Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Not
En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.
Ağ güvenlik önerileri hangi ağ protokollerinin, TCP/UDP bağlantı noktalarının ve ağa bağlı hizmetlerin Azure hizmetlerine erişimine izin verileceğini veya erişimin reddedileceğini belirtmeye odaklanır.
1.1: Sanal ağlar içindeki Azure kaynaklarını koruma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Müşteri |
Tüm Sanal Ağ alt ağ dağıtımlarının, uygulamanızın güvenilen bağlantı noktalarına ve kaynaklarına özgü ağ erişim denetimleriyle uygulanmış bir Ağ Güvenlik Grubu olduğundan emin olun. Kullanılabilir olduğunda, sanal ağ kimliğini hizmete genişleterek Azure hizmet kaynaklarınızın güvenliğini sanal ağınıza sağlamak için Özel Bağlantı ile Özel Uç Noktaları kullanın. Özel Uç Noktalar ve Özel Bağlantı kullanılamadığında Hizmet Uç Noktaları'ni kullanın. Hizmete özgü gereksinimler için lütfen ilgili hizmet için güvenlik önerisine bakın.
Alternatif olarak, belirli bir kullanım örneğiniz varsa, Azure Güvenlik Duvarı uygulanarak gereksinim karşılanabilir.
1.2: Sanal ağların, alt ağların ve NIC'lerin yapılandırmasını ve trafiğini izleme ve günlüğe kaydetme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | Müşteri |
Azure'da ağ kaynaklarınızın güvenliğini sağlamaya yardımcı olmak için Azure Güvenlik Merkezi kullanın ve ağ koruma önerilerini izleyin. Trafik denetimi için NSG akış günlüklerini etkinleştirin ve günlükleri depolama hesabına gönderin. Ayrıca Bir Log Analytics Çalışma Alanına NSG akış günlükleri gönderebilir ve Azure bulutunuzda trafik akışıyla ilgili içgörüler sağlamak için Trafik Analizi'ni kullanabilirsiniz. Trafik Analizi'nin bazı avantajları ağ etkinliğini görselleştirme ve sık erişimli noktaları belirleme, güvenlik tehditlerini belirleme, trafik akışı desenlerini anlama ve ağ yanlış yapılandırmalarını belirleme olanağıdır.
1.3: Kritik web uygulamalarını koruma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.3 | 9.5 | Müşteri |
Gelen trafiğin ek denetimi için kritik web uygulamalarının önünde Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. WAF için Tanılama Ayarını etkinleştirin ve günlükleri bir Depolama Hesabına, Olay Hub'ına veya Log Analytics Çalışma Alanına alın.
1.4: Bilinen kötü amaçlı IP adresleriyle iletişimi reddet
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.4 | 12.3 | Müşteri |
DDoS saldırılarına karşı koruma sağlamak için Azure Sanal Ağlarınızda DDoS Standart korumasını etkinleştirin. Bilinen kötü amaçlı IP adresleriyle iletişimi reddetmek için Azure Güvenlik Merkezi Tümleşik Tehdit Bilgileri'ni kullanın.
Tehdit Bilgileri etkin ve kötü amaçlı ağ trafiği için "Uyarı ve reddetme" olarak yapılandırılmış şekilde kuruluşun ağ sınırlarının her birinde Azure Güvenlik Duvarı dağıtın.
NSG'leri, uç noktaların sınırlı bir süre için onaylı IP adreslerine maruz kalmasını sınırlandıracak şekilde yapılandırmak için Azure Güvenlik Merkezi Tam Zamanında Ağ erişimini kullanın.
Bağlantı noktalarını ve kaynak IP'leri gerçek trafik ve tehdit bilgilerine göre sınırlayan NSG yapılandırmaları önermek için uyarlamalı ağ sağlamlaştırma Azure Güvenlik Merkezi kullanın.
Uyarlamalı Ağ Sağlamlaştırmayı Azure Güvenlik Merkezi Anlama
Tam Zamanında Ağ Access Control Azure Güvenlik Merkezi Anlama
1.5: Ağ paketlerini kaydetme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1,5 | 12,5 | Müşteri |
Anormal etkinlikleri araştırmak için Ağ İzleyicisi paket yakalamayı etkinleştirin.
1.6: Ağ tabanlı yetkisiz erişim algılama/yetkisiz erişim önleme sistemlerini (IDS/IPS) dağıtma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.6 | 12.6, 12.7 | Müşteri |
Azure Market yük denetleme özelliklerine sahip IDS/IPS işlevselliğini destekleyen bir teklif seçin. Yük denetimine dayalı yetkisiz erişim algılama ve/veya önleme bir gereksinim değilse Tehdit Analizi ile Azure Güvenlik Duvarı kullanılabilir. Azure Güvenlik Duvarı Tehdit bilgileri tabanlı filtreleme, bilinen kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği uyarır ve reddedebilir. IP adresleri ve etki alanları, Microsoft Tehdit Analizi akışından alınır.
Kötü amaçlı trafiği algılamak ve/veya reddetmek için istediğiniz güvenlik duvarı çözümünü kuruluşunuzun ağ sınırlarının her birine dağıtın.
1.7: Web uygulamalarına trafiği yönetme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.7 | 12.9, 12.10 | Müşteri |
Güvenilen sertifikalar için HTTPS/TLS etkin web uygulamaları için Azure Application Gateway dağıtın.
1.8: Ağ güvenlik kurallarının karmaşıklığını ve yönetim yükünü en aza indirin
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.8 | 1,5 | Müşteri |
Ağ Güvenlik Grupları veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlamak için Sanal Ağ Hizmet Etiketlerini kullanın. Hizmet etiketlerini güvenlik kuralı oluştururken belirli IP adreslerinin yerine kullanabilirsiniz. Bir kuralın uygun kaynak veya hedef alanında hizmet etiketi adını (ör. ApiManagement) belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir.
Karmaşık güvenlik yapılandırmasını basitleştirmeye yardımcı olması için Uygulama Güvenlik Gruplarını da kullanabilirsiniz. Uygulama güvenlik grupları ağ güvenliğini uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza imkan vererek sanal makineleri gruplamanızı ve ağ güvenlik ilkelerini bu gruplara göre tanımlamanızı sağlar.
1.9: Ağ cihazları için standart güvenlik yapılandırmalarını koruma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.9 | 11.1 | Müşteri |
Azure İlkesi ile ağ kaynakları için standart güvenlik yapılandırmaları tanımlayın ve uygulayın.
Azure Resource Manager şablonları, Azure RBAC denetimleri ve ilkeleri gibi temel ortam yapıtlarını tek bir şema tanımında paketleyerek büyük ölçekli Azure dağıtımlarını basitleştirmek için De Azure Blueprints'i kullanabilirsiniz. Şemayı yeni aboneliklere uygulayabilir ve sürüm oluşturma aracılığıyla denetim ve yönetimde ince ayarlar yapabilirsiniz.
1.10: Trafik yapılandırma kurallarını belgeleyin
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.10 | 11.2 | Müşteri |
Ağ güvenliği ve trafik akışıyla ilgili NSG'ler ve diğer kaynaklar için Etiketleri kullanın. Tek tek NSG kurallarında, ağdan/ağdan gelen trafiğe izin veren kurallar için iş gereksinimini ve/veya süreyi (vb.) belirtmek için "Açıklama" alanını kullanın.
Tüm kaynakların Etiketlerle oluşturulduğundan emin olmak ve mevcut etiketlenmemiş kaynakları size bildirmek için etiketlemeyle ilgili yerleşik Azure İlkesi tanımlarından herhangi birini kullanın.
Azure PowerShell veya Azure CLI kullanarak kaynakları Etiketlere göre arayabilir veya bu kaynaklar üzerinde eylemler gerçekleştirebilirsiniz.
1.11: Ağ kaynağı yapılandırmalarını izlemek ve değişiklikleri algılamak için otomatik araçları kullanma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 1.11 | 11.3 | Müşteri |
Kaynak yapılandırmalarını izlemek ve Azure kaynaklarınızdaki değişiklikleri algılamak için Azure Etkinlik Günlüğü'nü kullanın. Azure İzleyici'de kritik kaynaklarda değişiklik yapıldığında tetiklenecek uyarılar oluşturun.
Sonraki adımlar
- Sonraki Güvenlik Denetimine bakın: Günlüğe Kaydetme ve İzleme