Güvenlik temeli oluşturma önerileri

Azure Well-Architected Framework Güvenlik denetim listesi önerisi için geçerlidir:

SE:01	Uyumluluk gereksinimlerine, sektör standartlarına ve platform önerilerine uygun bir güvenlik temeli oluşturun. Zaman içinde güvenlik duruşunuzu sürdürmek veya geliştirmek için iş yükü mimarinizi ve işlemlerinizi taban çizgisine göre düzenli olarak ölçün.

Bu kılavuzda güvenlik temeli oluşturmaya yönelik öneriler açıklanmaktadır. Güvenlik temeli, kuruluşunuzun çeşitli alanlardaki en düşük güvenlik gereksinimlerini ve beklentilerini belirten bir belgedir. İyi bir güvenlik temeli şunları kullanmanıza yardımcı olur:

• Verilerinizin ve sistemlerinizin güvenliğini sağlayın.
• Mevzuat gereksinimlerine uyun.
• Gözetim riskini en aza indirin.
• İhlal ve sonraki iş etkileri olasılığını azaltın.

Tüm paydaşların beklentilerin farkında olması için güvenlik temelleri kuruluşunuz genelinde yaygın olarak yayımlanmalıdır.

Bu kılavuz, iç ve dış faktörleri temel alan bir güvenlik temeli ayarlama hakkında öneriler sağlar. İç faktörler arasında iş gereksinimleri, riskler ve varlık değerlendirmesi yer alır. Dış faktörler arasında endüstri karşılaştırmaları ve mevzuat standartları yer alır.

Tanımlar

Süre	Tanım
Taban çizgisi	Bir iş yükünün kötüye kullanmaktan kaçınmak için sahip olması gereken en düşük güvenlik gücü düzeyi.
Kıyaslama	Kuruluşun hedeflediğini güvenlik duruşunu belirten bir standart. Zaman içinde değerlendirilir, ölçülür ve iyileştirilir.
Denetimler	Saldırıları önlemeye ve saldırgan maliyetlerini artırmaya yardımcı olan iş yükü üzerindeki teknik veya operasyonel denetimler.
Mevzuat gereksinimleri	Yasaların ve yetkililerin uyguladığı, endüstri standartlarına göre yönlendirilen bir dizi iş gereksinimi.

Temel tasarım stratejileri

Güvenlik temeli, güvenliği artırmak için iş yükünün yerine getirmesi gereken bir dizi güvenlik ölçütü ve özelliği tanımlayan yapılandırılmış bir belgedir. Daha olgun bir biçimde, temeli, korumaları ayarlamak için kullandığınız bir ilke kümesini içerecek şekilde genişletebilirsiniz.

Temel, güvenlik duruşunuzu ölçmek için standart olarak kabul edilmelidir. Hedef, geniş bir kapsam tutarken her zaman tam erişim olmalıdır.

Güvenlik temeliniz hiçbir zaman geçici bir çaba olmamalıdır. Sektör standartları, uyumluluk (iç veya dış) veya mevzuat gereksinimleri, bölgesel gereksinimler ve bulut platformu karşılaştırmaları temel etmenlerdir. Örnek olarak İnternet Güvenliği Merkezi (CIS) Denetimleri, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Microsoft bulut güvenliği karşılaştırması (MCSB) gibi platform tabanlı standartlar verilebilir. Bu standartların tümü temeliniz için bir başlangıç noktası olarak kabul edilir. İş gereksinimlerinden güvenlik gereksinimlerini birleştirerek temeli oluşturun.

Önceki varlıkların bağlantıları için bkz . İlgili bağlantılar.

İş ve teknik liderler arasında fikir birliği sağlayarak temeli İçerik Oluşturucu. Temel, teknik denetimler ile sınırlandırılmamalıdır. Ayrıca güvenlik duruşunu yönetmenin ve korumanın operasyonel yönlerini de içermelidir. Bu nedenle temel belge, kuruluşun iş yükü güvenliğine yönelik yatırım taahhüdü olarak da görev alır. İş yükünün güvenlik duruşu hakkında farkındalık olduğundan emin olmak için güvenlik temeli belgesinin kuruluşunuz içinde yaygın olarak dağıtılması gerekir.

İş yükü büyüdükçe ve ekosistem geliştikçe, temel denetimlerin hala etkili olduğundan emin olmak için temelinizin değişikliklerle eşitlenmiş durumda tutulması çok önemlidir.

Temel oluşturmak yöntemsel bir işlemdir. İşlemle ilgili bazı öneriler şunlardır:

• Varlık envanteri. İş yükü varlıklarının paydaşlarını ve bu varlıkların güvenlik hedeflerini belirleyin. Varlık envanterinde güvenlik gereksinimlerine ve kritikliğe göre sınıflandırın. Veri varlıkları hakkında bilgi için bkz. Veri sınıflandırma önerileri.

• Risk değerlendirmesi. Her varlıkla ilişkili olası riskleri belirleyin ve önceliklerini belirleyin.

• Uyumluluk gereksinimleri. Bu varlıklar için herhangi bir mevzuat veya uyumluluk temeli belirleyin ve sektörün en iyi yöntemlerini uygulayın.

• Yapılandırma standartları. Her varlık için belirli güvenlik yapılandırmalarını ve ayarlarını tanımlayın ve belgeleyin. Mümkünse, ayarları ortam genelinde tutarlı bir şekilde uygulamak için tekrarlanabilir, otomatik bir yol seçin veya bulun.

• Erişim denetimi ve kimlik doğrulaması. Rol tabanlı erişim denetimi (RBAC) ve çok faktörlü kimlik doğrulaması (MFA) gereksinimlerini belirtin. Varlık düzeyinde yeterli erişimin ne anlama geldiğini belgeleyin. Her zaman en az ayrıcalık ilkesiyle başlayın.

• Düzeltme eki yönetimi. Saldırılara karşı güçlendirmek için tüm kaynak türlerine en son sürümleri uygulayın.

• Belgeler ve iletişim. Tüm yapılandırmaları, ilkeleri ve yordamları belgeleyin. Ayrıntıları ilgili paydaşlara iletin.

• Zorlama ve sorumluluk. Güvenlik temeli ile uyumsuzluk için açık zorlama mekanizmaları ve sonuçları oluşturun. Güvenlik standartlarını korumak için bireyleri ve ekipleri sorumlu tutun.

• Sürekli izleme. Gözlemlenebilirlik aracılığıyla güvenlik temelinin etkinliğini değerlendirin ve fazla mesai geliştirmeleri yapın.

Taban çizgisinin bileşimi

Aşağıda, temelin parçası olması gereken bazı yaygın kategoriler yer alır. Aşağıdaki liste kapsamlı değildir. Belgenin kapsamına genel bir bakış olarak tasarlanmıştır.

Mevzuata uyumluluk

Bir iş yükü belirli sektör segmentleri için mevzuat uyumluluğuna tabi olabilir, bazı coğrafi kısıtlamalar olabilir ve bu şekilde devam edebilir. Tasarım seçimlerini etkilediğinden ve bazı durumlarda mimariye dahil edilmeleri gerektiğinden, mevzuat belirtimlerinde belirtildiği gibi gereksinimleri anlamak önemlidir.

Temel, iş yükünün yasal gereksinimlere göre düzenli olarak değerlendirilmesini içermelidir. Uyumsuzluk alanlarını belirleyebilen Bulut için Microsoft Defender gibi platform tarafından sağlanan araçlardan yararlanın. Tüm gereksinimlerin karşılandığından ve korundığından emin olmak için kuruluşun uyumluluk ekibiyle birlikte çalışın.

Mimari bileşenleri

Temel, iş yükünün ana bileşenleri için açıklayıcı önerilere ihtiyaç duyar. Bunlar genellikle ağ, kimlik, işlem ve veriler için teknik denetimleri içerir. Platform tarafından sağlanan güvenlik temellerine başvurun ve eksik denetimleri mimariye ekleyin.

Örnek'e bakın.

Geliştirme süreçleri

Temelin aşağıdakiler hakkında önerileri olmalıdır:

• Sistem sınıflandırması.
• Onaylanan kaynak türleri kümesi.
• Kaynakları izleme.
• Kaynakları kullanmak veya yapılandırmak için ilkeleri zorunlu tutma.

Geliştirme ekibinin güvenlik denetimlerinin kapsamını net bir şekilde anlamış olması gerekir. Örneğin, tehdit modelleme, olası tehditlerin kodda ve dağıtım işlem hatlarında tanımlandığından emin olmak için bir gereksinimdir. İşlem hattınızdaki statik denetimler ve güvenlik açığı taramaları ve ekibin bu taramaları ne kadar düzenli bir şekilde gerçekleştirmesi gerektiği konusunda özel olun.

Daha fazla bilgi için bkz. Tehdit analizi önerileri.

Geliştirme süreci ayrıca çeşitli test metodolojileri ve tempoları üzerinde standartlar belirlemelidir. Daha fazla bilgi için bkz . Güvenlik testi önerileri.

Operations

Temel, tehdit algılama özelliklerini kullanma ve gerçek olayları gösteren anormal etkinliklerde uyarı oluşturma standartları belirlemelidir. Tehdit algılamanın, düşman ağlardan erişilebilen tüm uç noktalar dahil olmak üzere iş yükünün tüm katmanlarını içermesi gerekir.

Temel, iletişim ve kurtarma planı dahil olmak üzere olay yanıtı işlemlerini ayarlamaya yönelik önerileri ve algılama ve analizi hızlandırmak için bu işlemlerden hangisinin otomatik hale dönüştürülebileceğini içermelidir. Örnekler için bkz . Azure için güvenlik temellerine genel bakış.

Olay yanıtı ayrıca bir kurtarma planı ve yedeklemeleri düzenli olarak almak ve korumak için kaynaklar gibi bu planın gereksinimlerini içermelidir.

Platform tarafından sağlanan sektör standartlarını ve önerilerini kullanarak veri ihlali planları geliştirirsiniz. Daha sonra bir ihlal keşfedildiğinde ekibin izlemesi gereken kapsamlı bir planı vardır. Ayrıca, siber dayanıklılık kapsamında olup olmadığını öğrenmek için kuruluşunuza danışın.

Eğitim

İş yükü ekibinin güvenlik hedeflerini ve gereksinimlerini desteklemek için uygun becerilere sahip olduğundan emin olmak için bir güvenlik eğitim programı geliştirin ve koruyun. Ekibin temel güvenlik eğitimine ihtiyacı vardır, ancak özel rolleri desteklemek için kuruluşunuzdan yapabileceklerinizi kullanın. Rol tabanlı güvenlik eğitimi uyumluluğu ve tatbikatlara katılım, güvenlik temelinizin bir parçasıdır.

Temeli kullanma

Aşağıdakiler gibi girişimleri yönlendirmek için temeli kullanın:

• Tasarım kararlarına hazırlıklı olma. Mimari tasarım işlemine başlamadan önce güvenlik temelini İçerik Oluşturucu ve yayımlayın. Ekip üyelerinin kuruluşunuzun beklentilerini erken fark etmelerini sağlayın. Bu, netlik eksikliğinden kaynaklanan yüksek maliyetli yeniden çalışmalardan kaçınabilir. Temel ölçütleri, kuruluşun taahhüt etmiş olduğu iş yükü gereksinimleri olarak kullanabilir ve bu kısıtlamalara göre denetim tasarlayabilir ve doğrulayabilirsiniz.

• Tasarımınızı ölçün. Geçerli kararlara geçerli taban çizgisine göre not verin. Temel, ölçütler için gerçek eşikleri ayarlar. Ertelenen veya uzun vadeli kabul edilebilir kabul edilen sapmaları belgele.

• Sürücü geliştirmeleri. Taban çizgisi ulaşılabilir hedefleri ayarlarken, her zaman boşluklar vardır. Kapsamınızdaki boşlukların önceliğini belirleyin ve öncelik belirlemeye göre düzeltin.

• İlerlemenizi taban çizgisine göre izleyin. Güvenlik önlemlerinin belirli bir taban çizgisine göre sürekli izlenmesi önemlidir. Eğilim analizi, zaman içindeki güvenlik ilerlemesini gözden geçirmenin iyi bir yoludur ve temelden tutarlı sapmaları ortaya koyabilir. Mevcut sorunları çözmek ve gelecekteki tehditlere hazırlanmak için, iç ve dış çeşitli kaynaklardan veri çekerek otomasyonu mümkün olduğunca kullanın.

• Korumaları ayarlayın. Mümkün olduğunda, temel ölçütlerinizin korumaları olmalıdır. Korumalar, iç faktörlere ve dış faktörlere bağlı olarak gerekli güvenlik yapılandırmalarını, teknolojilerini ve işlemlerini zorunlu tutuyor. İç faktörler arasında iş gereksinimleri, riskler ve varlık değerlendirmesi yer alır. Dış faktörler arasında karşılaştırmalar, mevzuat standartları ve tehdit ortamı yer alır. Korumalar, uyumsuzluk için yanlışlıkla gözetim ve ceza cezaları riskini en aza indirmeye yardımcı olur.

Özel seçenekler için Azure İlkesi keşfedin veya güvenlik yapılandırmalarını ve uyumluluk gereksinimlerini zorunlu kılmak için CIS karşılaştırmaları veya Azure Güvenlik Karşılaştırması gibi yerleşik girişimleri kullanın. Temellerin dışında Azure İlkeleri ve girişimler oluşturmayı göz önünde bulundurun.

Temeli düzenli olarak değerlendirme

Sürekli risk azaltma sağlamak için güvenlik standartlarını sürekli olarak ideal duruma doğru artımlı olarak geliştirin. Sistemin güncel ve dış etkilerle uyumlu olduğundan emin olmak için düzenli incelemeler yapın. Temeldeki tüm değişiklikler resmi, üzerinde anlaşmaya varılmış ve uygun değişiklik yönetimi süreçleri aracılığıyla gönderilmelidir.

Sistemi yeni taban çizgisine göre ölçün ve bunların iş yükü üzerindeki ilgisine ve etkisine göre düzeltmelerin önceliğini belirleyin.

Denetim ve izlemenin kuruluş standartlarıyla uyumluluğunu sağlayarak güvenlik duruşunun zaman içinde azalmadığından emin olun.

Azure kolaylaştırma

Microsoft bulut güvenliği karşılaştırması (MCSB), güvenlik temeliniz için başlangıç noktası olarak kullanabileceğiniz kapsamlı bir en iyi güvenlik uygulaması çerçevesidir. Temelinize giriş sağlayan diğer kaynaklarla birlikte kullanın.

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırmasına giriş.

Bulut için Microsoft Defender (MDC) mevzuat uyumluluğu panosunu kullanarak bu temelleri izleyin ve bir temelin dışında bir desen algılanırsa uyarı alın. Daha fazla bilgi için bkz. Mevzuat uyumluluğu panonuzdaki standartlar kümesini özelleştirme.

Temeli oluşturmaya ve geliştirmeye yardımcı olan diğer özellikler:

• Özel Azure güvenlik ilkelerini İçerik Oluşturucu

• Güvenlik ilkelerini, girişimlerini ve önerilerini anlama

• Mevzuat uyumluluğu denetimleri

Örnek

Bu mantıksal diyagram, ortak bir BT ortamının nasıl güvenli bir şekilde korunabileceğini göstermek için ağ, altyapı, uç nokta, uygulama, veri ve kimliği kapsayan mimari bileşenler için örnek bir güvenlik temeli gösterir. Diğer öneri kılavuzları bu örneği oluşturur.

Altyapı

Temel kaynaklara sahip bir şirket içi katmanı olan ortak bir BT ortamı.

Azure Güvenlik hizmetleri

Korudukları kaynak türlerine göre Azure güvenlik hizmetleri ve özellikleri.

Azure güvenlik izleme hizmetleri

Azure'da güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıt (SOAR) çözümleri ve Bulut için Microsoft Defender gibi basit izleme hizmetlerinin ötesine geçebilen izleme hizmetleri.

Tehditler

Bu katman, metodoloji veya matris benzeri Mitre Saldırı Matrisi veya Siber Sonlandırma zincirinden bağımsız olarak tehditlerin kuruluşunuzun tehditlerle ilgili endişelerine göre eşlenebileceğini belirten bir öneri ve anımsatıcı getirir.

İlgili bağlantılar

• Microsoft uyumluluğu

• Azure için güvenlik temellerine genel bakış

• Olay yanıtı nedir? Planlama ve adımlar

• Azure Güvenlik karşılaştırmaları

Topluluk bağlantıları

• CIS Microsoft Azure Foundations Benchmark

• Siber güvenlik çerçevesi | NIST

Güvenlik denetim listesi

Önerilerin tamamına bakın.

Güvenlik denetim listesi