Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ağ Güvenliği, sanal ağların güvenliğini sağlama, özel bağlantılar kurma, dış saldırıları önleme ve azaltma ve DNS güvenliğini sağlama dahil olmak üzere Azure ağlarının güvenliğini sağlamaya ve korumaya yönelik denetimleri kapsar.
NS-1: Ağ segmentasyonu sınırları oluşturma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Sanal ağ dağıtımınızın GS-2 güvenlik denetiminde tanımlanan kurumsal segmentasyon stratejinize uygun olduğundan emin olun. Kuruluş için daha yüksek risk doğurabilecek tüm iş yüklerinin yalıtılmış sanal ağlarda olması gerekir. Yüksek riskli iş yükü örnekleri şunlardır:
- Son derece hassas verileri depoluyor veya işliyor.
- Genel veya kuruluşunuzun dışındaki kullanıcılar tarafından erişilebilen bir dış ağa yönelik uygulama.
- Güvenli olmayan mimari kullanan veya kolayca düzeltilemeyen güvenlik açıkları içeren bir uygulama.
Kurumsal segmentasyon stratejinizi geliştirmek için ağ denetimlerini kullanarak iç kaynaklar arasındaki trafiği kısıtlayın veya izleyin. Belirli, iyi tanımlanmış uygulamalar (3 katmanlı uygulama gibi) için bu, ağ trafiğinin bağlantı noktalarını, protokollerini, kaynağını ve hedef IP'lerini kısıtlayarak son derece güvenli bir "varsayılan olarak reddet, özel durum tarafından izin ver" yaklaşımı olabilir. Birbiriyle etkileşim kuran çok sayıda uygulamanız ve uç noktanız varsa trafiği engelleme iyi ölçeklendirilmeyebilir ve yalnızca trafiği izleyebilirsiniz.
Azure Kılavuzu: Azure ağınızda temel segmentasyon yaklaşımı olarak bir sanal ağ (VNet) oluşturun; böylece VM'ler gibi kaynaklar bir ağ sınırı içinde sanal ağa dağıtılabilir. Ağı daha fazla segmentlere ayırmak için, daha küçük alt ağlar için sanal ağ içinde alt ağlar oluşturabilirsiniz.
Trafiği bağlantı noktası, protokol, kaynak IP adresi veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) ağ katmanı denetimi olarak kullanın.
Karmaşık yapılandırmayı basitleştirmek için uygulama güvenlik gruplarını (ASG' ler) de kullanabilirsiniz. ASG'ler, ağ güvenlik gruplarındaki açık IP adreslerine göre ilke tanımlamak yerine, ağ güvenliğini bir uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza olanak tanıyarak sanal makineleri gruplandırmanıza ve bu gruplara göre ağ güvenlik ilkeleri tanımlamanıza olanak tanır.
Uygulama ve ek bağlam:
- Azure Sanal Ağ kavramları ve en iyi yöntemler
- Sanal ağ alt ağı ekleme, değiştirme veya silme
- Güvenlik kurallarıyla bir ağ güvenlik grubu oluşturma
- Uygulama güvenlik gruplarını anlama ve kullanma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Kaynaklar için özel bir erişim noktası oluşturarak bulut hizmetlerinin güvenliğini sağlayın. Ayrıca mümkün olduğunda genel ağ erişimini devre dışı bırakmanız veya kısıtlamanız gerekir.
Azure Kılavuzu: Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtarak kaynaklar için özel bir erişim noktası oluşturun. Ayrıca mümkün olduğunda hizmetlere genel ağ erişimini devre dışı bırakmanız veya kısıtlamanız gerekir.
Belirli hizmetler için, VNet tümleştirmesini dağıtarak sanal ağı kısıtlayabilir ve hizmete özel bir erişim noktası kurabilirsiniz.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-3: Kurumsal ağın kenarında güvenlik duvarı dağıtma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Dış ağlara gelen ve dış ağlardan gelen ağ trafiğinde gelişmiş filtreleme gerçekleştirmek için bir güvenlik duvarı dağıtın. Segmentasyon stratejisini desteklemek için iç segmentler arasında güvenlik duvarlarını da kullanabilirsiniz. Gerekirse, ağ trafiğini güvenlik denetimi amacıyla bir ağ gereci üzerinden gitmeye zorlamanız gerektiğinde sistem yolunu geçersiz kılmak için alt ağınız için özel yollar kullanın.
En azından, uzaktan yönetim (RDP ve SSH gibi) ve intranet protokolleri (örneğin, SMB ve Kerberos) gibi bilinen hatalı IP adreslerini ve yüksek riskli protokolleri engelleyin.
Azure Kılavuzu: Çok sayıda kurumsal segment veya uç üzerinde (merkez/uç topolojisinde) tam durum bilgisi olan uygulama katmanı trafik kısıtlaması (URL filtreleme gibi) ve/veya merkezi yönetim sağlamak için Azure Güvenlik Duvarı'nı kullanın.
Merkez/uç kurulumu gibi karmaşık bir ağ topolojiniz varsa, trafiğin istenen yoldan geçtiğinden emin olmak için kullanıcı tanımlı yollar (UDR) oluşturmanız gerekebilir. Örneğin, çıkış İnternet trafiğini belirli bir Azure Güvenlik Duvarı veya ağ sanal gereci aracılığıyla yeniden yönlendirmek için UDR kullanma seçeneğiniz vardır.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-4: İzinsiz giriş algılama/yetkisiz erişim önleme sistemlerini (IDS/IPS) dağıtma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11.4 |
Güvenlik İlkesi: Ağ ve iş yükünüzden gelen ya da iş yükünüze giden veri trafiğini incelemek için ağ izinsiz giriş algılama ve önleme sistemlerini (IDS/IPS) kullanın. IDS/IPS'nin her zaman SIEM çözümünüz için yüksek kaliteli uyarılar sağlayacak şekilde ayarlandığından emin olun.
Daha ayrıntılı konak düzeyi algılama ve önleme özelliği için, ağ IDS/IPS ile birlikte konak tabanlı IDS/IPS veya konak tabanlı uç nokta algılama ve yanıt (EDR) çözümünü kullanın.
Azure Kılavuzu: Bilinen kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği uyarmak ve/veya engellemek için ağınızdaki Azure Güvenlik Duvarı'nın IDPS özelliğini kullanın.
Daha ayrıntılı bir konak düzeyi algılama ve önleme özelliği sağlamak için, VM düzeyinde, ağ IDS/IPS ile birlikte konak tabanlı bir IDS/IPS veya Microsoft Defender for Endpoint gibi bir endpoint algılama ve yanıt (EDR) çözümü dağıtın.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-5: DDOS korumasını dağıtma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Güvenlik İlkesi: Ağınızı ve uygulamalarınızı saldırılara karşı korumak için dağıtılmış hizmet reddi (DDoS) koruması dağıtın.
Azure Kılavuzu: Genel ağlara sunulan kaynakları korumak için sanal ağınızda DDoS standart koruma planını etkinleştirin.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-6: Web uygulaması güvenlik duvarı dağıtma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Web uygulaması güvenlik duvarı (WAF) dağıtın ve web uygulamalarınızı ve API'lerinizi uygulamaya özgü saldırılara karşı korumak için uygun kuralları yapılandırın.
Azure Kılavuzu: Uygulamalarınızı, hizmetlerinizi ve API'lerinizi ağınızın kenarındaki uygulama katmanı saldırılarına karşı korumak için Azure Application Gateway, Azure Front Door ve Azure Content Delivery Network'teki (CDN) web uygulaması güvenlik duvarı (WAF) özelliklerini kullanın. İhtiyaçlarınıza ve tehdit ortamınıza bağlı olarak WAF'nizi "algılama" veya "önleme modunda" ayarlayın. OWASP İlk 10 güvenlik açığı gibi yerleşik bir kural kümesi seçin ve bunu uygulamanıza ayarlayın.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-7: Ağ güvenliği yapılandırmasını basitleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Karmaşık bir ağ ortamını yönetirken ağ güvenlik yönetimini basitleştirmek, merkezileştirmek ve geliştirmek için araçları kullanın.
Azure Kılavuzu: NSG ve Azure Güvenlik Duvarı kurallarının uygulanmasını ve yönetimini basitleştirmek için aşağıdaki özellikleri kullanın:
- Tehdit zekası ve trafik analizi sonucuna göre bağlantı noktalarını, protokolleri ve kaynak IP'leri daha fazla sınırlayan NSG sağlamlaştırma kuralları önermek için Bulut için Microsoft Defender Uyarlamalı Ağ Sağlamlaştırma'yı kullanın.
- Sanal ağın güvenlik duvarı ilkesini ve yönlendirme yönetimini merkezileştirmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Güvenlik duvarı kurallarını ve ağ güvenlik grupları uygulamasını basitleştirmek için Azure Güvenlik Duvarı Yöneticisi ARM (Azure Resource Manager) şablonunu da kullanabilirsiniz.
Uygulama ve ek bağlam:
- Bulut için Microsoft Defender'da Uyarlamalı Ağ Sağlamlaştırma
- Azure Güvenlik Duvarı Yöneticisi
- Azure Güvenlik Duvarı ve güvenlik duvarı ilkesi oluşturma - ARM şablonu
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-8: Güvenli olmayan hizmetleri ve protokolleri algılama ve devre dışı bırakma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Güvenlik İlkesi: İşletim sistemi, uygulama veya yazılım paketi katmanında güvenli olmayan hizmetleri ve protokolleri algılayın ve devre dışı bırakın. Güvenli olmayan hizmetleri ve protokolleri devre dışı bırakmak mümkün değilse telafi denetimleri dağıtın.
Azure Kılavuzu: SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, İmzasız LDAP Bağlamaları ve Kerberos'taki zayıf şifrelemeler gibi güvenli olmayan hizmet ve protokollerin kullanımını keşfetmek için Azure Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabı'nı kullanın. Uygun güvenlik standardına uymayan güvenli olmayan hizmetleri ve protokolleri devre dışı bırakın.
Not: Güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse, saldırı yüzeyini azaltmak için ağ güvenlik grubu, Azure Güvenlik Duvarı veya Azure Web Uygulaması Güvenlik Duvarı aracılığıyla kaynaklara erişimi engelleme gibi telafi denetimlerini kullanın.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-9: Şirket içi veya bulut ağına özel olarak bağlanma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 12,7 | CA-3, AC-17, AC-4 | Mevcut Değil |
Güvenlik İlkesi: Ortak konum ortamında bulut hizmeti sağlayıcısı veri merkezleri ve şirket içi altyapı gibi farklı ağlar arasında güvenli iletişim için özel bağlantılar kullanın.
Azure Kılavuzu: Bulut hizmeti sağlayıcısı veri merkezleri ve ortak konum ortamındaki şirket içi altyapı gibi farklı ağlar arasında güvenli iletişim için özel bağlantıları kullanın.
Siteden siteye veya noktadan siteye arasında basit bağlantı için, şirket içi siteniz veya son kullanıcı cihazınız arasında Azure sanal ağıyla güvenli bir bağlantı oluşturmak için Azure sanal özel ağı (VPN) kullanın.
Kurumsal düzeyde yüksek performanslı bağlantı için, Azure veri merkezlerini ve şirket içi altyapıyı bir ortak konum ortamında bağlamak için Azure ExpressRoute'u (veya Sanal WAN) kullanın.
İki veya daha fazla Azure sanal ağını birbirine bağlarken sanal ağ eşlemesini kullanın. Eşlenen sanal ağlar arasındaki ağ trafiği özeldir ve Azure omurga ağında tutulur.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-10: Etki Alanı Adı Sistemi (DNS) güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | Mevcut Değil |
Güvenlik İlkesi: Etki Alanı Adı Sistemi (DNS) güvenlik yapılandırmasının bilinen risklere karşı korunadığından emin olun:
- İstemcinin (işletim sistemleri ve uygulamalar gibi) doğru çözüm sonucunu aldığından emin olmak için bulut ortamınızda güvenilen yetkili ve özyinelemeli DNS hizmetlerini kullanın.
- Özel ağ için DNS çözümleme işleminin genel ağdan yalıtılabilmesi için genel ve özel DNS çözümlemesini ayırın.
- DNS güvenlik stratejinizin aynı zamanda dangling DNS, DNS çoğaltma saldırıları, DNS zehirlenmesi ve sahtekarlık gibi yaygın saldırılara karşı risk azaltmaları içerdiğinden emin olun.
Azure Kılavuzu: Vm'nin işletim sistemi veya uygulama gibi iş yükü özyinelemeli DNS kurulumunuzda Azure özyinelemeli DNS veya güvenilen bir dış DNS sunucusu kullanın.
DNS çözümleme işleminin sanal ağdan ayrılmadığı özel DNS bölgesi kurulumu için Azure Özel DNS'yi kullanın. Dns çözümlemesini kısıtlamak için özel bir DNS kullanın ve bu da yalnızca istemciniz için güvenilir çözüme izin verir.
İş yükünüz veya DNS hizmetiniz için aşağıdaki güvenlik tehditlerine karşı gelişmiş koruma için DNS için Azure Defender'ı kullanın:
- DNS tüneli kullanarak Azure kaynaklarınızdan veri sızdırma
- Kötü amaçlı yazılım, komut ve kontrol sunucusuyla iletişim kuruyor.
- Kimlik avı ve kripto madenciliği ile kötü amaçlı etki alanlarıyla iletişim
- Kötü amaçlı DNS çözümleyicileriyle iletişimde DNS saldırıları
App Service web sitesini devre dışı bırakırsanız ve özel etki alanını DNS kayıt şirketinizden kaldırmazsanız, askıda kalan DNS kayıtlarını algılamak için App Service için Azure Defender'ı da kullanabilirsiniz.
Uygulama ve ek bağlam:
- Azure DNS'ye genel bakış
- Güvenli Etki Alanı Adı Sistemi (DNS) Dağıtım Kılavuzu:
- Azure Gizli DNS
- DNS için Azure Defender
- Askıda kalabilecek DNS kayıtlarını önleyin ve alt alan adı ele geçirilmesini önleyin:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):