Güvenlik Denetimi v3: Duruş ve güvenlik açığı yönetimi
Duruş ve Güvenlik Açığı Yönetimi güvenlik açığı taraması, sızma testi ve düzeltmenin yanı sıra Azure kaynaklarında güvenlik yapılandırması izleme, raporlama ve düzeltme dahil olmak üzere Azure güvenlik duruşunu değerlendirmeye ve geliştirmeye yönelik denetimlere odaklanır.
PV-1: Güvenli yapılandırmaları tanımlama ve oluşturma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Güvenlik İlkesi: Buluttaki farklı kaynak türleri için güvenli yapılandırma temellerini tanımlayın. Alternatif olarak, yapılandırma temelini kaynak dağıtımından önce veya kaynak dağıtımı sırasında otomatik olarak oluşturmak için yapılandırma yönetimi araçlarını kullanın; böylece ortam dağıtımdan sonra varsayılan olarak uyumlu olabilir.
Azure Kılavuzu: İlgili her Azure teklifi veya hizmeti için yapılandırma temelinizi tanımlamak için Azure Güvenlik Karşılaştırması'nı ve hizmet temelini kullanın. Azure kaynaklarında gerekebilecek kritik güvenlik denetimlerini ve yapılandırmalarını anlamak için Azure başvuru mimarisine ve Bulut Benimseme Çerçevesi giriş bölgesi mimarisine bakın.
Azure Resource Manager şablonları, Azure RBAC denetimleri ve ilkeleri dahil olmak üzere hizmetlerin ve uygulama ortamlarının dağıtımını ve yapılandırmasını tek bir şema tanımında otomatikleştirmek için Azure Blueprints'i kullanın.
Uygulama ve ek bağlam:
- Enterprise Ölçekli Giriş Bölgesi'nde Guardrails uygulamasının çizimi
- Bulut için Microsoft Defender'de güvenlik ilkeleriyle çalışma
- Öğretici: Uyumluluğu zorunlu kılmak için ilke oluşturma ve yönetme
- Azure Blueprints
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PV-2: Güvenli yapılandırmaları denetleme ve zorlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Güvenlik İlkesi: Tanımlanan yapılandırma temelinden sapma olduğunda sürekli olarak izleyin ve uyarır. Uyumlu olmayan yapılandırmayı reddederek veya bir yapılandırmayı dağıtarak istenen yapılandırmayı temel yapılandırmaya göre zorunlu kılın.
Azure Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak için Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın.
Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] kuralını kullanın.
Azure İlkesi tarafından desteklenmeyen kaynak yapılandırma denetimi ve zorlaması için kendi betiklerinizi yazmanız veya yapılandırma denetimini ve zorlamasını uygulamak için üçüncü taraf araçları kullanmanız gerekebilir.
Uygulama ve ek bağlam:
- Azure İlkesi etkilerini anlama
- Uyumluluğu zorunlu tutmak için ilkeleri oluşturma ve yönetme
- Azure kaynaklarının uyumluluk verilerini alma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PV-3: İşlem kaynakları için güvenli yapılandırmalar tanımlama ve oluşturma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Güvenlik İlkesi: VM'ler ve kapsayıcılar gibi işlem kaynaklarınız için güvenli yapılandırma temellerini tanımlayın. Dağıtımdan sonra ortamın varsayılan olarak uyumlu olabilmesi için yapılandırma temelini işlem kaynağı dağıtımından önce veya sırasında otomatik olarak oluşturmak için yapılandırma yönetimi araçlarını kullanın. Alternatif olarak, işlem kaynağı görüntü şablonunda istenen yapılandırma temelini oluşturmak için önceden yapılandırılmış bir görüntü kullanın.
Azure Kılavuzu: İşlem kaynağı yapılandırma temelinizi tanımlamak için azure tarafından önerilen işletim sistemi temelini (hem Windows hem de Linux için) karşılaştırmalı olarak kullanın.
Ayrıca, istenen güvenlik yapılandırmasını oluşturmak için Azure İlkesi konuk yapılandırması ve Azure Otomasyonu State Configuration ile özel VM görüntüsü veya kapsayıcı görüntüsü kullanabilirsiniz.
Uygulama ve ek bağlam:
- Linux işletim sistemi güvenlik yapılandırması temeli
- Windows işletim sistemi güvenlik yapılandırması temeli
- İşlem kaynakları için güvenlik yapılandırması önerisi
- Azure Otomasyonu State Configuration Genel Bakış
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PV-4: İşlem kaynakları için güvenli yapılandırmaları denetleme ve zorlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Güvenlik İlkesi: İşlem kaynaklarınızda tanımlı yapılandırma temelinden sapma olduğunda sürekli izleyin ve uyarın. Uyumlu olmayan yapılandırmayı reddederek veya işlem kaynaklarına bir yapılandırma dağıtarak istenen yapılandırmayı temel yapılandırmaya göre zorunlu kılın.
Azure Kılavuzu: VM'ler, kapsayıcılar ve diğerleri dahil olmak üzere Azure işlem kaynaklarınızdaki yapılandırma sapmalarını düzenli olarak değerlendirmek ve düzeltmek için Bulut için Microsoft Defender ve Azure İlkesi konuk yapılandırma aracısını kullanın. Ayrıca, işletim sisteminin güvenlik yapılandırmasını korumak için Azure Resource Manager şablonlarını, özel işletim sistemi görüntülerini veya Azure Otomasyonu State Configuration kullanabilirsiniz. Azure Otomasyonu State Configuration ile birlikte Microsoft VM şablonları, güvenlik gereksinimlerini karşılamaya ve sürdürmeye yardımcı olabilir.
Not: Azure Market Microsoft tarafından yayımlanan VM görüntüleri Microsoft tarafından yönetilir ve korunur.
Uygulama ve ek bağlam:
- Bulut için Microsoft Defender güvenlik açığı değerlendirme önerilerini uygulama
- ARM şablonundan Azure sanal makinesi oluşturma
- Azure Otomasyonu State Configuration genel bakış
- Azure portal Windows sanal makinesi oluşturma
- Bulut için Microsoft Defender'da kapsayıcı güvenliği
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PV-5: Güvenlik açığı değerlendirmeleri gerçekleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Güvenlik İlkesi: Sabit bir zamanlamaya veya isteğe bağlı olarak tüm katmanlarda bulut kaynaklarınız için güvenlik açığı değerlendirmesi gerçekleştirin. Güvenlik açıklarının giderildiğinden emin olmak için tarama sonuçlarını izleyin ve karşılaştırın. Değerlendirme, Azure hizmetleri, ağ, web, işletim sistemlerindeki güvenlik açıkları, yanlış yapılandırmalar vb. gibi tüm güvenlik açıklarını içermelidir.
Güvenlik açığı tarayıcıları tarafından kullanılan ayrıcalıklı erişimle ilişkili olası risklere dikkat edin. Tarama için kullanılan tüm yönetim hesaplarının güvenliğini sağlamak için ayrıcalıklı erişim güvenliği en iyi uygulamasını izleyin.
Azure Kılavuzu: Azure sanal makinelerinizde, kapsayıcı görüntülerinizde ve SQL sunucularınızda güvenlik açığı değerlendirmeleri gerçekleştirmek için Bulut için Microsoft Defender önerilerini izleyin. Bulut için Microsoft Defender, sanal makine taraması için yerleşik bir güvenlik açığı tarayıcısına sahiptir. Ağ cihazlarında ve uygulamalarında (ör. web uygulamaları) güvenlik açığı değerlendirmeleri gerçekleştirmek için üçüncü taraf bir çözüm kullanın
Tarama sonuçlarını tutarlı aralıklarla dışarı aktarın ve güvenlik açıklarının düzeltildiğini doğrulamak için sonuçları önceki taramalarla karşılaştırın. Bulut için Microsoft Defender tarafından önerilen güvenlik açığı yönetimi önerileri kullanırken, geçmiş tarama verilerini görüntülemek için seçilen tarama çözümünün portalında özetleyebilirsiniz.
Uzaktan tarama yaparken tek, kalıcı bir yönetim hesabı kullanmayın. Tarama hesabı için JIT (Tam Zamanında) sağlama metodolojisi uygulamayı göz önünde bulundurun. Tarama hesabının kimlik bilgileri korunmalıdır, izlenmelidir ve yalnızca güvenlik açığı taraması için kullanılmalıdır.
Not: Azure Defender hizmetleri (sunucu için Defender, kapsayıcı kayıt defteri, App Service, SQL ve DNS dahil) belirli güvenlik açığı değerlendirme özelliklerini ekler. Azure Defender hizmetlerinden oluşturulan uyarılar, Bulut için Microsoft Defender güvenlik açığı tarama aracının sonucuyla birlikte izlenmeli ve gözden geçirilmelidir.
Not: Bulut için Microsoft Defender'da e-posta bildirimlerini ayarlamayı unutmayın.
Uygulama ve ek bağlam:
- Bulut için Microsoft Defender güvenlik açığı değerlendirmesi önerilerini uygulama
- Sanal makineler için tümleşik güvenlik açığı tarayıcısı
- SQL güvenlik açığı değerlendirmesi
- Bulut için Microsoft Defender güvenlik açığı tarama sonuçlarını dışarı aktarma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PV-6: Güvenlik açıklarını hızlı ve otomatik olarak düzeltme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: KUSUR DÜZELTME | 6.1, 6.2, 6.5, 11.2 |
Güvenlik İlkesi: Bulut kaynaklarınızdaki güvenlik açıklarını düzeltmek için düzeltme eklerini ve güncelleştirmeleri hızla ve otomatik olarak dağıtın. Güvenlik açıklarının düzeltilmesine öncelik vermek için uygun risk tabanlı yaklaşımı kullanın. Örneğin, daha yüksek değerli bir varlıktaki daha ciddi güvenlik açıkları daha yüksek öncelikli olarak ele alınmalıdır.
Azure Kılavuzu: en son güvenlik güncelleştirmelerinin Windows ve Linux VM'lerinize yüklendiğinden emin olmak için Azure Otomasyonu Güncelleştirme Yönetimi'ni veya üçüncü taraf bir çözümü kullanın. Windows VM'ler için Windows Update etkinleştirildiğinden ve otomatik olarak güncelleştirilecek şekilde ayarlandığından emin olun.
Üçüncü taraf yazılımlarda, Configuration Manager için bir üçüncü taraf düzeltme eki yönetim çözümü veya System Center Güncelleştirmeleri Publisher kullanın.
Ortak bir risk puanlama programı (Ortak Güvenlik Açığı Puanlama Sistemi gibi) veya üçüncü taraf tarama aracınız tarafından sağlanan varsayılan risk derecelendirmelerini kullanarak ilk olarak dağıtılacak güncelleştirmelerin önceliğini belirleyin ve ortamınıza uyarlayın. Ayrıca hangi uygulamaların yüksek güvenlik riski oluşturup hangilerinin yüksek çalışma süresi gerektirdiğini de göz önünde bulundurmalısınız.
Uygulama ve ek bağlam:
- Azure'da sanal makineler için Güncelleştirme Yönetimi'nin yapılandırılması
- Azure VM'leriniz için güncelleştirmeleri ve düzeltme eklerini yönetme
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PV-7: Düzenli olarak kırmızı takım operasyonları gerçekleştirin
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Güvenlik İlkesi: Kuruluşunuzun güvenlik açığının daha eksiksiz bir görünümünü sağlamak için gerçek dünya saldırılarının benzetimini yapın. Kırmızı takım operasyonları ve sızma testi, riskleri keşfetmek için geleneksel güvenlik açığı tarama yaklaşımını tamamlar.
Ortamınıza zarar vermediğinden veya kesintiye neden olmadığından emin olmak için bu tür testler tasarlamak, hazırlamak ve yürütmek için sektörün en iyi uygulamalarını izleyin. Bu her zaman ilgili proje katılımcıları ve kaynak sahipleri ile test kapsamını ve kısıtlamaları tartışmayı içermelidir.
Azure Kılavuzu: Gerektiğinde, Azure kaynaklarınızda sızma testi veya kırmızı ekip etkinlikleri gerçekleştirin ve tüm kritik güvenlik bulgularının düzeltilmesini sağlayın.
Sızma testlerinizin Microsoft ilkelerini ihlal etmediğinden emin olmak için Microsoft Bulut Sızma Testi Etkileşim Kuralları'na uygun hareket edin. Microsoft tarafından yönetilen bulut altyapısına, hizmetlere ve uygulamalara yönelik kırmızı takım ve canlı site sızma testi gerçekleştirmek için Microsoft'un stratejisini ve yürütme sürecini kullanın.
Uygulama ve ek bağlam:
- Azure'da sızma testi yapma
- Sızma Testi Etkileşim Kuralları
- Microsoft Bulut ile Kırmızı Takım Oluşturma
- Bilgi Güvenliği Testi ve Değerlendirmesi için Teknik Kılavuz
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):