde alır (yeniden başlatma gerekmez). Azure İzleyici uyarıları, süre dolmadan önce platform mühendisliğini bilgilendirir. SAN sertifikaları, joker karakterli sertifikaların yerini alarak yetkisiz erişim sonucu oluşabilecek zararın etkisini azaltır.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

CIS Denetimleri v8.1: YOK
NIST SP 800-53 Rev.5: IA-5, SC-12, SC-17
PCI-DSS v4: 3.6.1, 8.3.2
NIST CSF v2.0: PR.AC-1, ID.AM-3
ISO 27001:2022: A.8.3
SOC 2: CC6.1, CC6.2

DP-8: Anahtar ve sertifika deposunun güvenliğini sağlama

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DP-8.

Güvenlik ilkesi

Derinlemesine savunma kontrolleri aracılığıyla anahtar kasası hizmetlerinin güvenliğini sağlayın: en az ayrıcalıklı erişim, ağ yalıtımı, kapsamlı günlük tutma ve izleme ile yedekleme ve kurtarma özellikleri ve gerektiğinde HSM destekli koruma. Anahtar kasaları şifreleme ve kimlik doğrulaması için kullanılan şifreleme anahtarlarını ve sertifikalarını koruyan kritik altyapıdır.

Azaltma riski

Anahtar ve sertifika deposunun güvenliğinin ihlal edilmesi, üst düzey şifreleme, imzalama ve kimlik güvenceleri geçersiz kılar. Sağlamlaştırılmış kasa erişimi, izleme ve yalıtım olmadan:

Anahtar sızdırma: Çalınan KEK'ler / HSM malzemesi, depolanan verilerin toplu şifresinin çözülmesine ve trafiğin kesilmesine izin verir.
Gölge yönetim erişimi: Fazla geniş RBAC veya ilke yanlış yapılandırması, yasadışı anahtar dışarı aktarma, temizleme veya sürüm geri alma işlemlerine olanak tanır.
Sessiz kurcalama: Kötü amaçlı anahtar değiştirme, saydam ortadaki veya sahte kod/imzaları etkinleştirir.
Ağ maruziyeti: Genel uç nokta istismarı (kimlik bilgisi doldurma, API yoklama) deneme yanılma veya belirteç yeniden oynatma için saldırı yüzeyini genişletir.
Yanlışlıkla yıkıcı eylemler: Geçici silme /temizleme korumasının eksik olması geri alınamaz şifreleme veri kaybına yol açar.
Yetersiz denetim kökeni: Sabit günlüklerin olmaması, olay yanıtını ve yasal düzenleme kanıt gereksinimlerini bozar.
Ayrılmamış kiracı: Birlikte kullanıldığında uygulama anahtarları, tek bir kimlik tehlikeye girdiğinde yanal hareket patlama yarıçapını genişletiyor.

Depo zayıflıkları, bağımlı iş yükleri arasında sistemik gizlilik, bütünlük ve kullanılabilirlik hatalarına hızla yayılır.

MITRE ATT&CK

Kimlik Bilgisi Erişimi (TA0006): korumasız kimlik bilgileri / kimlik bilgisi depoları (T1552 / T1555) yanlış yapılandırılmış kasa işlevi veya ağ ilkeleri aracılığıyla elde edilir.
Savunma Kaçağı (TA0005): anahtar/sertifika kesmek için kasaya giden trafiği ele geçirmek amacıyla ortadaki adam saldırısı (T1557) veya güçlü anahtarları saldırganın kontrolündeki malzemeyle değiştirmek amacıyla şifrelemeyi zayıflatmak (T1600).
Ayrıcalık Yükseltme (TA0004): gizli bilgileri listelemek ve değiştirmek için aşırı geniş kasa operatörü rollerini kötüye kullanan geçerli hesaplar (T1078).
Etki (TA0040): veri yok etme / kurtarmayı engelleme (T1485 / T1490) geri yüklemeyi önleyerek yıkıcı temizleme dizilerini gerçekleştirme.

DP-8.1: Key Vault için erişim denetimleri uygulama

Yetkisiz anahtar erişimini engelleyen katı kimlik tabanlı erişim denetimleri zorunlu tutarak altyapınızın şifreleme temelini koruyun, yönetim ayrıcalıklarını gerekçeli zaman pencereleriyle sınırlayın ve yönetilen kimlikler aracılığıyla kimlik bilgileri depolamayı ortadan kaldırın. Tek bir kimliğin şifreleme malzemesini yönetmesini ve kötüye kullanmasını önlemek için anahtar yöneticilerle anahtar kullanıcılar arasında görev ayrımı uygulayın.

RBAC ve görev ayrımı uygulama:

Azure RBAC for Key Vault uygularak en az ayrıcalıklı erişim denetimi zorunlu kılın.
- Azure Key Vault Yönetilen HSM için: Yerleşik rollerle (Yönetilen HSM Şifreleme Yetkilisi, Şifreleme Kullanıcısı, Şifreleme Denetçisi) tek tek anahtar, gizli dizi ve sertifika düzeyinde yerel RBAC kullanın.
- Azure Key Vault Standard/Premium için: Mantıksal ayrımı zorunlu kılmak ve uygulamaya özgü kapsamla RBAC rollerini (Key Vault Yöneticisi, Gizli Dizi Yetkilisi, Sertifika Yetkilisi) atamak için uygulama veya ortam başına ayrılmış kasalar oluşturun.
Görev ayrımını zorunlu kılma: Anahtar yönetimi (anahtar oluşturabilen/döndürebilen) rollerini şifreleme işlemlerinden (şifreleme/şifre çözme için anahtarları kullanabilen kişiler) ayırın.

Yönetilen kimlikleri ve JIT erişimini kullanın:

Kimlik bilgilerini uygulama kodunda veya yapılandırma dosyalarında depolamak yerine Key Vault'a erişmek için Azure kaynakları (App Services, VM'ler, Azure İşlevleri vb.) için yönetilen kimlikleri kullanın. Yönetilen kimlikler, kimlik bilgisi depolama ve döndürme karmaşıklığını ortadan kaldırır.
Key Vault'a tam zamanında yönetim erişimi için Azure AD Privileged Identity Management (PIM) uygulayın:
- Key Vault Yöneticisi rolü için uygun atamaları yapılandırın (kalıcı atamalar için değil).
- Etkinleştirme için gerekçe, MFA ve onay gerektirir.
- Maksimum etkinleştirme süresini (örneğin, 8 saat) ayarlayın.
- Gereksiz ayakta durma ayrıcalıklarını iptal etmek için düzenli erişim gözden geçirmeleri gerçekleştirin.

DP-8.2: Key Vault ağ güvenliğini sağlamlaştırma

Sanal ağlarınızın içindeki özel uç noktalar aracılığıyla tüm Key Vault erişimini yönlendirerek, kimlik bilgileri doldurmayı, deneme yanılma girişimlerini ve dış tehdit aktörlerinin keşfini önleyerek İnternet'e yönelik saldırı yüzeylerini ortadan kaldırın. CI/CD senaryolarında genel erişimin kaçınılmaz olduğu durumlarda, mümkün olan en küçük pozlama penceresini oluşturmak için katı IP izin verme listesi ve güvenlik duvarı kuralları uygulayın.

Özel Bağlantı dağıtma ve güvenlik duvarını yapılandırma:

Key Vault'un genel İnternet'e açık olmasını sağlamadan sanal ağlardan özel bağlantı kurmak için Azure Özel Bağlantı kullanarak Azure Key Vault'a ağ erişiminin güvenliğini sağlayın.
Key Vault güvenlik duvarını, Özel Bağlantı'nın uygun olmadığı senaryolar için belirli IP aralıklarına veya sanal ağlara erişimi kısıtlamak üzere yapılandırın:
- Mümkün olduğunda genel erişimi devre dışı bırakın (Key Vault'a yalnızca özel uç nokta üzerinden erişilebilir).
- Genel erişim gerekiyorsa (örneğin CI/CD işlem hatları için), seçilen ağlardan yalnızca dar IP izin verilenler listesine sahip erişime izin verin.
Özel uç noktalar için uygun DNS çözümlemesini sağlamak için özel DNS bölgeleri (örneğin, privatelink.vaultcore.azure.net) oluşturun ve sanal ağlara bağlayın.

DP-8.3: Key Vault korumasını ve izlemeyi etkinleştirme

FIPS ile doğrulanmış güvenlik gerektiren üretim iş yükleri için HSM destekli anahtarları kullanırken geçici silme ve temizleme koruması aracılığıyla geri alınamaz şifreleme veri kaybını önleyen derinlemesine savunma korumaları uygulayın. Şifreleme altyapınızı hedefleyen anormal erişim düzenlerini, olağan dışı anahtar işlemlerini ve güvenlik ihlallerini, içeriden tehditleri veya keşif etkinliklerini gösteren yönetim anomalilerini algılamak için Key Vault için Microsoft Defender ve Microsoft Sentinel ile kapsamlı izleme dağıtın.

Geçici silme ve temizleme korumasını etkinleştirin:

Anahtarların, gizli dizilerin ve sertifikaların yanlışlıkla veya kötü amaçlı silinmesini önlemek için tüm Azure Key Vault'larda geçici silme ve temizleme korumasını etkinleştirin:
- Geçici silme, saklama süresi içinde kurtarma sağlar (varsayılan: 90 gün).
- Temizleme koruması, saklama süresi boyunca kalıcı silmeyi önler.
- Azure İlkesi ile bu ayarları yerleşik ilkeler kullanarak uygulayın: "Key Vault'larda geçici silme etkinleştirilmelidir" ve "Key Vault'larda temizleme koruması etkinleştirilmelidir" (deployIfNotExists etkisi).
Verilerin şifrelemeyle silinmesini önlemek için önemli yaşam döngüsü ilkeleri uygulayın:
- Şifrelenmiş verileri temizlemeden önce, şifreleme anahtarlarının gerekli veri saklama süresi boyunca tutulduğunu doğrulayın.
- Anahtarları devreden çıkarırken, denetim amaçları için anahtar meta verilerini korurken yanlışlıkla veri kaybını önlemek amacıyla silme yerine devre dışı bırakma işlemini kullanın.
- Olağanüstü durum kurtarma senaryoları için Key Vault yedekleme yordamları oluşturun ve test edin.

HSM destekli anahtarları ve BYOK'u kullanın:

Güçlü şifreleme koruması gerektiren üretim iş yükleri için HSM destekli anahtarları kullanın:
- Azure Key Vault Premium: FIPS 140-2 Düzey 2 onaylı HSM'ler (paylaşılan çok kiracılı) tarafından korunan RSA-HSM ve EC-HSM anahtarları.
- Azure Key Vault Yönetilen HSM: FIPS 140-3 Düzey 3 doğrulanmış HSM'ler (dedike edilmiş tek kiracılı havuzlar) tarafından korunan RSA-HSM ve EC-HSM anahtarları.
Kendi Anahtarını Getir (BYOK) senaryoları için, şirket içi FIPS 140-2 Düzey 2+ HSM'lerde anahtarlar oluşturun ve anahtarları Azure Key Vault'a güvenli bir şekilde içeri aktarmak için BYOK aktarım anahtarı mekanizmasını kullanarak anahtar kaynağının ve velayetinin şifreleme kanıtını koruyun.

İzleme ve tehdit algılamayı etkinleştirme:

Tüm yönetim düzlemi ve veri düzlemi işlemlerini yakalamak için Azure Key Vault için tanılama günlüğünü etkinleştirin ve günlükleri Azure İzleyici, Log Analytics veya Microsoft Sentinel'e yönlendirin. Olağan dışı anahtar erişim desenleri, başarısız kimlik doğrulama girişimleri ve yönetim değişiklikleri gibi şüpheli etkinlikleri izleyin.
Anormal erişim düzenlerini, olağan dışı anahtar işlemlerini ve kimlik bilgisi kötüye kullanımı, şüpheli anahtar almaları veya yönetim anomalileri gibi olası tehditleri algılamak için Key Vault için Microsoft Defender'ı etkinleştirin. Key Vault için Defender uyarılarını olay yanıtı iş akışlarıyla tümleştirin.
Olağan dışı bölgesel erişim, olası deneme yanılma girişimleri veya şüpheli yönetim işlemleri gibi anomalileri algılamaya yönelik analiz kuralları oluşturmak için Key Vault günlüklerini Microsoft Sentinel ile tümleştirin. Güvenliği aşılmış kimlikleri yalıtmak ve güvenlik ekiplerine bildirmek için otomatik yanıt playbook'ları uygulayın.

Not: Tüm Key Vault SKU'ları tasarım gereği anahtar dışarı aktarmayı engeller; şifreleme işlemleri, güvenli HSM sınırı içinde gerçekleştirilir. Anahtarları hiçbir zaman Azure Key Vault dışında düz metin olarak dışarı aktarmayın veya depolamayın.

Uygulama örneği

Çok uluslu bir teknoloji şirketi, 500'den fazla mikro hizmet için şifreleme anahtarlarını, API gizli dizilerini ve TLS sertifikalarını koruyan Azure Key Vault altyapısı için derinlemesine güvenlik uyguladı.

Sorun: Aşırı geniş RBAC izinleri, geliştiricilerin üretim Key Vault'larına doğrudan erişmesine olanak tanıyarak iç tehdit ve uyumluluk ihlalleri yarattı. Genel internet ortamına maruz kalma, kimlik bilgisi doldurma saldırıları ve keşif girişimlerini mümkün kıldı. Kapsamlı izleme ve otomatik yanıt olmadan şüpheli anahtar erişim desenleri algılanmadı. Geçici silme ve temizleme korumasının olmaması, olaylar sırasında kalıcı şifreleme veri kaybı riskiyle karşılandı.

Çözüm yaklaşımı:

Mantıksal segmentlere ayırma için ayrılmış Anahtar Kasaları dağıtma: Kv-{businessunit}-{environment}-{region} adlandırma kuralıyla ortam ve iş birimi başına Key Vault oluşturun (örneğin, kv-finance-prod-eastus2, kv-finance-dev-eastus2), yalıtımı zorlamak için ortam başına ayrı kaynak gruplarına dağıtın (güvenliği aşılmış geliştirme hizmet sorumlusu üretim anahtarlarına erişemez).
RBAC'yi en az ayrıcalıklı erişim için yapılandırın: Üretim dışı Key Vault'lar için (geliştirme/hazırlama) geliştirici güvenlik gruplarına Key Vault Gizli Dizileri Kullanıcısı (salt okunur) atayın; geliştiriciler geliştirme/hazırlamada gizli dizileri okuyabilir ancak üretim Key Vault'larına sıfır erişime sahip olabilir; Üretim Key Vault'ları için Key Vault Gizli Dizileri Kullanıcısını CI/CD hizmet sorumlularına (Azure DevOps işlem hattı yönetilen kimlikleri) atayın, kapsamı belirli adlandırılmış gizli dizilerle sınırlayın; üretim anahtarlarına etkileşimli geliştirici erişimi yok.
Azure Özel Bağlantı ile ağ güvenliğini sağlamlaştırma: Key Vault için özel uç noktaları dağıtın (VNet ve alt ağ seçin, özel DNS bölgesi privatelink.vaultcore.azure.net oluşturun ve VNet bağlantısı oluşturun), Key Vault güvenlik duvarını yapılandırın (CI/CD için genel erişim gerekiyorsa, Yalnızca onaylı Azure VNet alt ağları ve CI/CD aracısı IP adresi aralıkları olan seçili ağlardan erişime izin verirse, Key Vault güvenlik duvarını yalnızca özel uç nokta üzerinden erişilebilen key Vault ile genel erişimi devre dışı bırakın).
Key Vault için Microsoft Defender'ın etkinleştirilmesi: Abonelik düzeyinde Key Vault için Microsoft Defender'ı etkinleştiren Defender, olağan dışı coğrafi erişim, şüpheli numaralandırma (keşfi gösteren hızlı liste işlemleri), anormal yönetim işlemleri (toplu gizli dizi silme işlemleri) gibi anomalileri izler.
Otomatik yanıt için Microsoft Sentinel ile tümleştirme: Bulut için Microsoft Defender veri bağlayıcısını Sentinel'e ekleyin, olağan dışı bölgesel erişim, olası deneme yanılma, şüpheli yönetim işlemleri için Sentinel Analytics kuralları oluşturun, şüpheli kimlikleri devre dışı bırakmak ve güvenlik ekiplerine bildirmek için otomatik yanıt playbook'larını yapılandırın.
Tanılama günlüklerini Log Analytics'e akışla aktar: Key Vault için AuditEvent (tüm anahtar/gizli dizi/sertifika işlemleri), AllMetrics (kullanım sıklığı, gecikme) ile tanılama günlüğünü etkinleştirin, 2 yıllık saklama ile Log Analytics çalışma alanına gönderin, olası deneme yanılma algılaması (5 dakikada 10'un üzerinde yetkisiz deneme) ve devre dışı bırakılsın silme işlemlerinin sabotaj göstergesi olduğu özel KQL sorguları oluşturarak anomali algılayın.
Azure AD PIM ile Anında Yönetici Erişimi Uygulama: Key Vault Yöneticisi rolü için uygun atamaları yapılandırın (güvenlik ekibi üyelerini uygun olarak ekleyin, etkinleştirme için gerekçe ve MFA gerektirir, maksimum etkinleştirme süresini 8 saat olarak ayarlayın, üst düzey güvenlik mimarından onayını talep edin), tüm Key Vault Yöneticisi rolü atamaları için üç aylık erişim değerlendirmesi yapın; gereksiz erişimi iptal edin.

Sonuç: Her ortam için ayrılmış Anahtar Kasaları segmentasyonu zorunlu kılar. RBAC, geliştiricileri salt okunur üretim dışı erişimle sınırlar. Özel Bağlantı, genel İnternet'e maruz kalma durumunu ortadan kaldırır. Microsoft Defender anomalileri algılar. Sentinel playbook'ları şüpheli kimlikleri otomatik olarak devre dışı bırakır. PIM, tam zamanında yönetici erişimi sağlayarak kalıcı ayrıcalıkları büyük ölçüde azaltır.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

CIS Denetimleri v8.1: YOK
NIST SP 800-53 Rev.5: IA-5, SC-12, SC-17
PCI-DSS v4: 3.6.1, 8.3.2
NIST CSF v2.0: PR. AC-1, PR. DS-1
ISO 27001:2022: A.8.3, A.8.24
SOC 2: CC6.1, CC6.2

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2025-11-12

Aracılığıyla paylaş

Veri Koruması

DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme

Güvenlik ilkesi

Azaltma riski

MITRE ATT&CK

DP-1.1: Hassas verileri bulma, sınıflandırma ve etiketleme

Uygulama örneği

Kritiklik düzeyi

Denetim eşlemesi

DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme

Güvenlik ilkesi

Azaltma riski

MITRE ATT&CK

DP-2.1: Veri hizmetleri için tehdit algılamayı etkinleştirme

DP-2.2: Veri sızdırmayı izleme ve önleme

Uygulama örneği

Kritiklik düzeyi

Denetim eşlemesi

DP-3: Aktarımdaki hassas verileri şifreleme

Güvenlik ilkesi

Azaltma riski

MITRE ATT&CK

DP-3.1: Veri hizmetleri ve uygulamaları için TLS şifrelemesini zorunlu kılma

DP-3.2: Uzaktan erişim ve dosya aktarım protokollerinin güvenliğini sağlama

Uygulama örneği

Kritiklik düzeyi

Denetim eşlemesi

DP-4: Hareketsiz durumdaki veri şifrelemesini varsayılan olarak etkinleştirin

Güvenlik ilkesi

Azaltma riski

MITRE ATT&CK

DP-4.1: Dinlenme halindeki verilerin şifrelenmesini varsayılan olarak etkinleştir

Uygulama örneği

Kritiklik düzeyi

Denetim eşlemesi

DP-5: Gerektiğinde durağan veri şifrelemesinde müşteri tarafından yönetilen anahtar seçeneğini kullanın

Güvenlik ilkesi

Azaltma riski

MITRE ATT&CK

DP-5.1: Gerektiğinde bekleyen şifrelemedeki verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın

Uygulama örneği

Kritiklik düzeyi

Denetim eşlemesi

DP-6: Güvenli bir anahtar yönetim süreci kullanın

Güvenlik ilkesi

Azaltma riski

MITRE ATT&CK

DP-6.1: Temel yönetim ilkeleri ve altyapı oluşturma

DP-6.2: Anahtar yaşam döngüsü otomasyonu uygulama

DP-6.3: Anahtar erişimi için görev ayrımını zorunlu kılma

Uygulama örneği

Kritiklik düzeyi

Denetim eşlemesi

DP-7: Güvenli bir sertifika yönetim işlemi kullanma

Güvenlik ilkesi

Azaltma riski

MITRE ATT&CK

DP-7.1: Sertifika ilkeleri ve CA tümleştirmesi oluşturma

DP-7.2: Otomatik sertifika yenileme uygulama

DP-7.3: Sertifika yaşam döngüsünü izleme ve iptal işlemini işleme

Uygulama örneği

Kritiklik düzeyi

Denetim eşlemesi

DP-8: Anahtar ve sertifika deposunun güvenliğini sağlama

Güvenlik ilkesi

Azaltma riski

MITRE ATT&CK

DP-8.1: Key Vault için erişim denetimleri uygulama

DP-8.2: Key Vault ağ güvenliğini sağlamlaştırma

DP-8.3: Key Vault korumasını ve izlemeyi etkinleştirme

Uygulama örneği

Kritiklik düzeyi

Denetim eşlemesi

Geri Bildirim

Ek kaynaklar