Ağ Güvenliği

Ağ güvenliği, birden çok sınırdaki trafiği denetleyerek bulut iş yüklerini yetkisiz erişim, veri ihlalleri ve hizmet kesintisi gibi tehditlere karşı korur. Geleneksel çevre odaklı savunmalardan farklı olarak modern bulut ortamları, kullanıma sunulan hizmetler, yanal hareket yolları ve komut ve kontrol kanalları dahil olmak üzere dinamik saldırı yüzeylerini ele almak için segmentasyon, özel bağlantı ve uç koruması ile derinlemesine savunma stratejileri gerektirir. Kapsamlı ağ denetimleri uygulayan kuruluşlar varsayılan olarak güvenli ortamları korurken, bu denetimleri ihmal edenler sınırsız yanal hareket ve tehditlere uzun süre maruz kalma ile karşı karşıya kalır.

Ağ Güvenliği güvenlik etki alanının üç temel sütunu aşağıdadır.

Ağ sınırlarının güvenliğini sağlama: Güvenlik duvarlarını, DDoS korumasını, web uygulaması güvenlik duvarlarını ve özel bağlantıyı içeren çok katmanlı savunma ile ağ uçlarında ve segmentler arasında katı denetimler uygulayın ve yetkisiz trafiği varsayılan olarak reddetmek için en düşük ayrıcalık ilkesini uygulayın.

İlgili denetimler:

• NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
• NS-3: Kurumsal ağın kenarında güvenlik duvarı dağıtma
• NS-5: DDOS korumasını dağıtma
• NS-6: Web uygulaması güvenlik duvarı dağıtma
• NS-9: Şirket içi veya bulut ağına özel olarak bağlanma

Ağ yalıtımı uygulama: Tehdit yayılmasını sınırlamak, saldırı yüzeyini azaltmak ve yetkisiz yanal hareketi önlemek için ağları kurumsal segmentleme stratejisi ve risk düzeyleriyle uyumlu yalıtılmış segmentlere bölün.

İlgili denetimler:

• NS-1: Ağ segmentasyonu sınırları oluşturma

İzleme ve yanıtlama: Şüpheli davranışları, ilke ihlallerini ve etkin tehditleri hızla belirlemek için kapsamlı izleme, yetkisiz erişim algılama ve protokol güvenliği aracılığıyla ağ etkinliğine sürekli görünürlük sağlayın.

İlgili denetimler:

• NS-4: İzinsiz giriş algılama/yetkisiz erişim önleme sistemlerini (IDS/IPS) dağıtma
• NS-8: Güvenli olmayan hizmetleri ve protokolleri algılama ve devre dışı bırakma
• NS-10: Etki Alanı Adı Sistemi (DNS) güvenliğini sağlama

NS-1: Ağ segmentasyonu sınırları oluşturma

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: NS-1.

Güvenlik ilkesi

Ağ segmentasyonu, bulut kaynakları arasındaki trafik akışını kontrol etmek ve sınırlamak için bir ağı daha küçük, yalıtılmış segmentlere ayırarak patlama yarıçapını azaltmayı içerir.

Sanal ağ dağıtımınızın kurumsal segmentasyon stratejinizle ve farklı risk düzeyleriyle uyumlu olduğundan emin olmak için ağ segmentasyonunuzu tasarlayın. Yaygın segmentasyon stratejisi şunları içerir:

• Corpnet'i Uygulama ağlarıyla ayırma
• Uygulama ağlarını ayırma
• Üretim ve Test Ortamı ağlarını ayırma

Ağ segmentasyonuna yönelik önemli stratejiler hakkında daha fazla bilgi edinmek için Azure Well-Architected Framework'e bakın:

• Azure segmentasyon stratejisi

Azaltma riski

Ağ kesimleme sınırları olmadan, kuruluşlar kısıtlanmamış yanal hareketlerle karşı karşıya kalarak saldırganların ağ altyapılarından geçiş yapmalarını ve yüksek değerli varlıkları tehlikeye atmasını sağlar.

• Düz ağ maruziyeti: Kesimlemenin olmaması sınırsız yanal hareket sağlar ve saldırganların bölümlenmemiş bir ağ topolojisi üzerinden geçerek yüksek değerli varlıkları tehlikeye atmasına olanak tanır.
• Ayrıcalık yükseltme yolları: Yetersiz sınırlar yetkisiz erişim vektörlerine izin verir ve hassas alt ağlara ve iş yüklerine erişim yoluyla kullanıcı ayrıcalıklarının yükseltilmesini kolaylaştırır.
• Kötü amaçlı yazılım yayma: Yetersiz segmentlere ayırma, fidye yazılımı gibi kötü amaçlı kodların birbirine bağlı düğümler arasında hızla yayılmasını sağlayarak saldırı yüzeyini ve operasyonel etkiyi artırır.
• Doğu-batı trafik körlüğü: Kısıtlanmamış segmentler arası trafik, anomali algılamayı ve olay yanıtını engelleyerek iç tehdit hareketlerine görünürlüğü azaltır ve adli analizi karmaşık hale getirir.

MITRE ATT&CK

• İlk Erişim (TA0001): ağlara ve kullanıma sunulan hizmetlere yetkisiz erişim (örneğin, T1190 - Exploit Public-Facing Application).
• Yanal Hareket (TA0008): sanal ağlar ve kısıtlanmamış alt ağlar arası trafik (örneğin, T1021 - Uzak Hizmetler) ile saldırı geçişi.
• Sızdırma (TA0010): Dış sunuculara yetkisiz veri aktarımları için kısıtlanmamış giden trafik tarafından veri sızdırma (örneğin, T1041 - C2 Kanalı Üzerinden Sızdırma).
• Komut ve Denetim (TA0011): Güvenlik duvarı kuralları ve tehdit bilgileri (örneğin, T1071 - Uygulama Katmanı Protokolü) aracılığıyla kötü amaçlı IP'lerle veya etki alanlarıyla iletişim yoluyla kötü amaçlı yazılım yayma.

NS-1.1: Sanal ağ ve alt ağları kullanarak segmentasyon oluşturma

Sanal ağ yalıtımı, bulut ortamlarında temel güvenlik sınırları oluşturarak kuruluşların iş yüklerini güven düzeyine, kuruluş birimine veya uygulama gruplandırmaya göre ayırmasını sağlar. Bu yaklaşım sınırsız yanal hareketi önler ve ihlaller oluştuğunda patlama yarıçapını azaltarak ağ mimarisini kurumsal segmentasyon stratejileri ve sıfır güven ilkeleriyle uyumlu hale getirme.

Yalıtılmış ağ sınırları ve alt bölümler oluşturarak sanal ağ segmentasyonu uygulayın:

• Segmentasyon stratejisine göre sanal ağ topolojisi tasarlama: Kurumsal segmentasyon stratejinizde tanımlanan güven bölgeleri, kuruluş birimleri veya uygulama gruplandırmalarıyla uyumlu sanal ağlar oluşturarak her sanal ağın ayrı bir güvenlik sınırını temsil etmelerini sağlayın.

• Yüksek riskli iş yüklerini yalıtma: Katı yalıtım gerektiren iş yüklerini (üretim veritabanları, ödeme işleme sistemleri gibi) belirleyin ve maruz kalma durumunu en aza indirmek ve çapraz bulaşmayı önlemek için bunları ayrılmış, yalıtılmış sanal ağlara dağıtın.

• Ayrıntılı segmentlere ayırma için alt ağlar oluşturun: Her sanal ağ içinde, ağı uygulama katmanlarına (örneğin, web katmanı, uygulama katmanı, veritabanı katmanı) veya işlevsel gereksinimlere göre daha fazla segmentlere ayırarak daha hassas trafik denetimi ve mikro segmentlere ayırma sağlamak için çakışmayan ayrı alt ağlar oluşturun .

NS-1.2: NSG kullanarak ağ trafiğini kısıtlama

Ağ güvenlik grupları, alt ağ ve ağ arabirimi düzeyinde trafik filtrelemeyi zorunlu kılarak ağ kesimleri ile dış ağlar arasındaki iletişim akışları üzerinde hassas denetim sağlar. Kuruluşlar, açıkça izin veren kurallarla varsayılan olarak reddet ilkeleri uygulayarak yalnızca yetkili trafiğin ağ sınırları arasında geçiş yapmasını sağlayarak yetkisiz erişimi önler ve saldırı yüzeyini azaltır.

NSG kurallarını kullanarak ağ trafiği kısıtlaması uygulayın:

• İletişim gereksinimlerini belirleme: Her sanal ağdaki kaynakları analiz ederek kuzey-güney (dış) ve doğu-batı (iç) trafik iletişimi gereksinimlerini anlayın, yasal iş işlevleri için gerekli bağlantı noktalarını, protokolleri, kaynak adreslerini ve hedef adreslerini belgeleyin.

• Açık izin verme ve reddetme kuralları tanımlayın: İyi tanımlanmış uygulamalar için (örneğin, üç katmanlı mimariler), bağlantı noktası, protokol, kaynak IP adresi ve hedef IP adresi temelinde NSG kuralları oluşturmak için "varsayılan olarak reddet, özel durum tarafından izin ver" yaklaşımını kullanın ve diğer tüm iletişimleri reddederken yalnızca gerekli trafiğe açıkça izin verin.

• Karmaşık senaryolar için uygulama güvenlik gruplarını kullanın: Birçok uygulama ve uç nokta etkileşime geçtiğinde, kaynakları mantıksal olarak gruplandırmak için (örneğin, web sunucuları, veritabanı sunucuları) uygulama güvenlik gruplarını (ASG' ler) kullanarak NSG kural yönetimini basitleştirin, ardından açık IP adresleri yerine bu grupları temel alan NSG kuralları tanımlayın, sürdürülebilirliği geliştirin ve yapılandırma karmaşıklığını küçültün.

• Akış günlükleriyle izleme ve iyileştirme: NSG kuralları tarafından izin verilen veya reddedilen trafiği izlemek için sanal ağ akışı günlüğünü etkinleştirin, hatalı yapılandırma veya kural iyileştirmeyi bilgilendirebilecek ve günlüğe kaydetme gürültüsünü azaltabilecek sık izin verilen trafiği belirleyin.

Uygulama örneği

Bir kuruluşun ayrı üretim, geliştirme ve test ortamları ile çok katmanlı bir uygulamanın güvenliğini sağlarken yetkisiz yanal hareketi ve dış erişimi engellemesi gerekiyordu.

Zorluk: Kuruluşun, tüm kaynakların tek bir büyük ağ segmentinde yer aldığı üç katmanlı bir uygulaması (web, uygulama, veritabanı) vardı ve bu durum tüm katmanlar ile ortamlar arasında sınırsız iletişim sağlıyordu. Bu, üretim ve üretim dışı arasında olası yanal hareket, veritabanı sunucularından sınırsız İnternet erişimi ve yüksek riskli iş yüklerini yalıtamama gibi önemli güvenlik riskleri oluşturmuştur.

Çözüm yaklaşımı:

• Ortama göre sanal ağ segmentasyonu: Ortamlar arası erişimi engelleyen ve olası ihlallerin patlama yarıçapını sınırlayan ağ yalıtım sınırları oluşturarak üretim (10.0.0.0/16), geliştirme (10.1.0.0/16) ve test (10.2.0.0/16) ortamları için ayrı sanal ağlar oluşturuldu.
• Katmana göre alt ağ segmentasyonu: Üretim sanal ağı içinde, her uygulama katmanı (web katmanı (10.0.1.0/24), uygulama katmanı (10.0.2.0/24) ve veritabanı katmanı (10.0.3.0/24) için çakışmayan ayrı alt ağlar oluşturarak katmanlar arasında ayrıntılı trafik denetimi sağlar.
• Kuzey-güney trafik denetimi için NSG kuralları: NSG kuralları, İnternet'ten (0.0.0.0/0) iç alt ağlara gelen tüm trafiği reddedecek ve giden İnternet erişimini yalnızca güvenilen hedeflerle kısıtlayan, belirli kurallar yalnızca web katmanı için gerekli dış bağlantılara izin verirken veritabanı katmanından tüm İnternet erişimini engelleyerek yapılandırıldı.
• Doğu-batı trafik denetimi için NSG kuralları: Katmanlar arasında açık izin kuralları ile varsayılan olarak reddet ilkeleri uygulandı - yalnızca gerekli bağlantı noktalarında uygulama katmanına giden web katmanına izin verildi, uygulama katmanı yalnızca 1433 numaralı bağlantı noktasında (SQL) veritabanı katmanına çıkış izni aldı, ve veritabanı katmanı, uygulama katmanı alt ağı dışındaki diğer tüm gelen trafiği reddetti.
• Uzaktan yönetim erişimi: Uzaktan yönetim bağlantı noktalarını (RDP 3389/TCP, SSH 22/TCP) yalnızca güvenilen savunma ana bilgisayarı alt ağından (10.0.0.0/26) gelen bağlantıları kabul etmek için kısıtlayarak yönetim arabirimlerine doğrudan İnternet erişimini ortadan kaldırır.

Sonuç: Kuruluş, uygulama katmanları ve ortamlar arasındaki sınırsız yanal hareketi ortadan kaldırdı, arka uç sistemlerinden doğrudan İnternet erişimini kaldırarak saldırı yüzeyini önemli ölçüde azaltmış ve sıfır güven ilkeleriyle uyumlu zorunlu kılınabilir ağ sınırları oluşturmİştir. Akış günlükleri, sürekli iyileştirme ve güvenlik duruşu doğrulaması için izin verilen ve reddedilen trafiğin sürekli izlenmesini etkinleştirdi.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SC-7, SC-32, AC-4, CM-7
• PCI-DSS v4: 1.2.1, 1.3.1, 1.4.1
• CIS Denetimleri v8.1: 12.1, 12.2, 12.6
• NIST CSF v2.0: PR. IR-01, PR. AC-05
• ISO 27001:2022: A.8.20, A.8.21
• SOC 2: CC6.1, CC6.6

NS-2: Ağ denetimleriyle buluta özel hizmetlerin güvenliğini sağlama

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: NS-2.

Güvenlik ilkesi

Kaynakların güvenilmeyen ağa maruz kalmasını önlemek ve azaltmak için kaynaklara ağ erişiminin güvenliğini sağlamak için hizmet yerel özelliklerini kullanın. Bu özellikler şunlardır:

• Genel ağ üzerinden giden ağ trafiğinin açığa çıkarmasını önlemek için kaynaklar için özel erişim noktaları oluşturun.
• Kaynağı, hizmet için özel bir erişim noktası oluşturmak amacıyla sanal ağları kısıtlayabileceğiniz sanal ağlara dağıtın.
• Gelen trafiği kısıtlamak veya genel ağ erişimini devre dışı bırakmak için hizmet yerel güvenlik duvarlarını yapılandırın.

Not: Temel ağ erişim denetimine ve trafik filtrelemeye ek olarak, olası veri sızdırmayı algılamak için DNS (NS-10) gibi hizmetleri izlemek için tehdit algılama özelliklerini de kullanmanız gerekir.

Azaltma riski

Tehdit aktörleri veri sızdırma, uygulama katmanı saldırıları ve trafik kesme işlemleri gerçekleştirmek için genel kullanıma açık bulut hizmetlerinden yararlanıyor.

• Genel uç noktalar aracılığıyla veri sızdırma: Saldırganlar, kullanıma sunulan uç noktalara yetkisiz bağlantılar kurarak, ağ kesimleme denetimlerini atlayarak ve büyük ölçekli veri hırsızlığını etkinleştirerek hassas verileri silmek için genel olarak erişilebilen depolama hesaplarından, veritabanlarından veya API'lerden yararlanıyor.
• Genel uç noktalara yönelik uygulama katmanı saldırıları: Dağıtılmış Hizmet Reddi (DDoS) saldırıları, SQL ekleme ve diğer uygulama açıklarından yararlanma işlemleri, genel kullanıma sunulan web hizmetlerini, API'leri ve veritabanlarını, ezici kaynakları veya hizmet kesintisine veya veri güvenliğinin aşılmasına neden olan güvenlik açıklarını hedefler.
• Ortadaki adam saldırıları: Saldırganlar, genel kullanıma sunulan hizmetlere genel ağ üzerinden akan trafiği keserek yeterli şifreleme veya özel bağlantı olmadan iletilen kimlik bilgilerini, oturum belirteçlerini veya hassas verileri yakalar ve hesap devralma veya veri hırsızlığını etkinleştirir.

MITRE ATT&CK

• İlk Erişim (TA0001): bulut hizmetlerinin (bulut depolama hizmetleri, veritabanı hizmetleri gibi) genel İnternet'e açıklanmasıyla yetkisiz erişim, genel uç noktaların hedeflenmesinden yararlanma (örneğin, T1190 - Exploit Public-Facing Application).
• Sızdırma (TA0010): Trafiği özel sanal ağ bağlantıları üzerinden yönlendirerek veri sızdırma, dış sunuculara veri sızıntısı riskini azaltır (örneğin, T1041 - C2 Kanalı Üzerinden Sızdırma).
• YanAl Hareket (TA0008): sanal ağlarda saldırganın hizmetlerde yön değiştirmesi, bulut kaynakları arasında yetkisiz erişim (örneğin, T1021 - Uzak Hizmetler).

NS-2.1 Hizmet bağlantısı için Özel Bağlantı kullan

Özel bağlantı, sanal altyapınızda doğrudan ağ yolları oluşturarak bulut hizmetlerinin genel İnternet'e açık kalmasını ortadan kaldırır. Özel Bağlantı, sanal ağlarınızda ayrılmış IP adresleri olan özel uç noktalar oluşturur ve bulut hizmetlerine giden trafiğin DNS tabanlı erişim desenlerini korurken genel İnternet'ten hiçbir zaman geçmemesini sağlar. Bu yaklaşım saldırı yüzeyini önemli ölçüde azaltır ve genel olarak erişilebilen uç noktalarda veri sızdırmayı önler.

Aşağıdaki adımlar aracılığıyla bulut hizmetleri için özel bağlantı uygulayın:

• Desteklenen hizmetler için özel uç noktaları dağıtma: Yalnızca sanal ağınızdan erişilebilen özel IP adresleri (örneğin, 10.0.2.4) oluşturarak Özel Bağlantı'yı destekleyen Azure kaynakları (örneğin, Azure Depolama, Azure SQL Veritabanı, Azure Key Vault) için sanal ağınızda özel uç noktalar oluşturun.

• Özel DNS bölgelerini yapılandırma: Genel DNS çözümlemesini geçersiz kılmak için Azure Özel DNS bölgeleri oluşturarak mystorageaccount1.blob.core.windows.net gibi tam etki alanı adlarının (FQDN) genel uç noktalar yerine sanal ağınızdaki özel IP adreslerine çözümlenmesi ve FQDN tabanlı erişimi kullanan uygulamalar için sorunsuz bağlantı sağlanması.

• Genel erişimi devre dışı bırak: Özel uç noktalar dağıtıldıktan sonra genel ağ erişimini tamamen devre dışı bırakmak için hizmet düzeyi ayarlarını yapılandırın ve genel uç noktalara geri dönüş olmadan tüm trafik akışlarının özel bağlantı üzerinden yapılmasını sağlayın.

Not: Azure platformunda barındırılan hizmetlere güvenli ve özel erişim için Azure Özel Bağlantı önerilir ancak bazı Azure hizmetleri de hizmet uç noktası özelliği aracılığıyla özel iletişime izin verebilir. Azure VM'lerinde barındırılan web hizmetleri gibi dağıtımlar için, kesin bir gerekçe göstermediği sürece genel IP'leri doğrudan VM'lere atamaktan kaçının; bunun yerine, hizmet erişimi için ön uç olarak Azure Application Gateway veya Azure Load Balancer kullanın.

NS-2.2 Hizmeti VNet içine dağıtma

Sanal ağ tümleştirmesi, bulut hizmetlerinin özel ağ sınırları içinde çalışmasına olanak tanır ve genel İnternet'e açık olmadan sanal ağ tarafından barındırılan kaynaklara doğrudan bağlantı kurar. Kuruluşlar, hizmetleri sanal ağlara dağıtarak, dış tehditlere karşı hizmet yalıtımını korurken güvenlik grupları ve yönlendirme tabloları aracılığıyla ağ trafiği üzerinde ayrıntılı denetim elde eder.

Desteklenen yerlerde VNet tümleştirmesi ile hizmetleri dağıtın:

• Hizmetleri sanal ağlara dağıtma: Sanal ağ tümleştirmesini destekleyen hizmetler için (örneğin, Azure App Service, Azure İşlevleri, Azure Container Instances), yeni veya mevcut sanal ağlara dağıtımı yapılandırın, segmentasyon stratejinizle uyumlu uygun alt ağları belirtin ve diğer sanal ağ kaynaklarıyla özel iletişim sağlayın.

• Ağ güvenlik denetimlerini yapılandırma: Gelen ve giden trafiği kısıtlamak için hizmetin alt ağına ağ güvenlik grubu (NSG) kuralları uygulayın ve diğer tüm trafiği reddederken yalnızca belirli hedeflerle (örneğin veritabanı alt ağları, depolama uç noktaları) gerekli iletişime izin vererek en az ayrıcalıklı erişim uygulayın.

NS-2.3 Hizmet yerel güvenlik duvarını yapılandırma

Hizmet düzeyi güvenlik duvarları, ağ erişimini kaynak düzeyinde kısıtlayarak ve uygulamaya özgü güvenlik sınırlarıyla ağ katmanı denetimlerini tamamlayarak derinlemesine koruma sağlar. Bu yerel güvenlik duvarı özellikleri, kuruluşların uygun olduğunda genel erişimi tamamen devre dışı bırakarak karmaşık ağ topolojisi değişikliklerine gerek kalmadan saldırı yüzeyini azaltarak belirli IP aralıklarına veya sanal ağlara erişimi sınırlandırmasını sağlar.

Erişimi kısıtlamak için hizmet güvenlik duvarlarını yapılandırın:

• Hizmet güvenlik duvarı özelliklerini etkinleştirme: Yerel güvenlik duvarlarını destekleyen hizmetler (örneğin, Azure Depolama, Azure SQL Veritabanı, Azure Key Vault) için, hangi ağların hizmete erişebileceğini denetlemek için kaynak oluşturma sırasında veya mevcut kaynaklarda güvenlik duvarı işlevselliğini etkinleştirin.

• IP tabanlı veya sanal ağ tabanlı kurallar tanımlayın: Güvenlik duvarı kurallarını yalnızca belirli genel IP aralıklarından (kurumsal ofis ağları gibi) veya belirli Azure sanal ağ alt ağlarından erişime izin verecek şekilde yapılandırın ve diğer tüm kaynakları reddederek en az ayrıcalıklı erişim uygulayın.

• Mümkün olduğunda genel erişimi devre dışı bırakın: Hizmetler yalnızca özel ağlardan erişim gerektirdiğinde, genel ağ erişimini tamamen devre dışı bırakmak için iki durumlu düğme seçeneğini kullanın ve IP tabanlı kurallardan bağımsız olarak hizmete İnternet'ten ulaşılamamasını sağlayın.

NS-2.4 PaaS kaynak yalıtımı için Ağ Güvenlik Çevresini kullanma

Ağ Güvenliği Çevresi, birden çok PaaS kaynağı çevresinde bir mantıksal ağ sınırı oluşturarak, açık bir güvenilir çevre içinde güvenli hizmet-hizmet iletişimi sağlarken yetkisiz veri sızdırmayı önler. Kaynak başına denetimlerden farklı olarak Ağ Güvenlik Çevresi, tek tek erişim kuralları olmadan çevre içi iletişime olanak tanırken dış erişimi varsayılan olarak engelleyen birleşik bir güvenlik sınırı sağlar.

PaaS kaynaklarının güvenliğini sağlamak için Ağ Güvenlik Çevresi uygulama:

• Kaynak oluşturma ve ilişkilendirme:Bir ağ güvenlik çevresi oluşturun ve kaynak ilişkilendirmeleri aracılığıyla desteklenen PaaS kaynaklarını (Azure Depolama, SQL Veritabanı, Key Vault, Event Hubs, Cosmos DB) ekleyerek ilişkili kaynakların serbestçe iletişim kurabileceği çevre içi iletişimi sağlayın.

• Erişim modlarını ve kurallarını yapılandırma: En yüksek koruma için Zorunlu moda geçmeden önce erişim desenlerini anlamak için Geçiş modu ile başlayın. Ip adreslerini, abonelikleri veya FQDN'leri kullanarak çevre dışındaki trafiği denetlerken varsayılan reddetme duruşunu koruyarak açık gelen ve giden erişim kuralları tanımlayın.

• İzlemeyi ve Özel Bağlantı tümleştirmesini etkinleştirin: Erişim girişimlerini ve ilke ihlallerini yakalamak için tanılama günlüklerini yapılandırın. Çevre düzeyinde veri sızdırma kontrolleri ile sanal ağdan PaaS'a bağlantıyı tamamlayacak şekilde özel uç nokta trafiğine otomatik olarak izin verilir.

Uygulama örneği

Bir kuruluşun, kaynakları genel İnternet'e sunmadan uygulama hizmetlerinden erişimi etkinleştirirken arka uç veritabanı ve depolama kaynaklarının güvenliğini sağlaması gerekiyordu.

Zorluk: Kuruluşun Internet'e erişilebilir olan varsayılan genel uç noktalara sahip Azure SQL Veritabanı ve Azure Depolama hesapları vardı, bu da önemli veri sızdırma riskleri oluşturuyordu. Uygulama hizmetleri genel IP'lerle dağıtıldı ve sanal ağ tümleştirmesi eksikti ve özel ağ tabanlı erişim denetimleri engellendi. Hizmet düzeyi güvenlik duvarları yapılandırılmadı ve kimlik doğrulaması başarılı olduktan sonra herhangi bir kaynaktan sınırsız erişime izin verildi.

Çözüm yaklaşımı:

• PaaS hizmetleri için Özel Bağlantı uç noktaları: Ayrılmış bir özel uç nokta alt ağında (10.0.2.0/24) Azure SQL Veritabanı (özel IP 10.0.2.4 atanmış) ve Azure Depolama hesabı (atanmış özel IP 10.0.2.5) için dağıtılan özel uç noktalar, trafiği İnternet'e maruz kalmadan Azure omurga ağı üzerinden yönlendiren özel bağlantı kurma.
• Ad çözümlemesi için özel DNS bölgeleri: Uygulama FQDN'lerinin (örneğin, mysqldb.database.windows.net, mystorageaccount.blob.core.windows.net) genel uç noktalar yerine sanal ağ içindeki özel IP'lere çözümlenmesi ve FQDN tabanlı erişim kullanan uygulamalar için sorunsuz bağlantı sağlanması amacıyla genel DNS çözümlemesini geçersiz kılmak için Azure Özel DNS bölgeleri oluşturuldu.
• Uygulama hizmetleri için sanal ağ tümleştirmesi: Azure App Service için sanal ağ tümleştirmesi yapılandırıldı, genel IP adreslerine veya İnternet yönlendirmesine gerek kalmadan özel uç noktalarla doğrudan iletişim sağlamak için uygulamayı bir uygulama alt asına (10.0.1.0/24) dağıttık.
• Hizmet yerel güvenlik duvarları: Belirli sanal ağ alt ağlarına (uygulama alt ağı 10.0.1.0/24) ve güvenilen Microsoft hizmetlerine erişimi kısıtlamak için Azure Depolama'da hizmet düzeyi güvenlik duvarları etkinleştirildi ve Azure SQL Veritabanı'nın yalnızca özel bağlantıyı zorunlu kılması için hizmet düzeyinde genel ağ erişimini tamamen devre dışı bırakılıyor.
• Derinlemesine savunma için NSG kuralları: NSG kuralları uygulama alt ağına uygulanarak yalnızca gerekli bağlantı noktalarındaki özel uç nokta alt ağına (10.0.2.0/24) giden trafiğe izin verir (Depolama için 443, SQL için 1433), hizmet düzeyinde korumaları tamamlayan en az ayrıcalıklı erişim denetimi uygulanır.

Sonuç: Kuruluş, arka uç kaynakları için genel İnternet'e maruz kalma durumunu ortadan kaldırarak veri sızdırma risklerini ve saldırı yüzeyini önemli ölçüde azaltmıştır. Özel bağlantı, uygulamalar ve veri hizmetleri arasındaki tüm trafiğin genel İnternet'ten geçmeden Azure omurga ağında kalmasını sağlarken katmanlı denetimler (Özel Bağlantı, DNS bölgeleri, hizmet güvenlik duvarları, NSG'ler) sıfır güven ilkeleriyle uyumlu derinlemesine savunma koruması sağladı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SC-7(4), SC-7(5), AC-4(21)
• PCI-DSS v4: 1.3.1, 1.3.2, 1.4.2
• CIS Denetimleri v8.1: 12.4, 12.7
• NIST CSF v2.0: PR. AC-05, PR. DS-05
• ISO 27001:2022: A.8.20, A.8.22
• SOC 2: CC6.1, CC6.6

NS-3: Kurumsal ağın kenarında güvenlik duvarı dağıtma

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: NS-3.

Güvenlik ilkesi

İnternet gibi dış ağlara ve iç ağ kesimleri arasında gelen ve bu ağlardan gelen ağ trafiğinde gelişmiş filtreleme gerçekleştirmek için ağ kenarındaki güvenlik duvarını kullanın.

Güvenlik duvarı ilkesi en azından şunları içermelidir:

• Bilinen hatalı IP adreslerini ve siteleri engelleyin.
• Yetkisiz erişimi veya yanal hareketi önlemek için uç ağlarda uzaktan yönetim protokolleri ve intranet protokolleri gibi yüksek riskli protokolleri kısıtlayın.
• Yalnızca onaylanan dış hedeflere izin vermek ve yetkisiz veya riskli siteleri engellemek için uygulama kurallarını zorunlu kılın.

Azaltma riski

Saldırganlar erişilebilir protokoller, kötü amaçlı etki alanları ve zayıf ağ denetimleri aracılığıyla genel veya güvenilmeyen ağlara açık açıklardan yararlanır.

• Kullanıma sunulan protokoller aracılığıyla yetkisiz erişim: RDP (TCP 3389) veya SMB (TCP 445) gibi genel olarak erişilebilen protokoller, saldırganların yetkisiz giriş kazanmasını ve deneme yanılma veya CVE tarafından hedeflenen saldırılar gibi açıklardan yararlanarak sistem bütünlüğünü tehlikeye atmasını sağlar.
• Kötü amaçlı etki alanları/IP'ler aracılığıyla kötü amaçlı yazılım ve kimlik avı: Kötü amaçlı etki alanları ve IP'ler, kötü amaçlı yazılım teslimi veya kimlik avı kampanyalarını kolaylaştırarak, uç noktaları ve hassas verileri komut ve denetim veya sosyal mühendislik saldırıları yoluyla tehlikeye atabilir.
• Sınırsız giden trafik aracılığıyla veri sızdırma: Onaylanmamış hedeflere denetimsiz çıkış, saldırganların HTTPS POST'leri gibi gizli kanallar aracılığıyla hassas verileri dışarı aktarmasına, ihlalleri ve uyumluluk ihlallerini riske atmasına olanak tanır.
• Zayıf segmentasyona bağlı yanal hareket: Yetersiz ağ segmentasyonu, saldırganların, güvenliği aşılmış sistemlerden yayılmak için segmentler arası trafikten (örneğin, SMB, Kerberos) yararlanarak ağın içinde hareket etmelerine olanak tanır.
• Güvenilmeyen uygulamalardan/URL'lerden kaynaklanan güvenlik açıkları: Riskli veya güvenilmeyen URL'lere ve uygulamalara erişim, açıklardan yararlanma riskini artırır, olay risklerini artırır ve mevzuat standartlarına uymaz.

MITRE ATT&CK

• İlk Erişim (TA0001): Yüksek riskli protokollere (RDP/TCP 3389, SSH/TCP 22 gibi) veya kötü amaçlı alan adlarına (örneğin, T1190 - Halka Açık Uygulama İstismarı) yetkisiz erişim.
• Komut ve Denetim (TA0011): kötü amaçlı IP'lere/etki alanlarına bağlanan kötü amaçlı yazılım (örneğin, T1071 - Uygulama Katmanı Protokolü).
• Sızdırma (TA0010): Onaylanmamış hedeflere giden trafik aracılığıyla yetkisiz veri aktarımları (örneğin, T1041 - C2 Kanalı Üzerinden Sızdırma).
• Yanal Hareket (TA0008): Filtrelenmemiş bölümler arası trafik (ör. SMB/TCP 445, Kerberos/TCP 88) kullanılarak ağ içinde yön değiştirmeyi engeller (ör. T1021 - Uzak Hizmetler).

NS-3.1 Azure Güvenlik Duvarı Dağıtımına Hazırlanma

Azure Güvenlik Duvarı dağıtımı, ağ sınırları arasında merkezi trafik denetimi sağlayan uygun ağ topolojisi gerektirir. Merkez-uç mimarileri güvenlik duvarını ağ çekirdeğine konumlandırarak tüm uç trafiğini merkezi bir denetim noktası üzerinden yönlendirirken, kullanıcı tanımlı yollar trafik akışının hedeflenen yolları izlediğinden emin olur. Bu hazırlık, kapsamlı kenar koruması ve segmentler arası filtreleme için temel oluşturur.

Azure Güvenlik Duvarı dağıtımı için ağ altyapısını hazırlama:

• Merkez/Uç sanal ağ topolojisini ayarlama: Azure Güvenlik Duvarı'nı bir hub VNet'e dağıtarak, uygulama iş yüklerini barındıran birden fazla uç sanal ağında trafiği merkezi olarak yönetin ve güvenli hale getirin. Bu yaklaşım, ağ güvenlik ilkeleri için tek bir uygulama noktası oluşturulmasına olanak tanır.

• Uç sanal ağlara katılın: Her uç sanal ağını Azure Güvenlik Duvarı'nın dağıtıldığı merkez sanal ağına bağlamak için sanal ağ eşlemesini kullanın ve ağ yalıtımını korurken merkez üzerinden uçlar arasında iletişime olanak tanıyın.

• Kullanıcı tanımlı yolları (UDR) yapılandırma: Merkez ağındaki Azure Güvenlik Duvarı aracılığıyla uç sanal ağlarından ağ trafiğini yönlendiren rota tabloları oluşturun; buna İnternet çıkışı (0.0.0.0/0) yolları ve uçlar arası iletişim için denetim gerekiyorsa isteğe bağlı olarak uçlar arası trafik de dahildir.

NS-3.2 Azure Güvenlik Duvarı'nı uygun ilkelerle dağıtma

Azure Güvenlik Duvarı, kurumsal ağ segmentleri genelinde merkezi bir ilke yönetimiyle durum bilgisini tutan uygulama katmanı trafik filtrelemesi sağlar. Ağ kurallarını, uygulama kurallarını ve tehdit bilgilerini birleştirerek güvenlik duvarları trafik akışlarını birden çok katmanda incelerken, URL filtreleme ve TLS incelemesi HTTP/HTTPS iletişimleri üzerinde ayrıntılı denetim sağlar. Uygun ilke tasarımı, yapılandırılmış kural hiyerarşileri ve kategori tabanlı filtreleme aracılığıyla güvenlik gereksinimlerini operasyonel gereksinimlerle dengeler.

Kapsamlı ilkelerle Azure Güvenlik Duvarı'nı dağıtın ve yapılandırın:

• Merkez sanal ağı içinde Azure Güvenlik Duvarı'nı dağıtma: Gereken özelliklere göre Standart veya Premium katmanında Azure Güvenlik Duvarı'nı merkez sanal ağda dağıtarak internet'e bağlı trafik için genel IP adreslerini ve uç sanal ağlardan iç yönlendirme için özel IP adreslerini atayın.

• Filtreleme kurallarıyla güvenlik duvarı ilkeleri oluşturun: Ağ kuralları (IP/bağlantı noktası tabanlı filtreleme), uygulama kuralları (FQDN tabanlı filtreleme) ve tehdit bilgileri kuralları içeren Azure Güvenlik Duvarı ilkelerini tanımlayın; güvenlik gereksinimlerine göre kuralları koleksiyonlar halinde düzenleme (örneğin, iş açısından kritik hizmetlere izin verme, kötü amaçlı IP'leri engelleme, riskli kategorileri reddetme).

• HTTP/HTTPS trafiği için URL filtrelemeyi yapılandırın: Belirli etki alanlarına izin vermek veya reddetmek için FQDN tabanlı uygulama kuralları uygulayın (örneğin, *.microsoft.com izin ver, *.torrent reddet) ve işle ilgili kategorilere izin verirken tüm web sitesi kategorilerini (örneğin Hacking, Sosyal Medya) engellemek için kategori tabanlı filtrelemeyi yapılandırın.

• Gelişmiş filtreleme için TLS incelemesini etkinleştirin: Premium katman dağıtımları için sertifikaları Azure Key Vault'a yükleyerek TLS incelemesini etkinleştirin ve güvenlik duvarının SNI tabanlı incelemenin ötesinde daha derin URL filtreleme ve tehdit algılama için HTTPS trafiğinin şifresini çözmesine, incelemesine ve yeniden şifrelemesine olanak tanıyın.

Uygulama örneği

Farklı uç sanal ağlar arasında birden çok uygulama iş yükü bulunan bir kuruluş, kötü niyetli alan adlarına ve yetkisiz web sitesi kategorilerine erişimi engellerken, tüm internete bağlı trafik ve uçlar arası iletişimler için merkezi ağ güvenliği denetimine ihtiyaç duyuyordu.

Zorluk: Kuruluş, doğrudan internet erişimine sahip ayrı konuşmacı sanal ağlarına iş yüklerini dağıttı. Bu durum, tutarsız güvenlik ilkeleri oluşturmasına ve trafiği merkezi olarak inceleyememesine sebep oldu. Her uç kendi NSG kurallarına sahip ve bu da ilke kaymalarına ve güvenlik açıklarına yol açıyor. Kötü amaçlı olabilecek etki alanlarına giden bağlantılarda görünürlük yoktu, riskli web sitesi kategorilerini (sosyal medya, dosya paylaşımı) engelleme olanağı yoktu ve HTTPS trafik içeriğine yönelik bir denetim yoktu. Ağ segmentleri arası trafik, denetim yapılmadan serbestçe akarak güvenlik ihlalinden sonra olası yanal hareketlere olanak sağladı.

Çözüm yaklaşımı:

• Merkezi güvenlik duvarı ile merkez-uç topolojisi: Ayrılmış AzureFirewallSubnet (10.0.1.0/26, güvenlik duvarı özel IP 10.0.1.4) ile bir merkez sanal ağında (10.0.0.0/16) Azure Firewall Premium dağıtılarak tüm ağ trafiği denetimi ve ilke yönetimi için tek bir uygulama noktası oluşturulur.
• Konum ağı bağlantısı için sanal ağ eşleştirmesi: Uygulama konum ağını (10.1.0.0/16) ve veritabanı konum ağını (10.2.0.0/16) merkez sanal ağına bağlamak için sanal ağ eşlemesi kullanıldı. Bu sayede, güvenlik duvarı üzerinden merkezi trafik yönlendirmesi sağlanır.
• Trafik yönlendirmesi için kullanıcı tanımlı yollar: Her uç sanal asında tüm İnternet'e bağlı trafiği (0.0.0.0/0) ve uçlar arası trafiği Azure Güvenlik Duvarı özel IP'sine (10.0.1.4) yönlendiren ve tüm çıkışı merkezi denetim noktası üzerinden zorlayan rota tabloları oluşturuldu.
• Çok katmanlı filtrelemeye sahip güvenlik duvarı ilkeleri: Ağ kuralları (Azure DNS'ye DNS UDP/53'e izin ver, varsayılan olarak diğer tüm protokolleri reddet), uygulama kuralları (*.microsoft.com gibi iş açısından kritik FQDN'lere izin ver, *.torrent gibi dosya paylaşım etki alanlarını reddetme) ve tehdit bilgileri kuralları (Microsoft Defender tehdit akışlarından bilinen kötü amaçlı IP'leri engelleme) dahil olmak üzere kapsamlı Azure Güvenlik Duvarı ilkeleri tanımlanmıştır.
• URL filtreleme ve kategori tabanlı engelleme: İşle ilgili kategorilere (İş/Ekonomi, Teknoloji/İnternet) izin verirken, ağ kenarında kabul edilebilir kullanım ilkelerini zorunlu kılarken web sitesi kategorilerinin tamamını (Hacking, Sosyal Medya, Kumar) engellemek için hassas etki alanı denetimi ve kategori tabanlı filtreleme için FQDN tabanlı uygulama kuralları uygulandı.
• HTTPS trafiği için TLS incelemesi: Azure Key Vault'ta depolanan sertifikalarla TLS incelemesini etkinleştirerek güvenlik duvarının HTTPS trafiğinin şifresini çözmesine, incelemesine ve yeniden şifrelemesine olanak sağlarken, hassas bankacılık etki alanlarını uyumluluk gereksinimlerine göre şifre çözme dışında tutarak SNI tabanlı incelemenin ötesinde daha derin URL filtrelemesi ve tehdit algılaması için https trafiğinin şifresini çözebilir, inceleyebilir ve yeniden şifreleyebilir.

Sonuç: Kuruluş, tüm İnternet'e bağlı ve uçlar arası trafik üzerinde merkezi görünürlük ve denetim oluşturarak ilke kaymalarını ve güvenlik kör noktalarını ortadan kaldırmıştı. TLS incelemesi, şifrelenmiş HTTPS trafiğinde gizlenen tehditlerin algılanması sağlarken, kategori tabanlı filtreleme riskli web içeriğine maruz kalma oranını önemli ölçüde azaltmıştı. Merkez-uç mimarisi, birleşik ilke yönetimi ve kapsamlı tehdit koruması ile tüm iş yüklerinde ölçeklenebilir, tutarlı bir güvenlik duruşu sağladı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SC-7, SC-7(5), AC-4, SI-4(4)
• PCI-DSS v4: 1.2.1, 1.3.1, 1.4.1, 1.4.2
• CIS Denetimleri v8.1: 9.2, 9.3, 13.1
• NIST CSF v2.0: PR. AC-05, PR. PT-04, DE. CM-01
• ISO 27001:2022: A.8.20, A.8.22
• SOC 2: CC6.1, CC6.6, CC7.2

NS-4: İzinsiz giriş algılama/yetkisiz erişim önleme sistemlerini (IDS/IPS) dağıtma

Güvenlik ilkesi

Ağ ve yük trafiğini iş yükünüzden veya sanal ağlarınıza gelen ve bu ağlardan çıkan veri trafiğini incelemek için saldırı tespit ve önleme sistemlerini (IDS/IPS) kullanın. IDS/IPS'nin her zaman SIEM çözümünüz için yüksek kaliteli uyarılar sağlayacak şekilde ayarlandığından emin olun.

Not: Daha ayrıntılı konak düzeyi algılama ve önleme özelliği için, ağ IDS/IPS ile birlikte konak tabanlı IDS/IPS veya konak tabanlı uç nokta algılama ve yanıt (EDR) çözümünü kullanın.

Azaltma riski

Saldırganlar, kötü amaçlı etkinlikleri yürütmek için protokoller, uygulamalar ve iç trafikteki güvenlik açıklarından yararlanmaktadır.

• Protokol açıklarından yararlanma: RDP (TCP 3389) veya HTTP/HTTPS (TCP 80/443) gibi protokollerdeki güvenlik açıkları, CVE tarafından hedeflenen saldırılar gibi açıklardan yararlanarak yetkisiz erişime veya sistem güvenliğinin aşılmasına olanak tanır.
• Komut ve denetim (C2) iletişimleri: Kötü amaçlı sunucular, DNS sorguları veya IP tabanlı geri çağırmalar aracılığıyla güvenliği aşılmış cihazlar üzerinde denetim kurarak kalıcı açıklardan yararlanmayı veya kötü amaçlı yazılım yayılmasını kolaylaştırır.
• Uygulama açıklarından yararlanma: SQL ekleme, siteler arası betik (XSS) veya arabellek taşması gibi saldırılar, veri çalmak veya rastgele kod yürütmek için uygulama güvenlik açıklarını hedefler.
• Yanal hareket: SMB (TCP 445) sayımı veya Kerberos (TCP 88) bilet kötüye kullanımı gibi anormal iç trafik, saldırganın ağ içinde pivot yaptığını gösterir.
• Veri sızdırma: Yetkisiz veri aktarımları, algılamayı önlemek için karartma kullanılarak şifrelenmiş kanallar (örneğin HTTPS POST'leri) veya yüksek hacimli çıkış üzerinden gerçekleşir.

MITRE ATT&CK

• İlk Erişim (TA0001): Ağ güvenlik açıklarını hedefleyen açıklardan yararlanma yoluyla yetkisiz girişler (örneğin, T1190 - Kamuya Açık Uygulamayı Sömürme).
• Yürütme (TA0002): Güvenlik açıklarından veya C2 yüklerinden kötü amaçlı kod yürütme (örneğin, T1059 - Komut ve Betik Yorumlayıcısı).
• Komut ve Denetim (TA0011): DNS sorgularını veya IP tabanlı geri çağırmaları kullanarak kötü amaçlı yazılım C2 iletişimleri (örneğin, T1071 - Uygulama Katmanı Protokolü).
• Yanal Hareket (TA0008): Pivot göstergesi olan anormal iç trafik (örneğin, SMB numaralandırması; örneğin, T1021 - Uzak Hizmetler).
• Sızdırma (TA0010): Şifrelenmiş veya karartılmış kanallar üzerinden yetkisiz veri aktarımları (örneğin, T1041 - C2 Kanalı Üzerinden Sızdırma).

NS-4.1 IDPS için Azure Güvenlik Duvarı Premium'u dağıt

İzinsiz giriş algılama ve önleme sistemleri, ağ trafiği desenlerini bilinen saldırı imzalarıyla eşleştirerek imza tabanlı tehdit tanımlaması sağlayarak, açıktan yararlanma girişimlerinin ve kötü amaçlı iletişimlerin gerçek zamanlı olarak engellenmesini sağlar. Azure Güvenlik Duvarı Premium'un IDPS özelliği, açıklardan yararlanma, kötü amaçlı yazılım, komuta ve kontrol ve kimlik avı kategorilerini kapsayan sürekli güncelleştirilen imza kitaplıkları sunarken, hem yalnızca uyarı modunu hem de önleme modunu destekler. Doğru imza seçimi ve ayarı, yanlış pozitifleri en aza indirirken yüksek doğrulukta algılama sağlar.

Azure Güvenlik Duvarı Premium aracılığıyla IDPS'yi dağıtma ve yapılandırma:

• Azure Güvenlik Duvarı Premium'ı dağıtma: HUB sanal ağınızda Premium İlkesi ile Azure Güvenlik Duvarı Premium'u dağıtarak TLS inceleme ve URL filtreleme gibi diğer gelişmiş özelliklerin yanı sıra IDPS özelliklerini etkinleştirin.

• IDPS imza kurallarını seçin: "Kötü Amaçlı Yazılım", "Açıklardan Yararlanmalar" ve "Kimlik Avı" gibi kuruluşunuzun tehdit profili ve risk toleransı gibi kritik kategorilerdeki yüksek önem derecesine sahip imzalardan başlayarak, tehdit önceliklerine göre imza kitaplığından IDPS imza kurallarını seçin.

• IDPS modunu yapılandırma: Trafiği engellemeden imza eşleşmelerini gözlemlemek üzere test etmek ve ayarlamak için başlangıçta IDPS modunu Uyarı moduna ayarlayın, ardından güvenlik izleme için uyarıyı korurken algılanan tehditleri etkin bir şekilde önlemek için üretim ortamları için Uyarı ve Reddetme moduna geçin.

• İmzalarda ince ayar yapma: İşletim deneyimine göre tek tek imza kurallarını ayarlayın, aşırı hatalı pozitifler oluşturan imzaların önceliğini devre dışı bırakarak veya düşürerek yüksek öncelikli imzaların etkin kalmasını sağlayarak güvenlik operasyonları ekipleri için sinyal-gürültü oranını iyileştirin.

Uygulama örneği

Bir kuruluşun, yasal iş operasyonlarını kesintiye uğratmadan tehdit etkinliklerine görünürlük sağlarken kritik altyapıyı bilinen açıklardan ve sıfır günlük saldırılardan koruması gerekiyordu.

Zorluk: Kuruluş, temel güvenlik duvarı kurallarının ötesinde imza tabanlı tehdit algılama olmadan finansal işlemleri işleyen çok katmanlı bir web uygulaması çalıştırıyor. Güvenlik ekipleri uygulama sunucularını hedefleyen açıklardan yararlanma girişimlerine görünürlük sağlamadı, komut ve denetim iletişimlerini algılama yeteneğine sahip değildi ve kapsamlı ayarlama gerektiren genel IDS çözümlerinden hatalı pozitif uyarılar yaşadı.

Çözüm:

• IDPS ile Azure Güvenlik Duvarı Premium: Hub sanal ağında dağıtılan Azure Güvenlik Duvarı Premium, TLS incelemesi ve URL filtrelemesi ile birlikte IDPS özelliklerini etkinleştirerek tüm uç sanal ağ trafiği için merkezi imza tabanlı tehdit algılama sağlar.

• İmza kuralı seçimi: Kötü Amaçlı Yazılım (Cobalt Strike, Metasploit, fidye yazılımı C2), Exploits (PaperCut CVE-2023-27350, Log4Shell, ProxyShell), Kimlik Avı (kimlik bilgisi toplama) ve Komut ve Denetim desenleri gibi kritik kategorilerden seçilen yüksek önem düzeyi IDPS imzaları .

• Uyarı modu ve ayarlama: İlk testte trafiği engellemeden imza eşleşmelerini gözlemlemek için Uyarı modunda IDPS yapılandırıldı, yasal DevOps araçlarından ve iş ortağı API çağrılarından gelen hatalı pozitif sonuçları belirlemek için uyarıları analiz etti, ardından yüksek öncelikli CVE imzalarını etkin tutarken bilinen iyi senaryolar için imza özel durumları oluşturdu.

• Önleme modu geçişi: Doğrulamadan sonra IDPS, üretim için Uyarı ve Reddetme moduna geçirildi, PaperCut yararlanma girişimleri, Log4Shell saldırıları ve C2 iletişimleri gibi tehditlerin algılanmasını ve engellenmesini aktif bir şekilde gerçekleştirmeye başladı.

• Sentinel tümleştirmesi: Tanılama günlüklerini Log Analytics'e yapılandırdı, IDPS algılamalarını kimlik doğrulama olaylarıyla ilişkilendiren Sentinel analiz kuralları oluşturdu ve yüksek önem dereceli uyarılar için otomatik olay oluşturma işlemi oluşturdu.

Sonuç: Açıklardan yararlanma girişimleri başarıyla engellendi ve uzaktan kod yürütülmesi engellendi. Kritik güvenlik açığı açıklarından yararlanma, güvenlik açığı oluşmadan önce ortadan kaldırıldı. Hatalı pozitif oranları önemli ölçüde azalırken, kapsamlı CVE kapsamı korunur. Güvenlik ekipleri hızlı uyarı incelemesi ve olay yanıtı elde ederek proaktif savunma için eyleme dönüştürülebilir zeka ile sürekli tehdit görünürlüğü sağladı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SI-4, SI-4(4), SI-4(5), SC-7(5)
• PCI-DSS v4: 11.4.1, 11.4.2, 1.4.1
• CIS Denetimleri v8.1: 13.2, 13.6, 13.7
• NIST CSF v2.0: DE. CM-01, DE. CM-04, DE. CM-07
• ISO 27001:2022: A.8.16, A.8.22, A.5.24
• SOC 2: CC6.1, CC7.2

NS-5: DDOS korumasını dağıtma

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: NS-5.

Güvenlik ilkesi

Hem ağ hem de uygulama katmanlarında farklı hizmetleri ve protokolleri hedefleyen saldırıları etkili bir şekilde azaltmak için DDoS korumasını çeşitli katmanlara dağıtın.

Azaltma riski

Tehdit aktörleri, hizmet kesintisine neden olmak için aşırı kötü amaçlı trafik kullanan ağlara, sunuculara veya uygulamalara saldırır.

• Hacimli saldırılar (ağ taşması): Saldırganlar bant genişliğini, yönlendirici işleme kapasitesini veya yük dengeleyici kaynaklarını tüketmek için ağ arabirimlerini çok büyük trafik hacimleriyle (örneğin, saniyede milyonlarca paket) doldurur ve hizmetin kullanılamamasına neden olur. Örnek olarak UDP taşması, ICMP taşması veya NTP veya SSDP gibi protokollerden yararlanan büyük DNS yansıma saldırıları verilebilir.
• Protokol saldırıları (durum tükenmesi): Saldırganlar, TCP bağlantı tabloları veya güvenlik duvarı oturum durumları gibi durum bilgisi olan kaynakları silmek için Katman 3/4 protokol güvenlik açıklarından yararlanır. Yaygın teknikler arasında yarı açık bağlantılara sahip sunucuları bunaltan TCP SYN taşması veya durum bilgisi olan cihazları hedefleyen ACK taşması sayılabilir.
• Kaynak katmanı saldırıları (uygulama aşırı yüklemesi): HTTP GET/POST taşmaları gibi sınırlı Katman 7 saldırıları, web sunucularını veya API'leri bunaltmak amacıyla uygulama kaynaklarını (örneğin, CPU, bellek veya veritabanı bağlantıları) hedef alır. Bu saldırılar işlem kaynaklarını tüketerek gecikme ani artışlarına veya kesintilere neden olmayı hedefler.
• Yükseltme saldırıları: Saldırganlar trafiği büyütmek için yanlış yapılandırılmış sunuculardan (ÖRNEĞIN, DNS, NTP veya UDP 32414'te Plex Media sunucuları) yararlanarak hedefe yönelik büyük yanıtlar oluşturan küçük sorgular gönderir ve ağ kapasitesini zorlar. Örnek olarak DNS amplifikasyonu veya SSDP yansıma saldırıları verilebilir.

MITRE ATT&CK

• Etki (TA0040): Hacimsel taşkınlar (UDP/ICMP gibi) veya kaynak aşırı yüklemeleri (örneğin HTTP taşması) yoluyla hizmet kullanılabilirliğini kesintiye uğratarak erişimi reddeder (T1498 örneği - ağ hizmetinin reddi).
• Kaynak Geliştirme (TA0042): Saldırı etkisini ölçeklendirmek için (örneğin, T1584 - Altyapıyı Tehlikeye Atma) yükseltme saldırıları (örneğin, DNS/NTP yansıması) için güvenliği aşılmış sistemlerden yararlanıyor.

NS-5.1 DDOS korumasını uygun ağ katmanında uygulama

Birim ve uygulamaya özgü saldırılara karşı savunmak için hem ağ hem de uygulama katmanlarında DDoS koruması dağıtın. Azure birden çok koruma katmanı sağlar: Hızlı yanıt desteği ile kapsamlı sanal ağ kapsamı için DDoS Ağ Koruması, tek tek IP'lerin uygun maliyetli koruması için DDoS IP Koruması ve WAF aracılığıyla uygulama katmanı koruması. Koruma verimliliğini doğrulamak ve saldırılar sırasında uygulama dayanıklılığını sağlamak için izleme ve uyarıları yapılandırın:

• Ağ katmanı DDoS korumasını dağıtma: Kapsamlı sanal ağ kapsamı ve saldırı sonrası analizi için hızlı yanıt desteği gerektiren iş yükü dağıtımları için DDoS Ağ Koruması veya hızlı yanıt desteği olmadan sınırlı sayıda IP'nin uygun maliyetli korunması için DDoS IP Koruması arasında seçim yapın.

• Uygulama katmanı DDoS korumasını dağıtma: Uygulama katmanı (Katman 7) saldırılarına karşı savunmak için Azure Web Uygulaması Güvenlik Duvarı (WAF), Application Gateway veya Azure Front Door'da DDoS korumasını etkinleştirin.

• İzlemeyi ve uyarıları yapılandırın: Koruma verimliliğini, uygulama dayanıklılığını ve saldırılar sırasında ve sonrasında istenen performansı sağlamak için uyarıları yapılandırın ve DDoS koruma hizmetinden ve uygulamalarınızdan ölçümleri ve günlükleri izleyin.

Uyarı

Yukarıdaki DDoS koruma hizmetini kullanmadan bile Azure, ağ altyapısı düzeyinde varsayılan platform düzeyinde bir koruma olan DDoS altyapı koruması sunar. Bu koruma ücretsiz olarak sağlanır ve herhangi bir yapılandırma veya etkinleştirme gerektirmez.

Uygulama örneği

Bir e-ticaret kuruluşu, yoğun alışveriş sezonlarında artan hacimli ve uygulama katmanı saldırı girişimlerine maruz kalan müşteriyle yüz yüze uygulamalar için kapsamlı DDoS korumasına ihtiyaç duyuyordu.

Zorluk: Şirket genel kullanıma yönelik web uygulamaları, API'ler ve İnternet'e açık içerik teslim altyapısı ile küresel bir e-ticaret platformu işletti. Yoğun olaylar sırasında platform UDP selleri, yük dengeleyici bağlantı tablolarını tüketen TCP SYN taşması, kullanıma alma API'lerini hedefleyen HTTP taşması ve DNS amplifikasyon saldırıları gibi birden çok DDoS saldırısıyla karşı karşıya kaldı. Ayrılmış DDoS koruması olmadan bu saldırılar hizmet kesintilerine neden olur ve gelir kaybına ve müşteri memnuniyetsizliğiyle sonuçlanır.

Çözüm:

• DDoS Ağ Koruması: Müşteriye yönelik uygulamaları barındıran üretim sanal ağlarında Azure DDoS Ağ Koruması etkinleştirildi, uyarlamalı ayarlama, Katman 3 ve 4'te otomatik saldırı algılama ve gerçek zamanlı risk azaltma ile kapsamlı sanal ağ düzeyinde koruma sağlar.

• Uygulama katmanı koruması: Bölgesel uygulamalar için WAF ile Azure Application Gateway ve küresel uç teslimi için WAF ile Azure Front Door dağıtılarak hız sınırlama, HTTP taşması algılama ve bot koruma kuralları ile Katman 7 DDoS koruması sağlanır.

• Koruma ilkesi yapılandırması: Tüm üretim sanal ağlarıyla ilişkilendirilen DDoS koruma planı oluşturuldu, uyarlamalı ayarlama öğrenme temeli trafik desenlerini yapılandırdı, her zaman açık trafik izlemeyi etkinleştirdi ve UDP taşmalarını, TCP SYN taşmalarını, ICMP taşmalarını ve protokol saldırılarını kapsayan tanımlı koruma ilkeleri oluşturdu.

• İzleme ve uyarı: Log Analytics çalışma alanına saldırı telemetrisi gönderen DDoS tanılama günlükleri yapılandırıldı, saldırılar algılandığında anında bildirimleri tetikleyen Azure İzleyici uyarıları oluşturdu, DDoS saldırılarını uygulama performansı ölçümleriyle ilişkilendiren Sentinel çalışma kitabı oluşturdu ve azaltma sırasında Application Insights izleme uygulamasının sistem durumunu yapılandırdı.

• Hızlı Yanıt katılımı: Etkin DDoS Hızlı Yanıtı , gerçek zamanlı saldırı analizi, özel risk azaltma stratejisi geliştirme ve saldırı sonrası adli tıp için etkin saldırılar sırasında DDoS koruma uzmanlarına doğrudan erişim sağlar.

Sonuç: Yoğun alışveriş sezonunda yapılan DDoS saldırıları sıfır hizmet kesintisi ile başarılı bir şekilde azaltıldı. Hacimli sel, SYN taşması ve HTTP taşması otomatik olarak engellendi ve platform kullanılabilirliği korundu. Hızlı Yanıt, gelişmiş saldırılar için uzman analizi sağladı. Kritik alışveriş dönemlerinde, sorun giderme sırasında müşteri işlem gecikmesi olmadan yüksek hizmet süresi korundu.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SC-5, SC-5(1), SC-5(2), SI-4(4)
• PCI-DSS v4: 6.4.2, 11.4.7
• CIS Denetimleri v8.1: 13.3
• NIST CSF v2.0: PR. PT-05, DE. CM-01
• ISO 27001:2022: A.8.13, A.8.24
• SOC 2: CC6.1, CC7.2

NS-6: Web uygulaması güvenlik duvarı dağıtma

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: NS-6.

Güvenlik ilkesi

Web uygulaması güvenlik duvarı (WAF) dağıtın ve kötü amaçlı HTTP/HTTPS trafiğini inceleyerek, algılayarak ve filtreleyerek web uygulamalarını ve API'leri uygulamaya özgü saldırılara karşı korumak için kurallar yapılandırın.

Azaltma riski

Saldırganlar yetkisiz erişim kazanmak, kötü amaçlı kod yürütmek, kimlik bilgilerini çalmak veya verileri silmek için web uygulaması güvenlik açıklarından yararlanıyor.

• Ekleme saldırıları (örneğin, SQL ekleme, komut ekleme): Saldırganlar, web uygulaması sorgularına veya komutlarına kötü amaçlı kod eklemek için giriş doğrulama güvenlik açıklarından yararlanarak yetkisiz veritabanı erişimine, veri sızdırmaya veya sistem güvenliğinin aşılmasına olanak tanır. SQL ekleme (SQLi), arka plan sorgularını (örneğin, bir oturum açma formuna ' VEYA '1'='1 ekleyerek) manipüle ederken, komut ekleme rastgele işletim sistemi komutlarını yürütür (örn. ; rm -rf / form alanı üzerinden).
• HTTP protokolü ihlalleri ve hatalı biçimlendirilmiş istekler: Saldırganlar, web sunucularında veya uygulamalarında güvenlik açıklarından yararlanmak için hatalı biçimlendirilmiş HTTP istekleri (örneğin, geçersiz üst bilgiler, büyük boyutlu yükler veya TRACE gibi standart olmayan yöntemler) gönderir ve bu da kilitlenmelere veya yetkisiz erişime neden olur. Bu saldırılar yanlış yapılandırılmış sunucuları veya eşleşmeyen çerçeveleri hedefler.
• Bot tabanlı saldırılar (örneğin, kimlik bilgileri doldurma, kazıma): Otomatik botlar kimlik bilgisi doldurma saldırılarını başlatır (örneğin, çalınmış kimlik bilgilerine sahip deneme yanılmalı oturum açma uç noktaları) veya hassas içeriği kazıma (örneğin, fiyatlandırma verileri), sunucuları aşırı yükleme veya kullanıcı hesaplarını tehlikeye atma. Bu saldırılar zayıf kimlik doğrulaması veya korumasız API'lerden yararlanır.
• Uygulamaya özgü açıklardan yararlanmalar (örneğin, uzak dosya ekleme, yerel dosya ekleme): Saldırganlar, kötü amaçlı dosyaları dahil etmek (örneğin , 'http://evil.com/shell.php' dahil) veya yerel sunucu dosyalarına erişmek için güvenlik açıklarından yararlanıyor (ör. .. /.. /etc/passwd), kod yürütmeyi veya verilerin açığa çıkarılmasını sağlayan, değiştirilmiş URL parametreleri veya form girişleri aracılığıyla.

MITRE ATT&CK

• İlk Erişim (TA0001): Girdi kazanmak için SQL ekleme, XSS veya uzak dosya eklemeden yararlanir (örneğin, T1190 - Exploit Public-Facing Application).
• Yürütme (TA0002): Kötü amaçlı kodu komut ekleme, RFI veya XSS aracılığıyla yürütür (örneğin, T1059 - Komut ve Betik Yorumlayıcısı).
• Kimlik Bilgisi Erişimi (TA0006): XSS veya kimlik bilgisi doldurma aracılığıyla kimlik bilgilerini çalar (örneğin, T1539 - Web Oturumu Tanımlama Bilgisini Çal, T1110 - Deneme Yanılma).
• Koleksiyon (TA0009): SQL ekleme veya kazıma yoluyla veri toplar (örneğin, T1213 - Bilgi Depolarından alınan veriler).

NS-6.1 Azure WAF'yi uygun kurallarla yapılandırma

Uygulamaları ve API'leri web tabanlı saldırılara karşı korumak için Azure Application Gateway, Azure Front Door veya Azure Content Delivery Network'te (CDN) web uygulaması güvenlik duvarı (WAF) özelliklerini etkinleştirin. Uygulama gereksinimlerine göre uygun hizmeti seçin, WAF ilkelerini yerleşik ve özel kurallarla yapılandırın, güvenlik duruşunu temel alarak ilke modunu ayarlayın ve ilkeyi hizmet uç noktasıyla ilişkilendirin:

• Uygun WAF hizmetini seçin: Sanal ağ tarafından barındırılan uygulamalar için Azure Application Gateway, genel uç teslimi için Azure Front Door veya uygulama gereksinimlerine ve mimarisine göre yoğun içerikli iş yükleri için Azure CDN'yi seçin.

• YERLEŞIK ve özel kurallarla WAF ilkelerini yapılandırın: OWASP Çekirdek Kural Kümesi (CRS 3.2) ve bot koruması (Microsoft Bot Yöneticisi) kuralları gibi yaygın yerleşik kural kümeleriyle başlayın. Tehdit ortamına ve uygulama güvenlik profiline göre hatalı pozitif sonuçları azaltmak için özel kurallar (ör. 100 istek/dakika için >hız sınırlama) ve dışlamalar ekleyin.

• WAF ilke modunu ayarlayın: Kurulum ve kural iyileştirmesi sırasında meşru trafiği kesintiye uğratmamak için algılama modunu başlangıçta veya kritik olmayan uygulamalarda kullanın. Kötü amaçlı istekleri engellemek için kurallar doğrulandıktan sonra kritik uygulamalar için önleme moduna geçin.

• WAF ilkesini hizmet uç noktasıyla ilişkilendirin: Tüm HTTP/HTTPS trafiğinin inceleme için WAF üzerinden yönlendirildiğinden emin olmak için WAF ilkesini Application Gateway, Front Door veya CDN uç noktasıyla ilişkilendirin.

Uygulama örneği

Bir kuruluş, müşterilere yönelik web uygulamalarını ve API'leri SQL enjeksiyonu, XSS saldırıları ve bot kaynaklı kimlik bilgisi doldurma saldırılarına karşı korurken, meşru kullanıcılar için performansı da sürdürmek zorundaydı.

Zorluk: Kuruluş, OWASP İlk 10 güvenlik açığına karşı korumasız küresel olarak dağıtılmış web uygulamalarına sahipti; bu durum, birden çok SQL enjeksiyonu girişimine, bot tabanlı saldırıların oturum açma uç noktalarını etkisi altına almasına ve kötü amaçlı trafik desenlerine dair görünürlük sağlanamamasına neden oldu. Uygulamalarda hız sınırlama denetimleri yoktu, API kötüye kullanımı ve kimlik bilgileri doldurma saldırılarına izin verildi ve meşru kullanıcıları kötü amaçlı botlardan ayırt etmeye yönelik bir mekanizma yoktu.

Çözüm yaklaşımı:

• WAF hizmeti seçimi: Sanal ağ tarafından barındırılan uygulamalar için WAF ile Azure Application Gateway ve uç koruma ve düşük gecikme süreli erişim gerektiren genel olarak dağıtılmış uygulamalar için WAF ile Azure Front Door dağıtıldı.
• Yerleşik koruma kural kümeleri: SQL ekleme, siteler arası betik (XSS), uzak dosya ekleme ve diğer yaygın web güvenlik açıklarına karşı koruma sağlamak için OWASP Çekirdek Kural Kümesi (CRS) 3.2 etkinleştirildi ve kötü amaçlı botları tanımlamak ve engellemek için Microsoft Bot Manager kurallarını etkinleştirerek yasal arama motoru gezginlerine ve izleme hizmetlerine izin verin.
• Belirli tehditler için özel kurallar: API kötüye kullanımı ve kimlik bilgileri doldurmasını önlemek için istemcileri dakikada 100 isteği aşan hız sınırlama kuralları, hizmetlerin kullanılamadığı yüksek riskli bölgelerden gelen trafiği engelleyen coğrafi filtreleme kuralları ve tehdit bilgileri akışları aracılığıyla tanımlanan bilinen kötü amaçlı IP aralıklarından gelen istekleri engelleyen IP saygınlığı tabanlı kurallar uygulandı.
• Dışlama yönetimi: OWASP kurallarında hatalı pozitif sonuçları tetikleyen karmaşık form girişlerine sahip /checkout uç noktaları, büyük dosya gönderimlerini işleyen /upload uç noktaları ve mobil uygulamalardan olağan dışı ancak geçerli üst bilgi desenlerine sahip /api uç noktaları gibi meşru iş senaryoları için hedeflenen dışlamalar oluşturuldu.
• Algılamadan önlemeye geçiş: Yanlış pozitifleri belirlemek için WAF'yi iki hafta boyunca algılama modunda çalıştırarak, geçerli trafik desenlerine dayalı kuralları ve dışlamaları geliştirdik. Ardından tehditleri aktif olarak engelleyip iş sürekliliğini korumak üzere üretim uygulamaları için önleme moduna geçtik.

Sonuç: Kuruluş SQL ekleme ve XSS yararlanma girişimlerini ortadan kaldırmış, bot yöneticisi kuralları aracılığıyla bot tabanlı saldırıları önemli ölçüde azaltmış ve web uygulaması tehditlerine yönelik kapsamlı görünürlük oluşturmmüştür. Hız sınırlama denetimleri API kötüye kullanımını ve kimlik bilgileri doldurmayı engellerken, aşamalı olarak algılama modundan önleme moduna geçiş, meşru kullanıcıların hizmet kesintisi yaşamamasını sağladı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SC-7, SC-7(5), SI-10, SI-10(1), SI-11
• PCI-DSS v4: 6.4.1, 6.4.2, 11.4.7
• CIS Denetimleri v8.1: 13.2, 13.9
• NIST CSF v2.0: PR. AC-05, PR. PT-05, DE. CM-04
• ISO 27001:2022: A.8.20, A.8.22, A.8.25
• SOC 2: CC6.1, CC6.6, CC7.2

NS-7: Ağ güvenliğini merkezi ve etkili bir şekilde yönetme

Güvenlik ilkesi

Karmaşık ve parçalanmış ağ ortamında işletimsel riski ve yanlış yapılandırmayı azaltmak için bulutta yerel ağ yönetimi özelliklerini kullanarak tutarlı ağ güvenliği yapılandırmalarını merkezileştirin, basitleştirin ve uygulayın.

Azaltma riski

Merkezi denetimin olmaması göz ardı edilen veya güncel olmayan güvenlik ayarlarıyla sonuçlanır ve bu da kötüye kullanım riskini artırır.

• Tutarsız ilke zorlama ve yanlış yapılandırmalar: Merkezi olmayan yönetim genellikle parçalanmış kural kümelerine ve ilke boşluklarına yol açar ve saldırganların zayıf noktaları keşfetmesini ve kullanmasını kolaylaştırır. Yanlış yapılandırmalar daha olasıdır ve yanlışlıkla maruz kalma veya istenmeyen erişim olasılığını artırır.
• Daha az görünürlük ve gecikmeli yanıt: Birleşik bir yönetim yaklaşımı olmadan izleme ve olay yanıtı daha yavaş ve daha az etkili hale gelir. Bu, kötü amaçlı etkinliklerin algılanmasında gecikmeye neden olarak saldırganların saldırıları yükseltmeleri veya verileri dışarı çıkarmaları için daha fazla zaman tanıyabilir.
• Uyumluluğu koruma zorluğu: Yetersiz merkezi yönetim, mevzuat ve endüstri standartlarını tutarlı bir şekilde karşılama çabalarını karmaşıklaştırarak uyumsuzluk ve olası cezaları riske atmaktadır.

MITRE ATT&CK

• İlk Erişim (TA0001): Yetkisiz erişim kazanmak için yanlış yapılandırmalardan veya eski güvenlik ayarlarından yararlanma (örneğin, T1190 - Exploit Public-Facing Application, T1133 - Dış Uzak Hizmetler).
• Savunmadan Kaçınma (TA0005): Tespitten kaçınmak için parçalanmış kural kümelerinden ve merkezi izleme eksikliğinden (örneğin, T1562 - Savunmayı Sakatlama) yararlanma.
• Yanal Hareket (TA0008): İlke boşluklarından veya güncel olmayan segmentasyondan (örneğin, T1021 - Uzak Hizmetler) yararlanarak ağda yanal hareket etme.
• Komut ve Denetim (TA0011): C2 kanallarını (örneğin, T1071 - Uygulama Katmanı Protokolü) oluşturmak ve korumak için izlenmeyen veya yanlış yapılandırılmış ağ yollarını kullanma.

NS-7.1 Ağ güvenliğini merkezi ve etkili bir şekilde yönetme

Azure'ın merkezi araçlarını ve standartlaştırılmış uygulamalarını kullanarak ağ güvenliği yönetimini basitleştirin ve ölçeklendirin, tutarlı zorlama, düşük yanlış yapılandırma ve gelişmiş izleme sağlayın. Merkezi ilke uygulama, güvenlik duvarı ve yönlendirme yönetimini standartlaştırma, kapsamlı izleme ve analiz olanağı sağlama ve idare uygulamaları aracılığıyla kaynak tutarlılığını koruma:

• Merkezi ilke uygulama: Azure Sanal Ağ Yöneticisi'ni (AVNM) kullanarak abonelikler ve bölgeler arasında tutarlı bir şekilde uygulanan Güvenlik Yöneticisi Kuralları tanımlayın. İş yükü düzeyinde mikro segmentlere ayırma için NSG'leri koruyun. İlkeleri ağ grupları aracılığıyla uygulayın (örn. ortama göre: üretim, üretim dışı).

• Güvenlik duvarı ve yönlendirme yönetimini standartlaştırın: Güvenlik Duvarı İlkesi nesneleriyle Güvenlik Duvarı Yöneticisi aracılığıyla Azure Güvenlik Duvarı kurallarını yönetin. Ham IP'ler yerine IP Grupları ve Hizmet Etiketleri'ne göre standartlaştırın. TLS incelemesi, IDPS ve URL filtrelemenin gerekli olduğu Azure Güvenlik Duvarı Premium'ları kullanın. Yönlendirme amacını tutarlı bir şekilde zorlamak için Sanal WAN güvenli merkezlerini veya paylaşılan merkez-uç topolojisini tercih edin.

• Kapsamlı izleme ve analiz olanaklarını etkinleştirin: Sanal ağ akış günlükleri v2 kullanın (NSG akış günlüklerini değiştirmek için). Azure Güvenlik Duvarı tanılama günlüklerini etkinleştirin ve Trafik Analizi, Log Analytics ve Microsoft Sentinel ile tümleştirin. Kullanılmayan veya yinelenen kuralları ortadan kaldırmak için Güvenlik Duvarı İlkesi Analizi'ni ve kural isabet sayılarını kullanın.

• Kaynak tutarlılığını ve idareyi koruyun: Tüm sanal ağlara, NSG'lere, güvenlik duvarı kurallarına ve gruplara CAF adlandırma kurallarını ve zorunlu kaynak etiketlerini uygulayın. Fazla izinli kuralları geliştirmek için Bulutun Uyarlamalı Ağ Sağlamlaştırması için Defender'ı kullanın.

Uygulama örneği

Kullanım örneği: Çok bölgeli ödeme platformu ağ güvenliğini büyük ölçekte birleştirir

Bağlam: Bir kiracı altında 4 aboneliği (Prod, Üretim Dışı, Paylaşılan Hizmetler, SecOps) olan Doğu ABD ve Batı Avrupa'da çalışan orta ölçekli bir ödeme işlemcisi PCI-DSS segmentlere ayırmaya, kural kaymasından kaynaklanan daha az olaya ve merkezi izlemeye ihtiyaç duyar.

Azure Sanal Ağ Yöneticisi ile merkezi politika uygulama:

• Tasarım: Yönetim grubu düzeyinde AVNM oluşturun. İki Ağ Grubu tanımlayın: ng-prod ve ng-nonprod, subscriptionId etiketine göre dinamik üyelik ile. NSG'lerden önce değerlendirilen kurumsal güvenceleri zorunlu kılmak için Güvenlik Yöneticisi Kuralları (SAR'lar) yazın: Deny-Inbound-Internet-to-Spokes (İnternet'ten tüm uç alt ağlarına istenmeyen gelen trafiği engeller), Allow-Hub-Infra (merkez hizmetlerine izin verir - Güvenlik Duvarı/Bastion - uçlara), Allow-Platform-DNS (merkez çözümleyicilerinden uçlara DNS trafik izin verir).
• Uygulama ekibi sınırları: İş yükleri, mikro segmentasyon için NSG'lerin her bir bağlantı noktasında tutulmasını sağlar (örneğin, web üzerinden api'ye :443, api'den veritabanına :1433). NSG değişiklikleri uygulama ekiplerine aittir; SAR'ler platform güvenlik ekibine aittir.
• Sonuç: Korumalar her iki bölgede de tutarlıdır; bir NSG yanlış yapılandırılmış olsa bile uygulama ekipleri yanlışlıkla doğrudan İnternet erişimi oluşturamaz.

Güvenlik Duvarı Yöneticisi ve Sanal WAN ile güvenlik duvarı ve yönlendirme yönetimi:

• Tasarım: Her bölgede (Doğu ABD, Batı Avrupa) Sanal WAN güvenli hub'ları dağıtın. Uçları en yakın hub'a ekleyin ve tüm İnternet çıkışlarının denetlenmesi için yönlendirme amacını etkinleştirin. Ortam ayarlarının geçersiz kılınması için Global Güvenlik Duvarı İlkesi (Katman: Premium) ve iki alt ilke (Prod/Non-Prod) ile Firewall Manager'ı kullanın.
• İlke yapısı: Temel (genel) ilke, Uyarı + Reddetme olarak ayarlanmış Tehdit İstihbaratı, giden HTTPS için etkinleştirilmiş TLS incelemesi, dengeli modda açık IDPS, iş ortağı uç noktaları için Hizmet Etiketleri (Depolama, KeyVault, AzureMonitor) ve IP Grupları kullanan giden izin kuralları içerir. Prod çocuk ilkesi, daha sıkı URL filtrelemesi (kategorize edilmemiş URL'leri engelleme) ve IP Grupları üzerinden ödeme ağ geçitlerine izin listesi sağlar. Prod Dışı Alt Politika, Hizmet Etiketleri (AzureDevOps, AzureContainerRegistry) aracılığıyla geliştirme araçlarına daha geniş erişime sahiptir.
• Sonuç: Her iki hub'a da yayılan değişikliklerle kuralları yönetmek için tek bölme. Yönlendirme tutarlıdır ve izin verildiğinde tüm çıkış TLS şifre çözme ile incelenir.

Akış Günlükleri v2 ve Sentinel ile izleme ve analiz:

• Telemetri kurulumu: Tüm sanal ağlarda Sanal Ağ Akış Günlükleri v2'yi etkinleştirin ve SecOps aboneliğindeki merkezi bir Log Analytics çalışma alanına gönderin. Azure Güvenlik Duvarı tanılama günlüklerini (Uygulama, Ağ, DNS, ThreatIntel, IDPS) aynı çalışma alanında yapılandırın. Çalışma alanında Trafik Analizi'ni açın.
• İyileştirme döngüsü: Güvenlik Duvarı İlkesi Analizi'ni etkinleştirin ve kural isabet sayılarını aylık olarak gözden geçirin. Akış günlüklerini (kuzey-güney ve doğu-batı), güvenlik duvarı izin verme/reddetme isabetlerini ve tetiklenen IDPS imzalarını ilişkilendiren bir Sentinel çalışma kitabı oluşturun. Bir kuralın 45 gün boyunca 0 isabeti varsa (kaldırma adayı) veya bir reddetme kuralına üretim alt ağı (olası yanlış yönlendirme) isabet ederse değişiklik isteğini otomatikleştirin.
• Sonuç: İki gözden geçirme döngüsünden sonra 18% güvenlik duvarı kuralı ve 22 eski NSG kuralı kaldırılarak kural değerlendirme gecikmesi ve değişiklik riski azaltılır.

CAF ve Bulut için Defender ile kaynak tutarlılığı ve idaresi:

• Standart: CAF adlandırmasını (ör. vnet-prd-eus-01, nsg-prd-eus-web-01, azfw-policy-global-01) ve zorunlu etiketleri uygulayın: env, owner, dataClass, costCenter.
• Zorlama: Azure İlkesi girişimlerini kullanarak her alt ağda NSG gerektirebilir, merkezi LA çalışma alanına sanal ağlarda ve Güvenlik Duvarında tanılama ayarları gerektirebilir ve zorunlu etiketler olmadan oluşturulmasını reddedebilirsiniz. Bulut için Defender'ı etkinleştirme - SecOps CAB'de gözden geçirilmiş haftalık eylem öğeleriyle tüm uçlarda Uyarlamalı Ağ Sağlamlaştırma.
• Sonuç: Platform kayması hızlı bir şekilde ortaya çıkar; fazla izin verme kuralları, Defender'ın veri odaklı önerileri kullanılarak sıkılaştırılır.

Dağıtım sırası ve kabul ölçütleri:

• vWAN güvenli hub'ları oluşturun, uçları bağlayın, yönlendirme amacını etkinleştirin (yalnızca pilot uçlar için). Kabul ölçütleri: Pilot ağ uzantıları güvenlik duvarı üzerinden çıkış yapmalıdır; doğrudan erişilebilecek genel IP'ler olmamalıdır.
• AVNM SAR'ları ng-nonprod'a dağıtın, aksama olmadığını doğrulayın ve ardından ng-prod'a dağıtın. Kabul ölçütleri: Yapay araştırmalar merkez hizmetlerinin (DNS/Bastion) hala uçlara ulaştığını doğrular; gelen İnternet erişimi reddedilir.
• vNet Akış Günlükleri v2'yi ve tüm güvenlik duvarı tanılamalarını etkinleştirin; sentinel çalışma kitabını ekleyin. Kabul ölçütleri: Gösterge panolarında bölgelere göre akışlar, reddedilmeler ve IDPS isabetleri gösterilir.
• İlke girişimlerini uygulama; uyumlu olmayan öğeleri düzeltme; Uyarlamalı Sağlamlaştırma'yı etkinleştirin. Kabul ölçütleri: Uyumluluk %95'e ulaşır; NSG/güvenlik duvarı sıkılaştırma öğeleri için bir birikim oluşturulur.
• İlk İlke Analizi incelemesi; değiştirme penceresi aracılığıyla kullanılmayan kuralları kaldırın. Kabul ölçütleri: Müşteri etkisi sıfır olan kural sayısı 15% azaltıldı.

Operasyonel çalışma kitabı örnekleri:

• Azure Virtual Network Manager SARs: Gelen trafiği uçlara reddet (Öncelik 100), Merkez altyapısından uçlara izin ver (Öncelik 200: src 10.0.0.0/16 merkez aralıkları)
• Güvenlik Duvarı İlkesi yapısı: azfw-policy-global-01 (Premium) kural koleksiyonlarına sahip Allow-Azure-Platform-ST (Hizmet Etiketleri) ve allow-Partners-IPs (IP Grupları: ipg-payment-gws), ayrıca azfw-policy-prd-01 ve azfw-policy-npd-01 alt ilkeleri
• Tanılama: Hedef: law-secops-01, Kategoriler: AZFWApplicationRule, AZFWNetworkRule, AZFWIDPS, AZFWThreatIntel, AZFWDnsProxy, FlowLogV2

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: CM-2, CM-3, CM-6, CA-7, SI-4
• PCI-DSS v4: 1.4.5, 11.5.1, 12.4.1
• CIS Kontrolleri v8.1: 4.1, 4.2, 12.4, 13.6
• NIST CSF v2.0: PR.IP-01, DE.CM-01, DE.CM-07
• ISO 27001:2022: A.8.9, A.8.32, A.5.37
• SOC 2: CC6.6, CC7.2, CC8.1

NS-8: Güvenli olmayan hizmetleri ve protokolleri algılama ve devre dışı bırakma

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: NS-8.

Güvenlik ilkesi

İşletim sistemi, uygulama veya yazılım paketi katmanında güvenli olmayan hizmetleri ve protokolleri bulun ve devre dışı bırakın. Güvenli olmayan hizmetleri ve protokolleri devre dışı bırakmak mümkün değilse telafi denetimleri dağıtın.

Azaltma riski

Tehdit aktörleri güvenli olmayan ve savunmasız hizmetlerden ve protokollerden yararlanarak sistemleri ve verileri tehlikeye atabilir.

• Şifreleme Zayıflığı Sömürüsü: SSL/TLSv1 ve zayıf şifreleyiciler (örn. RC4, DES), MITM saldırılarına (örn. POODLE, BEAST) karşı savunmasızdır ve saldırganlara padding oracle veya seçilen şifreleme metni saldırıları yoluyla oturum belirteçleri gibi hassas verilerin şifresini çözme olanağı verir.
• Protokol Açıklarından Yararlanarak Yetkisiz Erişim: SSHv1 ve SMBv1 güvenlik açıkları (örneğin, CVE-2001-1473, CVE-2017-0144/EternalBlue) uzaktan kod yürütülmesine veya kimliği doğrulanmamış erişime izin verir ve bu da ilk dipnotları etkinleştirir.
• Kimlik Bilgisi Hırsızlığı: LM/NTLMv1 ve wDigest zayıf karmaları veya düz metin kimlik bilgilerini saklar; pass-the-hash veya bellek kazıma saldırılarına karşı savunmasızdır (örn. Mimikatz kullanılarak LSASS verilerinin ayıklanması).
• YanAl Hareket: SMBv1'in şifrelenmemiş oturumları ve açıklarından (örneğin, EternalBlue) yararlanma, ağlar arasında kötü amaçlı yazılım yayılımı ya da kimlik bilgisi aktarımı sağlar.

MITRE ATT&CK

• İlk Erişim (TA0001): Ssl/TLSv1 veya SSHv1 gibi, protokol düşürme saldırılarına veya bilinen açıklardan yararlanmalara karşı savunmasız olan ve yetkisiz girişi engelleyen (örneğin, T1190 - Exploit Public-Facing Uygulaması) güvenli olmayan protokollerin kötüye kullanımları.
• Kimlik Bilgisi Erişimi (TA0006): Kimlik bilgilerini ters çevrilebilir biçimlerde veya zayıf karmalarda depolayan LM/NTLMv1 ve wDigest'i kullanarak kimlik bilgisi hırsızlığı, karma geçişi veya bellek kazıma işlemini (örneğin, T1003 - İşletim Sistemi Kimlik Bilgisi Dökümü) engelleme.
• Yan Hareket (TA0008): EternalBlue gibi saldırılara karşı savunmasız SMBv1 üzerinden saldırgan hareketlerini engelleyerek ağlar arasında yayılmayı önler (örneğin, T1021 - Uzak Hizmetler).

NS-8.1 Güvenli olmayan hizmetleri ve protokolleri algılama ve devre dışı bırakma

Azure ortamınızda güvenli olmayan hizmetleri ve protokolleri bulmak ve azaltmak için Microsoft Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabı'nı kullanın. Bu çalışma kitabı SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Kerberos'taki zayıf şifrelemeler ve imzasız LDAP bağlamaları gibi uygun güvenlik standartlarını karşılamayan protokollerin ve hizmetlerin kullanımını tanımlar. Tanımlamadan sonra bu güvenli olmayan protokolleri ve hizmetleri devre dışı bırakın. Devre dışı bırakmak uygun olmadığında, saldırı yüzeyini azaltmak için telafi denetimleri uygulayın.

Güvenli olmayan protokolleri keşfedin: Ortamınızda SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, zayıf Kerberos şifreleri ve imzasız LDAP bağlamalarının kullanımını belirlemek için Microsoft Sentinel'in Güvenli Olmayan Protokol Çalışma Kitabı'nı kullanın.

Güvenli olmayan hizmetleri ve protokolleri devre dışı bırakın: Güvenlik açıklarını ortadan kaldırmak için uygun güvenlik standartlarını karşılamayan, belirlenen güvenli olmayan hizmetleri ve protokolleri devre dışı bırakın.

Telafi denetimleri uygulayın: İş gereksinimleri veya teknik kısıtlamalar nedeniyle güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse, saldırı yüzeyini azaltmak için ağ güvenlik grupları, Azure Güvenlik Duvarı veya Azure Web Uygulaması Güvenlik Duvarı aracılığıyla kaynaklara erişimi engelleme gibi telafi denetimlerini kullanın.

Uygulama örneği

Sağlık kuruluşlarının HIPAA uyumluluk gereksinimlerini karşılamak ve korumalı sağlık bilgileri için saldırı yüzeyini azaltmak için Azure ortamlarında güvenli olmayan protokolleri ortadan kaldırması gerekiyordu.

Sorun: Kuruluş, Azure üzerinde barındırılan kaynaklara bağlanması gereken eski uygulamalara sahip karma bir altyapı çalıştırıyordu. Güvenlik değerlendirmesi hasta portallarına hizmet veren web sunucularında SSL/TLSv1.0, eski tıbbi görüntüleme yazılımları için dosya sunucularında etkinleştirilen SMBv1, etki alanı denetleyicilerinde ve uygulama sunucularında LM/NTLMv1 kimlik doğrulaması, kimlik bilgilerini geri döndürülebilir biçimde depolayacak wDigest kimlik doğrulaması, Active Directory denetleyicilerinde imzalanmamış LDAP bağlamaları ve hizmet hesaplarında zayıf Kerberos şifrelemesi gibi güvenli olmayan protokollerin yaygın olarak kullanımını ortaya koydu. Kuruluş, protokol kullanımıyla ilgili görünürlük sağlamadı ve olası HIPAA uyumluluk ihlalleriyle karşılaştı.

Çözüm:

• Sentinel Güvenli Olmayan Protokol Çalışma Kitabı dağıtımı:Microsoft Sentinel'i dağıttı ve içerik hub'ından Güvenli Olmayan Protokol Çalışma Kitabı'nı , Windows Güvenlik Olayı günlükleri, Azure İzleyici günlükleri, Active Directory günlükleri ve ağ akış günlükleri gibi bağlı veri kaynaklarını yükleyerek karma ortam genelinde güvenli olmayan protokol kullanımının kapsamlı bir temelini oluşturdu.

• Protokol bulma: Web sunucularında SSL/TLSv1.0 kullanımını, eski tıbbi görüntüleme iş istasyonlarından gelen SMBv1 trafiğini, LM/NTLMv1 kimlik doğrulama desenlerini, Windows sunucularında wDigest'i etkinleştiren wDigest'i, eski uygulamalardan imzasız LDAP bağlamalarını ve hizmet hesaplarında zayıf RC4 Kerberos şifrelemesini tanımlamak için Güvenli Olmayan Protokol Çalışma Kitabı kullanıldı.

• Sistematik protokolü devre dışı bırakma: Değişiklik danışma panosu aracılığıyla doğrulanan aşamalı düzeltme planı oluşturuldu, hasta portalı kullanıcılarının TLS 1.2+ destekleyen modern tarayıcıları çalıştırdığından emin olduktan sonra web sunucularında TLSv1.0/1.1'i devre dışı bırakmış, tıbbi görüntüleme satıcısı yazılım yükseltmeleriyle koordine olduktan sonra SMBv1'i devre dışı bırakmış, ETKI alanı denetleyicilerini NTLMv1'den NTLMv2 kimlik doğrulamasına geçirmiş, Grup İlkesi aracılığıyla wDigest'i devre dışı bırakmış, etki alanı denetleyicilerinde LDAP imzalamayı zorunlu kılmış ve hizmet hesabı Kerberos şifrelemesini AES256'ya yükseltti.

• Özel durumlar için telafi denetimleri: Geçici güvenli olmayan protokol desteği gerektiren sistemler için, eski tıbbi görüntüleme iş istasyonları için SMBv1 gerektiren yalıtılmış VLAN, SMBv1 trafiğini yalnızca yalıtılmış VLAN'a kısıtlayan NSG kuralları, üretim alt ağlarından giden SMBv1'i reddeden Azure Güvenlik Duvarı, eski İK uygulamaları için özel atlama sunucusu ve onaylı özel alt ağlar dışında protokol kullanımını bayraklayarak Uç Nokta için Defender aracılığıyla gelişmiş izleme gibi ağ tabanlı telafi denetimleri uygulandı.

• Sürekli izleme: Onaylanmış özel durumlar dışındaki yeni güvenli olmayan protokol bağlantıları için uyarıları tetikleyen Microsoft Sentinel analiz kuralları, TLS 1.2 en düşük gereksinimi olmadan dağıtımı reddeden Azure İlkesi ve haftalık Güvenli Olmayan Protokol Çalışma Kitabı gözden geçirmeleri düzeltme ilerleme durumunu tetikleyerek devam eden protokol hijyeni oluşturuldu.

Sonuç: Hasta portallarında zayıf TLS bağlantıları ortadan kaldırıldı. SMBv1, tıbbi görüntüleme yükseltmelerinden sonra devre dışı bırakılarak EternalBlue güvenlik açığı ortadan kaldırıldı ve HIPAA uyumluluğu sağlandı. NTLMv1, NTLMv2'ye geçerek hash iletme saldırılarını engelledi. wDigest, azaltılmış kimlik bilgisi hırsızlığını devre dışı bırakmış. LDAP imzalaması imzasız sorguları engelledi. Kerberos, AES256'ya yükselterek Kerberoasting riskini azaltır. Telafi denetimleri, sıfır yanal hareket içeren eski sistemler içeriyordu. Tam HIPAA uyumluluğu sağlandı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SC-8, SC-8(1), SC-13, IA-5(1)
• PCI-DSS v4: 2.2.4, 4.2.1, 6.2.4
• CIS Denetimleri v8.1: 4.8, 9.3, 13.4
• NIST CSF v2.0: PR. DS-02, PR. IP-01, DE. CM-04
• ISO 27001:2022: A.8.24, A.8.26, A.5.14
• SOC 2: CC6.1, CC6.7, CC7.1

NS-9: Şirket içi veya bulut ağına özel olarak bağlanma

Güvenlik ilkesi

Bulut hizmeti sağlayıcısı veri merkezleri ve ortak konum ortamındaki şirket içi altyapı gibi farklı ağlar arasında güvenli iletişim için özel bağlantıları kullanın.

Azaltma riski

Veriler genel ağlar üzerinden hareket ettiğinde, kesintiye, yetkisiz erişime ve kurcalamaya karşı savunmasızdır.

• Veri kesme: Veriler İnternet gibi genel ağlar üzerinden hareket ettiğinde, herhangi biri kötü amaçlı aktörler tarafından ele geçirilebilen veya izlenebilen birden çok yönlendiriciden, anahtardan ve hizmet sağlayıcısından geçer. Saldırganlar, veri paketlerini yakalamak için paket algılama araçlarını (örn. Wireshark) dağıtabilir. Veriler şifrelenmemiş veya zayıf bir şekilde şifrelenmişse oturum açma bilgileri, finansal ayrıntılar veya özel iş verileri gibi hassas bilgiler açığa çıkarılabilir.
• OrtaDaki Adam (MitM) Saldırıları: Bir MitM saldırısında saldırgan, birbirleriyle doğrudan iletişim kurdıklarını düşünen iki taraf arasındaki iletişimi gizlice kesiyor ve potansiyel olarak değiştiriyor. Bu, finansal işlemler veya kimlik doğrulama işlemleri gibi hassas işlemler için ciddi bir tehdit oluşturur.
• Yetkisiz erişim: Genel veya yetersiz güvenlikli ağlar, yetkisiz kullanıcıların özel sistemlere veya kaynaklara erişme veya kurcalama olasılığını artırır. Saldırganlar, dışarıdan erişilemeyen iç altyapıya ulaşmak için ağ zayıflıklarından yararlanabilir.

MITRE ATT&CK

• İlk Erişim (TA0001): Şifrelenmemiş veya zayıf şifrelenmiş protokollerin (http veya güncel olmayan TLS sürümleri gibi) paket algılama veya MitM saldırılarına karşı savunmasız olması, sistemlere yetkisiz girişe olanak sağlaması (örneğin, T1190 - Exploit Public-Facing Uygulaması).
• Kimlik Bilgisi Erişimi (TA0006): Kesilen ağ trafiği aracılığıyla kimlik bilgilerinin çalınması, düz metin protokollerinden yararlanma (ör. Telnet veya FTP) veya şifre çözmeye duyarlı zayıf şifreleme, yetkisiz erişimi kolaylaştırma (örneğin, T1040 - Ağ Algılama).
• Lateral Hareket (TA0008): Yanlış yapılandırılmış veya kullanıma sunulan hizmetlerden (ör. güncellenmemiş RDP veya SMB) yararlanarak ağ içinde yayılma, saldırganların çalınan kimlik bilgilerini veya güvenlik açıklarını (ör. T1021 - Uzak Hizmetler) kullanarak manevralarına olanak tanır.

NS-9.1 Basit siteden siteye veya noktadan siteye bağlantı için Azure sanal özel ağı (VPN) kullanın

Basit bağlantı senaryoları için şirket içi siteler veya son kullanıcı cihazları ile Azure sanal ağları arasında güvenli, şifreli bağlantılar oluşturmak için Azure sanal özel ağı (VPN) kullanın. Azure VPN, ayrılmış altyapı gerektirmeden siteden siteye bağlantı (tüm ağları bağlama) veya noktadan siteye bağlantı (tek tek cihazları bağlama) için uygun maliyetli bir çözüm sağlar:

• Siteden siteye VPN dağıtma: Şirket içi ağınızı Azure sanal ağına güvenli bir şekilde bağlamak ve şirket içi kaynaklar ile Azure iş yükleri arasında sorunsuz iletişim sağlamak için siteden siteye VPN kullanın.

• Noktadan siteye VPN dağıtma: Tek tek son kullanıcı cihazlarının (dizüstü bilgisayarlar, iş istasyonları) uzak konumlardan Azure sanal ağına güvenli bir şekilde bağlanmasını sağlamak için noktadan siteye VPN kullanın.

NS-9.2 Kurumsal düzeyde yüksek performanslı bağlantılar için Azure ExpressRoute (veya Sanal WAN) kullanma

Ortak konum ortamlarında Azure veri merkezleri ve şirket içi altyapı arasında özel, yüksek performanslı, düşük gecikme süreli bağlantılar kurmak için Azure ExpressRoute veya Azure Sanal WAN kullanın. Bu kurumsal sınıf çözümler, tutarlı bağlantı gerektiren görev açısından kritik iş yükleri için ayrılmış bant genişliği, öngörülebilir performans ve gelişmiş güvenlik sağlayarak genel İnternet'i atlar:

• Ayrılmış özel bağlantı için ExpressRoute'u dağıtın: Azure ExpressRoute'u kullanarak bir bağlantı sağlayıcısı aracılığıyla şirket içi altyapınızla Azure veri merkezleri arasında özel bir bağlantı oluşturun ve kurumsal iş yükleri için ayrılmış bant genişliği ve öngörülebilir gecikme süresi sağlayın.

• Genel bağlantı için Sanal WAN dağıtma: Tümleşik güvenlik ve yönlendirme özelliklerine sahip birleşik bir merkez-uç mimarisi aracılığıyla birden çok siteyi, dalı ve Azure bölgesini bağlayan genel bir ağ oluşturmak için Azure Sanal WAN'ı kullanın.

NS-9.3 Sanal ağları birleştirmek için VNet veya alt ağ eşleştirmesini kullanın

Trafiği genel İnternet üzerinden yönlendirmeden Azure sanal ağları arasında özel bağlantı kurmak için sanal ağ eşlemesini veya alt ağ eşlemesini kullanın. Eşlenen sanal ağlar arasındaki ağ trafiği Azure omurga ağında kalır ve şifreleme yükü olmadan düşük gecikme süreli, yüksek bant genişliğine sahip bağlantılar sağlar. Tam sanal ağ bağlantısı gereksiz olduğunda alt ağ eşlemesini seçerek yalnızca belirli alt ağlara maruz kalma olasılığını sınırlayın:

• Sanal ağ eşlemesini dağıtma: Azure sanal ağlarının tamamını bağlamak için sanal ağ eşlemesini kullanarak farklı sanal ağlardaki kaynakların aynı ağdaymış gibi özel olarak iletişim kurmasını sağlayın.

Uygulama örneği

Çok uluslu bir finansal hizmetler kuruluşu, şirket içi veri merkezleri, şubeler ve Azure bulut kaynakları arasında güvenli ve yüksek performanslı bağlantıya ihtiyaç duyarken hassas finansal işlemler için genel İnternet'e açıklığı ortadan kaldırmıştı.

Göz önünde bulundurulması gereken durum: Kuruluş, finansal işlemler ve müşteri verilerini işleyen Azure'a ev sahipliği yapan uygulamalara bağlantı gerektiren, küresel çapta şubeleri olan birden fazla yerinde veri merkezi işletmekteydi. İlk mimaride İnternet üzerinden siteden siteye VPN kullanıldı, öngörülemeyen gecikme süresi, yoğun işlem saatlerinde bant genişliği sınırlamaları, şifrelemeye rağmen genel İnternet'ten geçen finansal verilerle ilgili güvenlik endişeleri ve PCI-DSS ve GDPR için özel bağlantı oluşturma uyumluluk gereksinimleri kullanıldı. Noktadan siteye VPN aracılığıyla bağlanan uzak çalışanlar tutarsız performans ve kimlik doğrulama sorunlarıyla karşılaşmıştır. Farklı Azure bölgelerindeki uygulamalar, şirket içi hub'lar üzerinden yönlendirme olmadan düşük gecikme süreli bölgeler arası iletişim gerektirir.

Çözüm:

• Birincil veri merkezi bağlantısı için ExpressRoute: ExpressRoute bağlantı sağlayıcılarıyla ortak konum tesisleri aracılığıyla birincil veri merkezlerinde Azure ExpressRoute devreleri dağıtıldı, tutarlı düşük gecikme süresiyle Azure omurga ağına özel Katman 3 bağlantısı kurularak, Azure PaaS hizmetleri için Microsoft eşlemesi ile ExpressRoute yapılandırıldı ve sanal ağ tarafından barındırılan kaynaklar için özel eşleştirme, yüksek erişilebilirlik ve otomatik yük devretme için etkin-etkin yapılandırma ile BGP yönlendirmesi uygulandı.

• Şube ofisi bağlantısı için siteden siteye VPN: Ortak konum tesis erişimine sahip olmayan şubeler için siteden siteye VPN dağıtıldı, yüksek erişilebilirlik sağlamak için etkin-etkin yapılandırma ile hub VNet'inde VPN Gateway oluşturuldu, finansal sektör güvenlik standartlarını karşılayan güçlü şifreleme kullanılarak IPsec/IKE tünelleri yapılandırıldı, şubelerin en yakın bölgesel hub'a bağlanmasına olanak tanıyan dinamik yol seçimi için BGP yönlendirmesi uygulandı ve bakım pencereleri sırasında bağlantıyı sürdüren yedekli tüneller kuruldu.

• Uzak çalışanlar için Site'ye Nokta VPN: Uzak çalışanların Azure'da barındırılan uygulamalara güvenli erişimi için Azure Active Directory kimlik doğrulaması kullanan Site'ye Nokta VPN yapılandırıldı, Azure AD'ye internet erişiminin olmadığı senaryolar için yedek olarak sertifika tabanlı kimlik doğrulaması etkinleştirildi, kullanıcı tanımlı yollarla Azure sanal ağ kaynaklarına yönlendirilmek üzere ayrılmış bir havuzdan istemci IP adresleri atandı, macOS/Linux istemcileri için OpenVPN protokolü ve geniş cihaz uyumluluğu sunan Windows istemcileri için IKEv2/SSTP uygulandı, bölünmüş tünelleme yapılandırıldı, böylece şirket dışı trafik için doğrudan internet erişimine izin verilirken Azure'a yönelik trafik VPN tüneli aracılığıyla yönlendirilerek bant genişliği optimize edildi.

• Küresel ağ bağlantısı için Sanal WAN: Birden fazla bölgede güvenli merkezlerle dağıtılan Azure Sanal WAN ile, küresel geçiş mimarisi sağlanmıştır. Sanal WAN hub'larına bağlanan ExpressRoute devreleri, veri merkezleri ve Azure bölgeleri arasında, şirket içi merkezler üzerinden yönlendirme yapılmaksızın, herhangi bir bağlantıya olanak tanır. Şube ofislerinden en yakın Sanal WAN hub'ına otomatik yönlendirme optimizasyonu ile tümleşik site-to-site VPN bağlantıları gerçekleştirilmiştir. Her Sanal WAN hub'ında etkinleştirilen Azure Güvenlik Duvarı, şubeler, veri merkezleri ve Azure VNets arasındaki trafik için merkezi güvenlik denetimi sağlar. Yapılandırılmış yönlendirme ilkeleri, şube ofislerinin Azure omurgası üzerinden şirket içi veri merkezleriyle iletişim kurmasına olanak tanıyan küresel geçiş yönlendirmesini uygulamaktadır.

• Bölgeler arası Azure bağlantısı için sanal ağ eşlemesi: Uç sanal ağları her bölgedeki Sanal WAN hub sanal ağlarına bağlayan sanal ağ eşlemesi uygulandı, Azure omurgası üzerinde düşük gecikme süresi sağlayan bölgeler arası uygulama bağlantısı için genel sanal ağ eşlemesi etkinleştirildi, uç sanal ağların ek ağ geçitleri dağıtmadan Sanal WAN hub VPN/ExpressRoute ağ geçitlerini kullanmasına olanak tanıyan yapılandırılmış ağ geçidi geçişi ile maliyet ve karmaşıklık azaltıldı, eşlenen sanal ağlar arasındaki trafik akışını denetleyen uç alt ağlarında ağ güvenlik grupları uygulandı, en az ayrıcalıklı erişimi sağladı.

• ExpressRoute devrelerinin yapılandırılması, toplu veri aktarımları yerine finansal işlem trafiğine öncelik tanıyan QoS işaretleri ile yapılmıştır. Bağlantı İzleyicisi, gecikme süresi, paket kaybı ve kullanılabilirlik izlemesini etkinleştirdi ve ExpressRoute devreleri ile VPN bağlantıları için performans düşüşlerine ilişkin uyarılar sağlar. Anlık bant genişliği kullanımını, bağlantı durumunu ve yük devretme olaylarını gösteren genel bağlantı topolojisi, Azure İzleyici çalışma kitapları ile görselleştirilmiştir. Eşik ihlalleri için otomatik uyarılarla kabul edilebilir performans seviyeleri belirlenmiştir.

Sonuç: PCI-DSS gereksinimlerini karşılayan tüm finansal işlemler için özel bağlantı sağlanmıştır. ExpressRoute, gerçek zamanlı alım satım için tutarlı düşük gecikme süresi sağladı. Sanal WAN, daldan veri merkezine gecikme süresini önemli ölçüde azaltmış. Uzak çalışanlar, gelişmiş kimlik doğrulaması ile noktadan siteye VPN aracılığıyla başarıyla bağlandı. Genel sanal ağ eşlemesi, bölgeler arası olağanüstü durum kurtarmayı verimli bir şekilde etkinleştirdi. Sanal WAN birleştirmesi ile maliyet iyileştirmesi elde edilir.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SC-7, SC-7(4), SC-8
• PCI-DSS v4: 1.2.1, 2.2.7, 4.2.1
• CIS Denetimleri v8.1: 12.8, 13.8
• NIST CSF v2.0: PR. AC-05, PR. DS-02
• ISO 27001:2022: A.8.21, A.8.22, A.5.14
• SOC 2: CC6.6, CC6.7

NS-10: Etki Alanı Adı Sistemi (DNS) güvenliğini sağlama

Güvenlik ilkesi

Etki Alanı Adı Sistemi (DNS) güvenlik yapılandırmasının bilinen risklere karşı koruduğuna emin olun:

• İstemcinin (işletim sistemleri ve uygulamalar gibi) doğru çözüm sonucunu aldığından emin olmak için bulut ortamınızda güvenilen yetkili ve özyinelemeli DNS hizmetlerini kullanın.
• Özel ağ için DNS çözümleme işleminin genel ağdan yalıtılabilmesi için genel ve özel DNS çözümlemesini ayırın.
• DNS güvenlik stratejinizin sallanan DNS, DNS yansıma saldırıları, DNS zehirlenmesi ve aldatma gibi yaygın saldırılara karşı risk azaltmaları da içerdiğinden emin olun.

Azaltma riski

Tehdit aktörleri DNS hizmetlerine saldırır veya güvenlik açığı bulunan DNS hizmetlerinden yararlanarak uygulamaların güvenliğini ihlal eder ve trafiği yeniden yönlendirir.

• DNS sahtecilik/zehirleme: Saldırganlar, istemcileri kimlik avı veya veri kesme amacıyla kötü amaçlı sunuculara yönlendirmek için DNS yanıtlarını taklit eder veya çözümleyici önbelleklerini kirleterek (örneğin, Kaminsky saldırısı) bozar.
• DNS amplification saldırıları: Saldırganlar, yanlış yapılandırılmış DNS sunucularından yararlanarak DDoS trafiğini artırır (örneğin, 60 baytlık bir sorgu 4.000 baytlık bir yanıt döndürüyor) ve bu da hedef ağları bunaltır.
• Asılı DNS açıklarından yararlanma: Asılı kalan kayıtlar (örneğin, eski CNAME'ler), saldırganların devre dışı bırakılmış kaynakları ele geçirmesine ve trafiği kimlik avı veya kötü amaçlı yazılım için zararlı uç noktalarına yönlendirmesine olanak sağlar.
• DNS tüneli aracılığıyla veri sızdırma: Kötü niyetli aktörler, güvenlik duvarlarını atlayarak hassas bilgileri gizli olarak dışarı aktarmak için DNS sorgularındaki verileri (örneğin, data.exfil.evil.com) kodlar.
• Kimlik avı/kötü amaçlı yazılım teslimi: Güvenliği aşılmış çözümleyiciler, yasal etki alanlarını saldırgan denetimindeki IP'lere yönlendirerek kimlik avı sayfalarını veya kötü amaçlı yazılımları, istenmeyen istemcilere teslim eder.

MITRE ATT&CK

• Komut ve Kontrol (TA0011): Sorgulardaki C2 komutlarını kodlamak (örneğin, data.exfil.evil.com) veya kötü amaçlı sunuculara bağlanmak üzere çözümlemeleri sahtecilikle yönlendirmek için DNS tünelleme kullanın (örneğin, T1071.004 - Uygulama Katmanı Protokolü: DNS).
• Koleksiyon (TA0009): Kullanıcıları kimlik avı sitelerine yönlendirmek veya tünel yoluyla veri sızdırmak için DNS kimlik sahtekarlığı yaparak (örneğin, T1040 - Ağ Algılama) veri toplayın.
• Etki (TA0040): DNS amplification saldırıları, büyük yanıtlar oluşturmak için küçük sorgular gönderme, hizmet kullanılabilirliğini kesintiye uğratma (örneğin, T1498.002 - Ağ Hizmet Reddi: Yansıma Yükseltme).
• İlk Erişim (TA0001): Kötü amaçlı yazılım/kimlik avı sağlamak ve sistemlere giriş kazanmak için hatalı DNS kayıtlarından veya sahte çözümlerden yararlanma (örneğin, T1190 - Genel Erişimli Uygulamayı Kötüye Kullanma).

NS-10.1 Güvenilen DNS hizmetini kullan

İstemcilerin doğru çözüm sonuçlarını aldığından emin olmak ve DNS tabanlı saldırılara karşı koruma sağlamak için güvenilen DNS hizmetlerini kullanın. Azure, işletim sistemi veya uygulama düzeyinde iş yükü DNS çözümlemesi için özyinelemeli DNS hizmetini 168.63.129.16 (genellikle DHCP aracılığıyla atanır veya önceden yapılandırılmış olarak atanır) sağlar. Alternatif olarak, güvenilen dış DNS sunucularını kullanın. Azure DNS, kendi etki alanlarını barındıran kuruluşlar için güvenilir yetkili DNS barındırma hizmeti sunar. Özel DNS sunucuları oluşturan kuruluşların NIST SP 800-81 Rev. 3 güvenli dağıtım yönergelerine uyması gerekir:

• Azure özyinelemeli DNS veya güvenilen dış DNS kullanın: Güvenilir ad çözümlemesi sağlamak için iş yüklerini, VM işletim sistemlerinde veya uygulama DNS ayarlarında Azure özyinelemeli DNS (168.63.129.16) veya güvenilen dış DNS sunucuları kullanacak şekilde yapılandırın.

• Güvenlik duvarı kurallarında Azure DNS'ye izin ver: Güvenlik duvarına 168.63.129.16 ekleyip NSG izin listeleri ekleyerek Azure kaynakları için uygun DNS işlevselliğini sağlayın.

• Azure DNS'de etki alanlarını barındırın: Yetkili DNS gereksinimleri için güvenilir ve ölçeklenebilir DNS barındırma sağlamak amacıyla Azure DNS'yi kullanın (not: Azure DNS, etki alanı kayıt hizmeti sağlamaz).

• Güvenli DNS dağıtım yönergelerini izleyin: Özel DNS sunucuları oluşturuyorsanız, en iyi güvenlik uygulamalarını uygulamak için NIST SP 800-81 Rev. 3 Güvenli Etki Alanı Adı Sistemi (DNS) Dağıtım Kılavuzu'nu izleyin.

NS-10.2 Sanal ağda Özel DNS kullanma

DNS çözümlemesinin sanal ağ içinde kaldığı özel DNS bölgeleri oluşturmak için Azure Özel DNS'yi kullanın ve DNS sorgularının genel ağlardan geçmesini engelleyin. Bu, özel DNS bölgelerinin trafiği özel olarak Azure hizmetlerine yönlendirmek için genel DNS çözümlemesini geçersiz kıldığı özel uç nokta yapılandırmaları için gereklidir. Özel DNS çözümleri, çözümlemeyi yalnızca güvenilen kaynaklarla daha da kısıtlayarak özel iş yükleri için güvenliği geliştirebilir:

• Özel çözüm için Azure Özel DNS'yi dağıtma: Azure Özel DNS'yi kullanarak sanal ağ içinde DNS çözümlemesini tutan özel DNS bölgeleri oluşturun ve sorguların ağ sınırınızdan asla ayrılmamasını sağlayın.

• Özel uç noktalar için özel DNS'yi yapılandırın: Genel DNS çözümlemesini geçersiz kılmak ve istemcilerin özel uç nokta FQDN'lerini sanal ağ içindeki özel IP adreslerine çözümlediğinden emin olmak için özel uç noktalar için özel DNS bölgeleri yapılandırın.

• Kısıtlı çözüm için özel DNS uygulama: DNS çözümlemesini istemcileriniz için yalnızca güvenilir çözüm kaynaklarına izin verecek şekilde kısıtlamak için özel DNS sunucularını kullanın ve ad çözümleme güvenliği üzerinde ek denetim sağlayın.

NS-10.3 Gelişmiş koruma için DNS için Defender kullanma

DNS tüneli yoluyla veri sızdırma, komut ve denetim iletişimi, kötü amaçlı etki alanı etkileşimleri (kimlik avı, şifreleme madenciliği) ve kötü amaçlı çözümleyiciler içeren DNS saldırıları gibi gelişmiş DNS tabanlı güvenlik tehditlerini algılamak ve uyarı almak için DNS için Microsoft Defender'ı kullanın. DNS için Defender koruması artık Sunucular için Defender Planı'nda yer alır. Ek olarak, web siteleri devreden çıkarılırken alt alan adı devralmalarına yol açabilecek sarkan DNS kayıtlarını algılamak için Microsoft Defender for App Service'i kullanın.

• DNS için Defender korumasını etkinleştirme: DNS tüneli aracılığıyla veri sızdırma, kötü amaçlı yazılım komut ve denetim iletişimi ve kötü amaçlı etki alanlarıyla etkileşimler dahil olmak üzere şüpheli DNS etkinliğini izlemek ve uyarı almak için DNS için Microsoft Defender'ı (Sunucular için Defender Planı'na dahil) kullanın.

• Kötü amaçlı DNS etkinliğini izleme: İş yükü güvenliğini veya DNS hizmeti kullanılabilirliğini tehlikeye atabilecek kötü amaçlı DNS çözümleyicileri ve DNS saldırıları ile iletişimi algılamak için uyarıları yapılandırın.

• Boşta duran DNS kayıtlarını algılama: App Service web sitelerini hizmetten kaldırırken boşta duran DNS kayıtlarını belirlemek için Microsoft Defender for App Service'i kullanın. Bu, özel etki alanlarının DNS kayıt kuruluşlarından kaldırıldığından emin olarak alt etki alanı devralma saldırılarını önlemeye yardımcı olur.

Uygulama örneği

Zorluk: Bir kuruluşun, güvenilir çözümleme hizmetlerini, iç kaynaklar için özel ağ DNS'ini ve hibrit bulut altyapısı genelinde gelişmiş tehdit algılamayı kapsayan kapsamlı DNS güvenliğine ihtiyacı vardı.

Çözüm yaklaşımı:

• DNS trafiğine izin veren NSG kurallarına sahip tüm Azure VM iş yükleri için Azure özyinelemeli DNS (168.63.129.16) dağıtıldı
• Coğrafi dağıtım ile genel etki alanı çözümlemesi için Azure DNS'de barındırılan yetkili bölgeler
• Üretim VNets'e bağlı özel uç nokta çözümlemesi (privatelink.database.windows.net, privatelink.blob.core.windows.net) için Azure Özel DNS bölgeleri uygulandı.
• Özel uç nokta FQDN'lerinin özel IP'lere çözümlenmesi için Özel DNS tümleştirme yapılandırması yapıldı (örneğin, sqlserver.database.windows.net → 10.0.2.4)
• DNS tüneli, C2 iletişimi ve kötü amaçlı etki alanı etkileşimlerini izlemek için Sunucular için Defender Planı aracılığıyla DNS için Microsoft Defender etkinleştirildi
• Web sitesinin devre dışı bırakılması sırasında boşta kalan DNS kayıtlarını algılamak için Defender for App Service dağıtıldı.

Sonuç: DNS güvenlik uygulaması, iç kaynaklar için gizliliği korurken bulut iş yükleri için güvenilir ad çözümlemesi sağladı. Özel DNS bölgeleri hassas sorguların genel ağlardan geçmesini engellerken, DNS için Defender veri sızdırma girişimleri ve komut ve denetim etkinliği gibi DNS tabanlı tehditlere görünürlük sağlar. Çözüm, kaynağın yaşam döngüsü değişiklikleri sırasında otomatik sahipsiz DNS algılaması yoluyla alt etki alanı devralma risklerini ortadan kaldırdı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

• NIST SP 800-53 Rev.5: SC-7, SI-4, SI-4(4), SI-4(5)
• PCI-DSS v4: 11.5.1, 12.10.1
• CIS Denetimleri v8.1: 8.5, 13.6, 13.8
• NIST CSF v2.0: DE. CM-01, DE. CM-04, DE. AE-02
• ISO 27001:2022: A.8.16, A.8.22, A.5.24
• SOC 2: CC6.1, CC7.2, CC7.3