Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Veri Koruması, Azure'da erişim denetimi, şifreleme, anahtar ve sertifika yönetimi kullanarak hassas veri varlıklarını bulma, sınıflandırma, koruma ve izleme dahil olmak üzere bekleyen, aktarımdaki ve yetkili erişim mekanizmaları aracılığıyla veri koruma denetimini kapsar.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Güvenlik İlkesi: Tanımlanan hassas veri kapsamına göre hassas verilerin envanterini oluşturun ve koruyun. Kapsam içi hassas verileri bulmak, sınıflandırmak ve etiketlemek için araçları kullanın.
Azure Kılavuzu: Azure, şirket içi, Microsoft 365 ve diğer konumlarda bulunan hassas verileri merkezi olarak taramak, sınıflandırmak ve etiketlemek için Microsoft Purview, Azure Information Protection ve Azure SQL Veri Bulma ve Sınıflandırma gibi araçları kullanın.
Uygulama ve ek bağlam:
- Veri sınıflandırmasına genel bakış
- Microsoft Purview kullanarak hassas verilerinizi etiketleme
- Azure Information Protection kullanarak hassas bilgileri etiketleme
- Azure SQL Veri Bulma’yı uygulama
- Microsoft Purview veri kaynakları
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Güvenlik İlkesi: Verilerin kurumsal görünürlük ve denetim dışındaki konumlara yetkisiz aktarılması gibi hassas veriler ile ilgili anomalileri izleyin. Bu normalde yetkisiz veri sızdırmaya işaret ediyor olabilecek anormal etkinliklerin (büyük veya alışılmamış aktarımlar) izlenmesini içerir.
Azure Kılavuzu: Sınıflandırılmış ve etiketlenmiş verileri izlemek için Azure Information protection (AIP) kullanın.
Depolama için Azure Defender, SQL için Azure Defender ve Azure Cosmos DB'yi kullanarak hassas veri bilgilerinin yetkisiz aktarımını gösterebilecek bilgilerin anormal aktarımı konusunda uyarı verin.
Not: Veri kaybı önleme (DLP) uyumluluğu için gerekiyorsa, veri sızdırmayı önlemek için dedektif ve/veya önleyici denetimler uygulamak için Azure Market veya Microsoft 365 DLP çözümünden konak tabanlı bir DLP çözümü kullanabilirsiniz.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-3: Aktarımdaki hassas verileri şifreleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3,10 | SC-8 | 3.5, 3.6, 4.1 |
Güvenlik İlkesi: Saldırganların verileri kolayca okuyamayacağından veya değiştiremediğinden emin olmak için şifreleme kullanarak aktarımdaki verileri 'bant dışı' saldırılara (trafik yakalama gibi) karşı koruyun.
Aktarım şifrelemesindeki verilerin ağ içinde ve dışında zorunlu olduğu ağ sınırını ve hizmet kapsamını ayarlayın. Bu, özel ağlardaki trafik için isteğe bağlı olsa da, dış ve genel ağlardaki trafik için kritik önem taşır.
Azure Kılavuzu: Aktarım şifrelemesindeki yerel verilerin yerleşik olduğu Azure Depolama gibi hizmetlerde güvenli aktarımı zorunlu kılma.
Azure kaynaklarınıza bağlanan tüm istemcilerin taşıma katmanı güvenliği (TLS) v1.2 veya üzerini kullanmasını sağlayarak iş yükü web uygulaması ve hizmetleri için HTTPS uygulayın. VM'lerin uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
Not: Aktarım şifrelemesindeki veriler, Azure veri merkezleri arasında seyahat eden tüm Azure trafiği için etkinleştirilir. TLS v1.2 veya üzeri çoğu Azure PaaS hizmetinde varsayılan olarak etkindir.
Uygulama ve ek bağlam:
- Aktarımdaki Azure verileri için çift şifreleme
- Azure ile aktarım sırasında şifrelemeyi anlama
- TLS Güvenliği hakkında bilgi
- Azure depolamada güvenli aktarımı zorunlu kılma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Güvenlik İlkesi: Erişim denetimlerini tamamlamak için bekleyen veriler şifreleme kullanılarak 'bant dışı' saldırılarına (temel depolamaya erişim gibi) karşı korunmalıdır. Bu, saldırganların verileri kolayca okuyamamasına veya değiştirememesine yardımcı olur.
Azure Kılavuzu: Birçok Azure hizmetinde hizmet tarafından yönetilen anahtar kullanılarak altyapı katmanında varsayılan olarak etkin bekleyen veri şifrelemesi vardır.
Teknik olarak uygun olduğunda ve varsayılan olarak etkinleştirilmemişse, Azure hizmetlerinde veya vm'lerinizde bekleyen şifrelemedeki verileri depolama düzeyi, dosya düzeyi veya veritabanı düzeyinde şifreleme için etkinleştirebilirsiniz.
Uygulama ve ek bağlam:
- Azure’da bekleyen veri şifrelemesini anlama
- Bekleyen veriler Azure'da çift şifreleme
- Şifreleme modeli ve anahtar yönetimi tablosu
- Güvenlik mimarisi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Güvenlik İlkesi: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtar seçeneğinin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Hizmetlerde müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Azure Kılavuzu: Azure, belirli hizmetler için kendiniz tarafından yönetilen anahtarları (müşteri tarafından yönetilen anahtarlar) kullanarak şifreleme seçeneği de sağlar. Ancak müşteri tarafından yönetilen anahtar seçeneğinin kullanılması, anahtar yaşam döngüsünü yönetmek için ek operasyonel çabalar gerektirir. Bu, şifreleme anahtarı oluşturma, döndürme, iptal etme ve erişim denetimi gibi konuları içerebilir.
Uygulama ve ek bağlam:
- Şifreleme modeli ve anahtar yönetimi tablosu
- Müşteri tarafından yönetilen anahtarı kullanarak şifrelemeyi destekleyen hizmetler
- Azure Depolama'da müşteri tarafından yönetilen şifreleme anahtarlarını yapılandırma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-6: Güvenli anahtar yönetimi işlemi kullanma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | IA-5, SC-12, SC-28 | 3.6 |
Güvenlik İlkesi: Anahtar yaşam döngünüzü denetlemek için kurumsal şifreleme anahtar yönetimi standardını, süreçlerini ve yordamlarını belgeleyin ve uygulayın. Hizmetlerde müşteri tarafından yönetilen anahtarın kullanılması gerektiğinde anahtar oluşturma, dağıtım ve depolama için güvenli bir anahtar kasası hizmeti kullanın. Anahtarlarınızı tanımlanan zamanlamaya göre ve anahtar kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin.
Azure Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Azure Key Vault'taki anahtarlarınızı ve hizmetinizi, tanımlanan zamanlamaya göre ve anahtar kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin.
İş yükü hizmetlerinde veya uygulamalarında müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde en iyi yöntemleri izlediğinizi unutmayın:
- Anahtar kasanızda anahtar şifreleme anahtarınız (KEK) ile ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için bir anahtar hiyerarşisi kullanın.
- Anahtarların Azure Key Vault'a kaydedildiğinden emin olun ve her hizmet veya uygulamadaki anahtar kimlikleri aracılığıyla uygulayın.
Hizmetlere kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (şirket içi HSM'lerinizdeki HSM korumalı anahtarları Azure Key Vault'a aktarma), anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Not: Azure Key Vault türleri için FIPS 140-2 düzeyi ve FIPS uyumluluk düzeyi için aşağıdakilere bakın.
- Kasalarda yazılım korumalı anahtarlar (Premium ve Standart SKU'lar): FIPS 140-2 Düzey 1
- Kasalarda HSM korumalı anahtarlar (Premium SKU): FIPS 140-2 Düzey 2
- Yönetilen HSM'de HSM korumalı anahtarlar: FIPS 140-2 Düzey 3
Uygulama ve ek bağlam:
- Azure Key Vault'a genel bakış
- Bekleyen Azure veri şifrelemesi--Anahtar Hiyerarşisi
- BYOK(Kendi Anahtarını Getir) belirtimi
- Kimlik ve anahtar yönetimi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | IA-5, SC-12, SC-17 | 3.6 |
Güvenlik İlkesi: Bir kurumsal sertifika yönetimi standardı, sertifika yaşam döngüsü denetimini içeren işlemler ve yordamlar ile sertifika ilkelerini (ortak anahtar altyapısı gerekiyorsa) belgeleyin ve uygulayın.
Kuruluşunuzdaki kritik hizmetler tarafından kullanılan sertifikaların, hizmet kesintisini önlemek için otomatik mekanizma kullanılarak envantere alındığından, izlendiğine, izlendiğine ve zamanında yenilendiğine emin olun.
Azure Kılavuzu: Sertifika oluşturma/içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme vb. gibi güvenli olmayan özellikler kullanmadan sertifika oluşturmanın tanımlı standarda uydığından emin olun. Azure Key Vault'ta ve Azure hizmetinde (destekleniyorsa) sertifikanın otomatik döndürmesini, tanımlanan zamanlamaya ve sertifika süre sonu olduğunda ayarlayın. Ön uygulamada otomatik döndürme desteklenmiyorsa Azure Key Vault'ta el ile döndürme kullanın.
Sınırlı güvenlik güvencesi nedeniyle kritik hizmetlerinizde otomatik olarak imzalanan sertifika ve joker sertifika kullanmaktan kaçının. Bunun yerine Azure Key Vault'ta ortak imzalı sertifika oluşturabilirsiniz. Aşağıdaki CA'lar Azure Key Vault ile iş ortağı olan geçerli sağlayıcılardır.
- DigiCert: Azure Key Vault, DigiCert ile OV TLS/SSL sertifikaları sunar.
- GlobalSign: Azure Key Vault, GlobalSign ile OV TLS/SSL sertifikaları sunar.
Not: Yalnızca onaylı Sertifika Yetkilisi 'ni (CA) kullanın ve bilinen hatalı CA kök/ara sertifikalarının ve bu CA'lar tarafından verilen sertifikaların devre dışı bırakıldığından emin olun.
Uygulama ve ek bağlam:
- Key Vault sertifikalarını kullanmaya başlama
- Azure Key Vault'ta Sertifika Erişim Denetimi
- Kimlik ve anahtar yönetimi
- Güvenlik mimarisi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DP-8: Anahtar ve sertifika deposunun güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | IA-5, SC-12, SC-17 | 3.6 |
Güvenlik İlkesi: Şifreleme anahtarı ve sertifika yaşam döngüsü yönetimi için kullanılan anahtar kasası hizmetinin güvenliğini sağlayın. Anahtarlar ve sertifikaların her zaman maksimum güvenlik kullanılarak korunduğundan emin olmak için erişim denetimi, ağ güvenliği, günlüğe kaydetme ve izleme ve yedekleme yoluyla anahtar kasası hizmetinizi sağlamlaştırın.
Azure Kılavuzu: Aşağıdaki denetimler aracılığıyla Azure Key Vault hizmetinizi sağlamlaştırarak şifreleme anahtarlarınızın ve sertifikalarınızın güvenliğini sağlayın:
- Yönetim düzlemi erişimi ve veri düzlemi erişimi için en düşük ayrıcalık ilkesinin geçerli olduğundan emin olmak için yerleşik erişim ilkelerini veya Azure RBAC'yi kullanarak Azure Key Vault'taki anahtarlara ve sertifikalara erişimi kısıtlayın.
- Hizmetin en düşük düzeyde maruz kalmasını sağlamak için Özel Bağlantı ve Azure Güvenlik Duvarı kullanarak Azure Key Vault'un güvenliğini sağlama
- Şifreleme anahtarlarını yöneten kullanıcıların şifrelenmiş verilere erişme olanağına sahip olmadığından ve tam tersinin de görev ayrımının gerçekleştiğinden emin olun.
- İş yükü uygulamalarınızda Azure Key Vault'ta depolanan anahtarlara erişmek için yönetilen kimliği kullanın.
- Anahtarlar hiçbir zaman Azure Key Vault dışında düz metin biçiminde depolanmaz.
- Verileri temizlerken, gerçek veriler, yedeklemeler ve arşivler temizlenmeden önce anahtarlarınızın silinmediğinden emin olun.
- Azure Key Vault kullanarak anahtarlarınızı ve sertifikalarınızı yedekleyin. Anahtarların yanlışlıkla silinmesini önlemek için geçici silme ve temizleme korumasını etkinleştirin.
- Kritik yönetim düzlemi ve veri düzlemi etkinliklerinin günlüğe kaydedildiğinden emin olmak için Azure Key Vault günlüğünü açın.
Uygulama ve ek bağlam:
- Azure Key Vault'a genel bakış
- Azure Key Vault güvenlikle ilgili en iyi yöntemler
- Azure Key Vault'a erişmek için yönetilen kimliği kullanma
- Kimlik ve anahtar yönetimi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):