Güvenlik Denetimi v3: Veri koruması
Veri Koruması, Azure'da erişim denetimi, şifreleme, anahtar ve sertifika yönetimi kullanarak hassas veri varlıklarını bulma, sınıflandırma, koruma ve izleme dahil olmak üzere bekleyen, aktarımdaki ve yetkili erişim mekanizmaları aracılığıyla veri koruma denetimini kapsar.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Güvenlik İlkesi: Tanımlanan hassas veri kapsamına göre hassas verilerin envanterini oluşturun ve koruyun. Kapsam içi hassas verileri bulmak, sınıflandırmak ve etiketlemek için araçları kullanın.
Azure Kılavuzu: Azure, şirket içi, Microsoft 365 ve diğer konumlarda bulunan hassas verileri merkezi olarak taramak, sınıflandırmak ve etiketlemek için Microsoft Purview, Azure Information Protection ve Azure SQL Veri Bulma ve Sınıflandırma gibi araçları kullanın.
Uygulama ve ek bağlam:
- Veri sınıflandırmasına genel bakış
- Microsoft Purview kullanarak hassas verilerinizi etiketleme
- Azure Information Protection kullanarak hassas bilgileri etiketleme
- Azure SQL Veri Bulma’yı uygulama
- Microsoft Purview veri kaynakları
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
3.13 | AC-4, SI-4 | A3.2 |
Güvenlik İlkesi: Verilerin kurumsal görünürlük ve denetim dışındaki konumlara yetkisiz aktarılması gibi hassas veriler ile ilgili anomalileri izleyin. Bu normalde yetkisiz veri sızdırmaya işaret ediyor olabilecek anormal etkinliklerin (büyük veya alışılmamış aktarımlar) izlenmesini içerir.
Azure Kılavuzu: Sınıflandırılmış ve etiketlenmiş verileri izlemek için Azure Information Protection 'ı (AIP) kullanın.
Depolama için Azure Defender, SQL için Azure Defender ve Azure Cosmos DB'yi kullanarak hassas veri bilgilerinin yetkisiz aktarımına işaret eden anormal bilgi aktarımı konusunda uyarı alın.
Not: Veri kaybı önleme (DLP) uyumluluğu için gerekirse, veri sızdırmayı önlemek için dedektif ve/veya önleyici denetimler uygulamak için Azure Market konak tabanlı DLP çözümü veya Microsoft 365 DLP çözümü kullanabilirsiniz.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-3: Aktarımdaki hassas verileri şifreleme
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
3.10 | SC-8 | 3.5, 3.6, 4.1 |
Güvenlik İlkesi: Saldırganların verileri kolayca okuyamayacağından veya değiştiremediğinden emin olmak için şifreleme kullanarak aktarımdaki verileri 'bant dışı' saldırılara (trafik yakalama gibi) karşı koruyun.
Aktarım şifrelemesindeki verilerin ağ içinde ve dışında zorunlu olduğu ağ sınırını ve hizmet kapsamını ayarlayın. Bu, özel ağlardaki trafik için isteğe bağlı olsa da, dış ve genel ağlardaki trafik için kritik önem taşır.
Azure Kılavuzu: Aktarımdaki yerel verilerin şifreleme özelliğinin yerleşik olduğu Azure Depolama gibi hizmetlerde güvenli aktarımı zorunlu tutun.
Azure kaynaklarınıza bağlanan tüm istemcilerin taşıma katmanı güvenliği (TLS) v1.2 veya sonraki sürümlerini kullanmasını sağlayarak iş yükü web uygulaması ve hizmetleri için HTTPS'yi zorunlu kılın. VM'lerin uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
Not: Aktarım şifrelemesi, Azure veri merkezleri arasında seyahat eden tüm Azure trafiği için etkinleştirilir. TLS v1.2 veya üzeri çoğu Azure PaaS hizmetinde varsayılan olarak etkindir.
Uygulama ve ek bağlam:
- Aktarımdaki Azure verileri için çift şifreleme
- Azure ile aktarım sırasında şifrelemeyi anlama
- TLS güvenliği hakkında bilgi
- Azure depolamada güvenli aktarımı zorunlu kılma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
3.11 | SC-28 | 3.4, 3.5 |
Güvenlik İlkesi: Erişim denetimlerini tamamlamak için bekleyen veriler şifreleme kullanılarak 'bant dışı' saldırılara (temel alınan depolamaya erişme gibi) karşı korunmalıdır. Bu, saldırganların verileri kolayca okuyamamasına veya değiştirememesine yardımcı olur.
Azure Kılavuzu: Birçok Azure hizmetinde hizmet tarafından yönetilen anahtar kullanılarak altyapı katmanında bekleyen veriler varsayılan olarak etkindir.
Teknik açıdan uygun olduğunda ve varsayılan olarak etkinleştirilmemişse, Azure hizmetlerinde veya vm'lerinizde bekleyen şifrelemede verileri depolama düzeyi, dosya düzeyi veya veritabanı düzeyinde şifreleme için etkinleştirebilirsiniz.
Uygulama ve ek bağlam:
- Azure’da bekleyen veri şifrelemesini anlama
- Bekleyen veriler Azure'da çift şifreleme
- Şifreleme modeli ve anahtar yönetimi tablosu
- Güvenlik mimarisi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Güvenlik İlkesi: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtar seçeneğinin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Hizmetlerde müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Azure Kılavuzu: Azure, belirli hizmetler için kendiniz tarafından yönetilen anahtarları (müşteri tarafından yönetilen anahtarlar) kullanarak şifreleme seçeneği de sağlar. Ancak müşteri tarafından yönetilen anahtar seçeneğinin kullanılması, anahtar yaşam döngüsünü yönetmek için ek operasyonel çabalar gerektirir. Bu şifreleme anahtarı oluşturma, döndürme, iptal etme ve erişim denetimi gibi özellikleri içerebilir.
Uygulama ve ek bağlam:
- Şifreleme modeli ve anahtar yönetimi tablosu
- Müşteri tarafından yönetilen anahtarı kullanarak şifrelemeyi destekleyen hizmetler
- Azure Depolama'da müşteri tarafından yönetilen şifreleme anahtarlarını yapılandırma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-6: Güvenli bir anahtar yönetim işlemi kullanma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
Yok | IA-5, SC-12, SC-28 | 3.6 |
Güvenlik İlkesi: Anahtar yaşam döngünüzü denetlemek için kurumsal şifreleme anahtar yönetimi standardı, süreçleri ve yordamlarını belgeleyin ve uygulayın. Hizmetlerde müşteri tarafından yönetilen anahtarın kullanılması gerektiğinde, anahtar oluşturma, dağıtma ve depolama için güvenli bir anahtar kasası hizmeti kullanın. Anahtarlarınızı tanımlanan zamanlamaya göre ve bir anahtar kullanımdan kaldırma veya risk söz konusu olduğunda döndürün ve iptal edin.
Azure Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Azure Key Vault ve hizmetinizde anahtarlarınızı tanımlanan zamanlamaya göre ve önemli bir kullanımdan kaldırma veya risk söz konusu olduğunda döndürün ve iptal edin.
İş yükü hizmetlerinde veya uygulamalarında müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde en iyi yöntemleri izlediğinizi unutmayın:
- Anahtar kasanızda anahtar şifreleme anahtarınız (KEK) ile ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için bir anahtar hiyerarşisi kullanın.
- Anahtarların Azure Key Vault kayıtlı olduğundan emin olun ve her hizmet veya uygulamadaki anahtar kimlikleri aracılığıyla uygulayın.
Hizmetlere kendi anahtarınızı (KAG) getirmeniz gerekiyorsa (örneğin, HSM korumalı anahtarları şirket içi HSM'lerinizden Azure Key Vault'a aktarma), anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Not: Azure Key Vault türleri ve FIPS uyumluluk düzeyi için FIPS 140-2 düzeyi için aşağıdakilere bakın.
- Kasalarda yazılım korumalı anahtarlar (Premium & Standart SKU'lar): FIPS 140-2 Düzey 1
- Kasalarda HSM korumalı anahtarlar (Premium SKU): FIPS 140-2 Düzey 2
- Yönetilen HSM'de HSM korumalı anahtarlar: FIPS 140-2 Düzey 3
Uygulama ve ek bağlam:
- Azure Key Vault genel bakış
- Bekleyen Azure veri şifrelemesi--Anahtar Hiyerarşisi
- BYOK(Kendi Anahtarını Getir) belirtimi
- Kimlik ve anahtar yönetimi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
Yok | IA-5, SC-12, SC-17 | 3.6 |
Güvenlik İlkesi: Kurumsal sertifika yönetimi standardını, sertifika yaşam döngüsü denetimini içeren işlem ve yordamları ve sertifika ilkelerini (ortak anahtar altyapısı gerekiyorsa) belgeleyin ve uygulayın.
Hizmet kesintisini önlemek için kuruluşunuzdaki kritik hizmetler tarafından kullanılan sertifikaların envantere kaydedilmiş, izlenmiş, izlenmiş ve otomatik mekanizma kullanılarak zamanında yenilenmiş olduğundan emin olun.
Azure Kılavuzu: Sertifika oluşturma/içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme vb. gibi güvenli olmayan özellikler kullanmadan sertifika oluşturma işleminin tanımlı standarda uydığından emin olun. Azure Key Vault ve Azure hizmetinde sertifikanın otomatik döndürmesini (destekleniyorsa) tanımlanan zamanlamaya ve sertifika süre sonu olduğunda ayarlayın. Ön uygulamada otomatik döndürme desteklenmiyorsa, Azure Key Vault'da el ile döndürme kullanın.
Sınırlı güvenlik güvencesi nedeniyle kritik hizmetlerinizde otomatik olarak imzalanan sertifika ve joker sertifika kullanmaktan kaçının. Bunun yerine, Azure Key Vault'de ortak imzalı sertifika oluşturabilirsiniz. Aşağıdaki CA'lar Azure Key Vault ile iş ortağı olarak sunulan geçerli sağlayıcılardır.
- DigiCert: Azure Key Vault, DigiCert ile OV TLS/SSL sertifikaları sunar.
- GlobalSign: Azure Key Vault, GlobalSign ile OV TLS/SSL sertifikaları sunar.
Not: Yalnızca onaylanan Sertifika Yetkilisi 'ni (CA) kullanın ve bilinen hatalı CA kök/ara sertifikaların ve bu CA'lar tarafından verilen sertifikaların devre dışı bırakıldığından emin olun.
Uygulama ve ek bağlam:
- Key Vault sertifikalarını kullanmaya başlama
- Azure Key Vault'da sertifika Access Control
- Kimlik ve anahtar yönetimi
- Güvenlik mimarisi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-8: Anahtar ve sertifika deposunun güvenliğini sağlama
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
Yok | IA-5, SC-12, SC-17 | 3.6 |
Güvenlik İlkesi: Şifreleme anahtarı ve sertifika yaşam döngüsü yönetimi için kullanılan anahtar kasası hizmetinin güvenliğini sağlayın. Anahtar ve sertifikaların her zaman en yüksek güvenlik kullanılarak korunduğundan emin olmak için erişim denetimi, ağ güvenliği, günlüğe kaydetme ve izleme ve yedekleme yoluyla anahtar kasası hizmetinizi güçlendirin.
Azure Kılavuzu: Azure Key Vault hizmetinizi aşağıdaki denetimlerle sağlamlaştırarak şifreleme anahtarlarınızın ve sertifikalarınızın güvenliğini sağlayın:
- Yönetim düzlemi erişimi ve veri düzlemi erişimi için en düşük ayrıcalık ilkesinin sağlandığından emin olmak için yerleşik erişim ilkelerini veya Azure RBAC'yi kullanarak Azure Key Vault anahtarlara ve sertifikalara erişimi kısıtlayın.
- Hizmetin en düşük düzeyde etkilenmesini sağlamak için Özel Bağlantı ve Azure Güvenlik Duvarı kullanarak Azure Key Vault güvenliğini sağlama
- Şifreleme anahtarlarını yöneten kullanıcıların şifrelenmiş verilere erişemediğini ve bunun tam tersini yapan kullanıcılar için görev ayrımının gerçekleştiğinden emin olun.
- İş yükü uygulamalarınızda Azure Key Vault depolanan anahtarlara erişmek için yönetilen kimliği kullanın.
- Anahtarlar hiçbir zaman Azure Key Vault dışında düz metin biçiminde depolanmaz.
- Verileri temizlerken, gerçek veriler, yedeklemeler ve arşivler temizlenmeden önce anahtarlarınızın silinmediğinden emin olun.
- Azure Key Vault kullanarak anahtarlarınızı ve sertifikalarınızı yedekleyin. Anahtarların yanlışlıkla silinmesini önlemek için geçici silme ve temizleme korumasını etkinleştirin.
- Kritik yönetim düzleminin ve veri düzlemi etkinliklerinin günlüğe kaydedildiğinden emin olmak için Azure Key Vault günlüğünü açın.
Uygulama ve ek bağlam:
- Azure Key Vault genel bakış
- Azure Key Vault en iyi güvenlik uygulamaları
- Azure Key Vault erişmek için yönetilen kimliği kullanma
- Kimlik ve anahtar yönetimi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):