Güvenlik Denetimi v3: Veri koruması

  • Makale

Veri Koruması, Azure'da erişim denetimi, şifreleme, anahtar ve sertifika yönetimi kullanarak hassas veri varlıklarını bulma, sınıflandırma, koruma ve izleme dahil olmak üzere bekleyen, aktarımdaki ve yetkili erişim mekanizmaları aracılığıyla veri koruma denetimini kapsar.

DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Güvenlik İlkesi: Tanımlanan hassas veri kapsamına göre hassas verilerin envanterini oluşturun ve koruyun. Kapsam içi hassas verileri bulmak, sınıflandırmak ve etiketlemek için araçları kullanın.

Azure Kılavuzu: Azure, şirket içi, Microsoft 365 ve diğer konumlarda bulunan hassas verileri merkezi olarak taramak, sınıflandırmak ve etiketlemek için Microsoft Purview, Azure Information Protection ve Azure SQL Veri Bulma ve Sınıflandırma gibi araçları kullanın.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.13 AC-4, SI-4 A3.2

Güvenlik İlkesi: Verilerin kurumsal görünürlük ve denetim dışındaki konumlara yetkisiz aktarılması gibi hassas veriler ile ilgili anomalileri izleyin. Bu normalde yetkisiz veri sızdırmaya işaret ediyor olabilecek anormal etkinliklerin (büyük veya alışılmamış aktarımlar) izlenmesini içerir.

Azure Kılavuzu: Sınıflandırılmış ve etiketlenmiş verileri izlemek için Azure Information Protection 'ı (AIP) kullanın.

Depolama için Azure Defender, SQL için Azure Defender ve Azure Cosmos DB'yi kullanarak hassas veri bilgilerinin yetkisiz aktarımına işaret eden anormal bilgi aktarımı konusunda uyarı alın.

Not: Veri kaybı önleme (DLP) uyumluluğu için gerekirse, veri sızdırmayı önlemek için dedektif ve/veya önleyici denetimler uygulamak için Azure Market konak tabanlı DLP çözümü veya Microsoft 365 DLP çözümü kullanabilirsiniz.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

DP-3: Aktarımdaki hassas verileri şifreleme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Güvenlik İlkesi: Saldırganların verileri kolayca okuyamayacağından veya değiştiremediğinden emin olmak için şifreleme kullanarak aktarımdaki verileri 'bant dışı' saldırılara (trafik yakalama gibi) karşı koruyun.

Aktarım şifrelemesindeki verilerin ağ içinde ve dışında zorunlu olduğu ağ sınırını ve hizmet kapsamını ayarlayın. Bu, özel ağlardaki trafik için isteğe bağlı olsa da, dış ve genel ağlardaki trafik için kritik önem taşır.

Azure Kılavuzu: Aktarımdaki yerel verilerin şifreleme özelliğinin yerleşik olduğu Azure Depolama gibi hizmetlerde güvenli aktarımı zorunlu tutun.

Azure kaynaklarınıza bağlanan tüm istemcilerin taşıma katmanı güvenliği (TLS) v1.2 veya sonraki sürümlerini kullanmasını sağlayarak iş yükü web uygulaması ve hizmetleri için HTTPS'yi zorunlu kılın. VM'lerin uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.

Not: Aktarım şifrelemesi, Azure veri merkezleri arasında seyahat eden tüm Azure trafiği için etkinleştirilir. TLS v1.2 veya üzeri çoğu Azure PaaS hizmetinde varsayılan olarak etkindir.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.11 SC-28 3.4, 3.5

Güvenlik İlkesi: Erişim denetimlerini tamamlamak için bekleyen veriler şifreleme kullanılarak 'bant dışı' saldırılara (temel alınan depolamaya erişme gibi) karşı korunmalıdır. Bu, saldırganların verileri kolayca okuyamamasına veya değiştirememesine yardımcı olur.

Azure Kılavuzu: Birçok Azure hizmetinde hizmet tarafından yönetilen anahtar kullanılarak altyapı katmanında bekleyen veriler varsayılan olarak etkindir.

Teknik açıdan uygun olduğunda ve varsayılan olarak etkinleştirilmemişse, Azure hizmetlerinde veya vm'lerinizde bekleyen şifrelemede verileri depolama düzeyi, dosya düzeyi veya veritabanı düzeyinde şifreleme için etkinleştirebilirsiniz.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Güvenlik İlkesi: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtar seçeneğinin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Hizmetlerde müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.

Azure Kılavuzu: Azure, belirli hizmetler için kendiniz tarafından yönetilen anahtarları (müşteri tarafından yönetilen anahtarlar) kullanarak şifreleme seçeneği de sağlar. Ancak müşteri tarafından yönetilen anahtar seçeneğinin kullanılması, anahtar yaşam döngüsünü yönetmek için ek operasyonel çabalar gerektirir. Bu şifreleme anahtarı oluşturma, döndürme, iptal etme ve erişim denetimi gibi özellikleri içerebilir.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

DP-6: Güvenli bir anahtar yönetim işlemi kullanma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
Yok IA-5, SC-12, SC-28 3.6

Güvenlik İlkesi: Anahtar yaşam döngünüzü denetlemek için kurumsal şifreleme anahtar yönetimi standardı, süreçleri ve yordamlarını belgeleyin ve uygulayın. Hizmetlerde müşteri tarafından yönetilen anahtarın kullanılması gerektiğinde, anahtar oluşturma, dağıtma ve depolama için güvenli bir anahtar kasası hizmeti kullanın. Anahtarlarınızı tanımlanan zamanlamaya göre ve bir anahtar kullanımdan kaldırma veya risk söz konusu olduğunda döndürün ve iptal edin.

Azure Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Azure Key Vault ve hizmetinizde anahtarlarınızı tanımlanan zamanlamaya göre ve önemli bir kullanımdan kaldırma veya risk söz konusu olduğunda döndürün ve iptal edin.

İş yükü hizmetlerinde veya uygulamalarında müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde en iyi yöntemleri izlediğinizi unutmayın:

  • Anahtar kasanızda anahtar şifreleme anahtarınız (KEK) ile ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için bir anahtar hiyerarşisi kullanın.
  • Anahtarların Azure Key Vault kayıtlı olduğundan emin olun ve her hizmet veya uygulamadaki anahtar kimlikleri aracılığıyla uygulayın.

Hizmetlere kendi anahtarınızı (KAG) getirmeniz gerekiyorsa (örneğin, HSM korumalı anahtarları şirket içi HSM'lerinizden Azure Key Vault'a aktarma), anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.

Not: Azure Key Vault türleri ve FIPS uyumluluk düzeyi için FIPS 140-2 düzeyi için aşağıdakilere bakın.

  • Kasalarda yazılım korumalı anahtarlar (Premium & Standart SKU'lar): FIPS 140-2 Düzey 1
  • Kasalarda HSM korumalı anahtarlar (Premium SKU): FIPS 140-2 Düzey 2
  • Yönetilen HSM'de HSM korumalı anahtarlar: FIPS 140-2 Düzey 3

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

DP-7: Güvenli bir sertifika yönetim işlemi kullanma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
Yok IA-5, SC-12, SC-17 3.6

Güvenlik İlkesi: Kurumsal sertifika yönetimi standardını, sertifika yaşam döngüsü denetimini içeren işlem ve yordamları ve sertifika ilkelerini (ortak anahtar altyapısı gerekiyorsa) belgeleyin ve uygulayın.

Hizmet kesintisini önlemek için kuruluşunuzdaki kritik hizmetler tarafından kullanılan sertifikaların envantere kaydedilmiş, izlenmiş, izlenmiş ve otomatik mekanizma kullanılarak zamanında yenilenmiş olduğundan emin olun.

Azure Kılavuzu: Sertifika oluşturma/içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme vb. gibi güvenli olmayan özellikler kullanmadan sertifika oluşturma işleminin tanımlı standarda uydığından emin olun. Azure Key Vault ve Azure hizmetinde sertifikanın otomatik döndürmesini (destekleniyorsa) tanımlanan zamanlamaya ve sertifika süre sonu olduğunda ayarlayın. Ön uygulamada otomatik döndürme desteklenmiyorsa, Azure Key Vault'da el ile döndürme kullanın.

Sınırlı güvenlik güvencesi nedeniyle kritik hizmetlerinizde otomatik olarak imzalanan sertifika ve joker sertifika kullanmaktan kaçının. Bunun yerine, Azure Key Vault'de ortak imzalı sertifika oluşturabilirsiniz. Aşağıdaki CA'lar Azure Key Vault ile iş ortağı olarak sunulan geçerli sağlayıcılardır.

  • DigiCert: Azure Key Vault, DigiCert ile OV TLS/SSL sertifikaları sunar.
  • GlobalSign: Azure Key Vault, GlobalSign ile OV TLS/SSL sertifikaları sunar.

Not: Yalnızca onaylanan Sertifika Yetkilisi 'ni (CA) kullanın ve bilinen hatalı CA kök/ara sertifikaların ve bu CA'lar tarafından verilen sertifikaların devre dışı bırakıldığından emin olun.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

DP-8: Anahtar ve sertifika deposunun güvenliğini sağlama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
Yok IA-5, SC-12, SC-17 3.6

Güvenlik İlkesi: Şifreleme anahtarı ve sertifika yaşam döngüsü yönetimi için kullanılan anahtar kasası hizmetinin güvenliğini sağlayın. Anahtar ve sertifikaların her zaman en yüksek güvenlik kullanılarak korunduğundan emin olmak için erişim denetimi, ağ güvenliği, günlüğe kaydetme ve izleme ve yedekleme yoluyla anahtar kasası hizmetinizi güçlendirin.

Azure Kılavuzu: Azure Key Vault hizmetinizi aşağıdaki denetimlerle sağlamlaştırarak şifreleme anahtarlarınızın ve sertifikalarınızın güvenliğini sağlayın:

  • Yönetim düzlemi erişimi ve veri düzlemi erişimi için en düşük ayrıcalık ilkesinin sağlandığından emin olmak için yerleşik erişim ilkelerini veya Azure RBAC'yi kullanarak Azure Key Vault anahtarlara ve sertifikalara erişimi kısıtlayın.
  • Hizmetin en düşük düzeyde etkilenmesini sağlamak için Özel Bağlantı ve Azure Güvenlik Duvarı kullanarak Azure Key Vault güvenliğini sağlama
  • Şifreleme anahtarlarını yöneten kullanıcıların şifrelenmiş verilere erişemediğini ve bunun tam tersini yapan kullanıcılar için görev ayrımının gerçekleştiğinden emin olun.
  • İş yükü uygulamalarınızda Azure Key Vault depolanan anahtarlara erişmek için yönetilen kimliği kullanın.
  • Anahtarlar hiçbir zaman Azure Key Vault dışında düz metin biçiminde depolanmaz.
  • Verileri temizlerken, gerçek veriler, yedeklemeler ve arşivler temizlenmeden önce anahtarlarınızın silinmediğinden emin olun.
  • Azure Key Vault kullanarak anahtarlarınızı ve sertifikalarınızı yedekleyin. Anahtarların yanlışlıkla silinmesini önlemek için geçici silme ve temizleme korumasını etkinleştirin.
  • Kritik yönetim düzleminin ve veri düzlemi etkinliklerinin günlüğe kaydedildiğinden emin olmak için Azure Key Vault günlüğünü açın.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):