SASE, Sıfır Güven ve yapay zeka ile ağların güvenliğini sağlama

Ağ güvenliği, bir zamanlar veri merkezlerinin fiziksel sınırlarına bağlı olan geleneksel çevrenin ötesine geçmektedir. Günümüzde sınır dinamiktir—kullanıcılara, cihazlara ve verilere her yerde uzanır. Bu vardiya konakları yalıtan, şifrelemeyi zorlayan, ağları segmentlere ayıran ve denetimleri uygulamalara ve verilere daha yakın bir yere yerleştiren risk tabanlı ilkelerin benimsenmesini sağlar.

Güvenli Erişim Hizmeti Edge (SASE), çevre tamamen yeniden tanımlanarak bu evrimi yansıtır. Ağ ve güvenliği, ortamlar arasında kullanıcıları ve verileri takip eden bulut tabanlı bir hizmetle birleştirir. Bu yaklaşım ilke yönetimini basitleştirir ve korumayı güçlendirir.

SASE çerçevesine Sıfır Güven stratejisi eklemek, konumdan bağımsız olarak varsayılan olarak hiçbir kullanıcıya veya cihaza güvenilmesini sağlayarak güvenliği daha da artırır. Bu ilke, SASE'nin uçta erişimi güvenli hale getirme hedefiyle sorunsuz bir şekilde uyumlu hale getirmektedir.

Yapay Zeka (AI), verileri gerçek zamanlı olarak analiz ederek, tehditleri algılayarak ve hızlı, otomatik yanıtlar sağlayarak bu yaklaşımı güçlendirir. SASE, Sıfır Güven ve Yapay Zeka birlikte kuruluşları daha fazla çeviklik, hassasiyet ve dayanıklılıkla çevresiz bir dünyanın güvenliğini sağlama konusunda güçlendirdi.

Sıfır Güven ağ modelinin temel ilkeleri

Kurumsal güvenlik duvarının arkasındaki her şeyin güvenli olduğunu varsaymak yerine, uçtan uca sıfır güven stratejisi ihlallerin kaçınılmaz olduğunu kabul eder. Bu yaklaşım, kimlik yönetimi önemli bir rol oynarken her isteğin kontrolsüz bir ağdan geliyormuş gibi doğrulanması gerekir. Kuruluşlar Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Sıfır Güven modellerini ve desenlerini birleştirirse, güvenlik duruşlarını geliştirir ve ağlarını daha iyi korurlar.

Sıfır Güven modelinde ağlarınızın güvenliğini sağlamak üç temel hedefe odaklanır:

• Yetkisiz erişimi engelleyin. İlk risk riskini azaltmak için güçlü kimlik doğrulaması, sürekli doğrulama ve en az ayrıcalık ilkeleri uygulayın.
• İhlallerin etkisini sınırlayın. Tehditleri kontrol altına almak ve yanal hareketleri önlemek için ağ segmentasyonu, mikro sınırlar ve uyarlamalı kontroller kullanın.
• Görünürlüğü ve denetimi geliştirin. Güvenlik ilkesi zorlamasını birleştirmek, trafiği izlemek ve bulut ve hibrit ortamlarda ortaya çıkan tehditlere hızlı bir şekilde yanıt vermek için Güvenli Erişim Hizmeti Edge (SASE) gibi çözümleri kullanın.

Bu hedefler Sıfır Güven ilkeleriyle uyumlu. Ağ ve güvenlik işlevlerini tümleştiren SASE gibi modern çözümleri destekler. Bu tümleştirme kapsamlı koruma ve merkezi yönetim sağlar.

Bunun gerçekleşmesi için üç Sıfır Güven ilkesine uyun:

• Açıkça doğrulayın. Her zaman kimlik doğrulama ve yetkilendirmeyi, mevcut tüm veri noktalarına göre yapın. Kullanıcı kimliği, ağ, konum, cihaz durumu, hizmet veya iş yükü, kullanıcı ve cihaz riski, veri sınıflandırması ve anomalileri dahil edin.
• En az ayrıcalıklı erişim kullanın. Hem verileri hem de üretkenliği korumak için Just-In-Time ve Just-Enough-Access (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
• İhlal olduğunu varsayalım. İhlaller için etki yarıçapını en aza indirin ve erişimi ağ, kullanıcı, cihazlar ve uygulama farkındalığı ile segmentlere ayırma yoluyla yanal hareketi önleyin. Tüm oturumların uçtan uca şifrelendiğini doğrulayın. Görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analizi kullanın.

Sıfır Güven ağ dağıtım hedefleri

Sıfır Güven (ZT), örtük güven olmadığını varsayar ve her erişim isteğini sürekli olarak doğrulayan bir güvenlik modelidir. Sıfır Güven'deki Ağ Sütunu iletişimlerin güvenliğini sağlamaya, ortamları segmentlere ayırmaya ve kaynaklara en az ayrıcalık erişimini zorlamaya odaklanır.

Ağların güvenliğini sağlamak için uçtan uca Sıfır Güven çerçevesi uygularken öncelikle şu konulara odaklanmanızı öneririz:

• Network-Segmentation ve Software-Defined Çevreler
• Güvenli Erişim Hizmeti Edge (SASE) ve Sıfır Güven Ağ Erişimi (ZTNA)
• Güçlü Şifreleme ve Güvenli İletişim
• Ağ Görünürlüğü ve Tehdit Algılama
• Politika Temelli Erişim Denetimi ve En Az Ayrıcalık

Bu hedefler tamamlandıktan sonra 6 ve 7 hedeflerine odaklanın.

Sıfır Güven ağ dağıtım kılavuzu

Bu kılavuz, Sıfır Güven güvenlik çerçevesinin ilkelerini izleyerek ağlarınızın güvenliğini sağlamak için gereken adımlarda size yol gösterir.

1. Ağ segmentasyonu ve yazılım tanımlı çevreler

Ağ segmentasyonu ve Software-Defined Çevreleri (SDP), Sıfır Güven güvenlik modelinin temelini oluşturur. Statik, çevre tabanlı denetimlere güvenmek yerine, güvenliği kaynak düzeyinde dinamik olarak zorunlu kılmanız gerekir. Mikro segmentasyon kullanarak altyapınızı yalıtılmış segmentlere bölerken, saldırganların yanal hareketlerini kısıtlar ve ihlallerin etkisini en aza indirirsiniz. SDP, her kullanıcı kaynağı etkileşimi etrafında isteğe bağlı, kimlik merkezli mikro çevreler oluşturarak ve erişim vermeden önce bağlamı sürekli doğrulayarak bu yaklaşımı güçlendirir. Özetle şu temel ilkeleri izleyin:

• Ayrıntılı ağ segmentasyonu (Makro ve Mikro segmentasyon) uygulayarak yanal hareketi kısıtlayın.
• İlkeleri dinamik olarak zorunlu kılmak için Software-Defined Ağ (SDN) ve Ağ Erişim Denetimi (NAC) kullanın.
• Geleneksel IP tabanlı yöntemlere göre kimlik tabanlı segmentasyonu benimseyin.

1.1 Makro segmentasyon stratejisi

Mikro segmentasyona geçmeden önce daha geniş bir segmentasyon stratejisi oluşturmak çok önemlidir. Makro segmentasyonu, işlevsel veya güvenlik gereksinimlerine göre ağınızı daha büyük segmentlere bölmeyi içerir. Bu yaklaşım, ilk yönetimi basitleştirir ve mikro segmentasyon gibi daha ince ayrıntı düzeyinin oluşturulabileceği bir temel sağlar.

1.2 Ağ segmentasyonu: Bazı mikro segmentasyonlara sahip birçok giriş/çıkış bulutu mikro çevresi

Kuruluşların ağlarında tek bir büyük boru olması gerekmez. Sıfır Güven bir yaklaşımda, ağlar bunun yerine belirli iş yüklerinin bulunduğu daha küçük adalara ayrılır. Her kesimin, verilere yetkisiz erişimin etkisini en aza indirmek için kendi giriş ve çıkış denetimleri vardır. Ayrıntılı denetimlerle yazılım tanımlı çevreler uygulayarak, yetkisiz aktörlerin ağınız genelinde yayılma zorluğunu artırırsınız ve bu nedenle tehditlerin yanal hareketini azaltırsınız.

Tüm kuruluşların ihtiyaçlarına uygun bir mimari tasarımı yoktur. Ağınızı Sıfır Güven modeline göre segmentlere ayırmak için birkaç yaygın tasarım deseni arasında bir seçeneğiniz vardır.

Bu dağıtım kılavuzunda, şu tasarımlardan birini gerçekleştirme adımlarında size yol göstereceğiz: Mikro segmentasyon.

Mikro segmentasyon sayesinde kuruluşlar, yazılım tanımlı mikro çevreleri kullanarak basit merkezi ağ tabanlı çevrelerin ötesine geçerek kapsamlı ve dağıtılmış segmentasyona geçebilir.

1.3 Ağ segmentasyonu: Tam dağıtılmış giriş/çıkış bulutu mikro çevreleri ve daha derin mikro segmentasyon

İlk üç hedefinizi gerçekleştirdikten sonra, sonraki adım ağınızı daha fazla segmentlere ayırmaktır.

1.4 Dış sınırları bölümlere ayırma ve uygulama

Sınırın türüne bağlı olarak şu adımları izleyin:

İnternet sınırı

• Sanal ağ hub'ı aracılığıyla uygulama yolunuz için İnternet bağlantısı sağlamak için, sanal ağ hub'ında ağ güvenlik grubu kurallarını güncelleştirin .
• Sanal ağ hub'ını hacimli ağ katmanı saldırılarına ve protokol saldırılarına karşı korumak için Azure DDoS Ağ Koruması'nı açın.
• Uygulamanız HTTP/S protokolleri kullanıyorsa Katman 7 tehditlerine karşı koruma sağlamak için Azure Web Uygulaması Güvenlik Duvarı'ı açın.

İpucu

Azure DDoS Koruması hizmeti, yalnızca hub sanal ağındaki IP'leri değil, sanal ağlardaki genel IP adreslerini de korur. Azure Güvenlik Duvarı, giden İnternet bağlantısını denetlemek için de kullanılabilir. Daha fazla bilgi edinmek için bkz. Gelen ve giden İnternet bağlantısını planlama.

Şirket içi sınır

• Uygulamanızın şirket içi veri merkezinize veya özel bulutunuza bağlanması gerekiyorsa, sanal ağ hub'ınıza bağlantı içinMicrosoft Entra Özel Erişim, Azure ExpressRoute veya Azure VPN kullanın.
• Sanal ağ hub'ında trafiği incelemek ve yönetmek için Azure Güvenlik Duvarı'nı yapılandırın.

PaaS hizmetleri sınırı

• Azure tarafından sağlanan PaaS hizmetleri, Azure Depolama, Azure Cosmos DB veya Azure Web App kullanırken, tüm veri alışverişlerinin özel IP alanı üzerinden yapıldığından ve trafiğin Microsoft ağından hiç ayrılmadığından emin olmak için PrivateLink bağlantı seçeneğini kullanın.
• PaaS hizmetleriniz birbirleriyle iletişim kurmak ve genel ağ erişimini yönetmek için güvenli bir sınır gerektiriyorsa, bunları bir ağ güvenlik çevresiyle ilişkilendirmenizi öneririz. Özel Bağlantı bağlantısı, bu PaaS hizmetlerinin özel uç noktaları üzerinden gelen trafik için kabul edilir ve tüm veri alışverişlerinin özel IP adresleri üzerinden gerçekleştirilmesini ve trafiğin Microsoft ağından hiçbir zaman ayrılmamasını sağlar. Ağ Güvenlik Çevresi hakkında daha fazla bilgi edinin ve desteklenen PaaS hizmetlerinin listesine bakın.

İpucu

Veriler için uçtan uca Sıfır Güven stratejisi uygulama hakkında bilgi edinin.

Uygulama bileşenlerini farklı alt ağlara bölümleme

Şu adımları izleyin:

1. Sanal ağ içinde, bir uygulamanın ayrık bileşenlerinin kendi çevrelerine sahip olabilmesi için sanal ağ alt ağları ekleyin .
2. Yalnızca geçerli iletişimlere karşılık gelen bir uygulama alt bileşenine sahip alt ağlardan gelen trafiğe izin vermek için ağ güvenlik grubu kuralları uygulayın.

Alternatif olarak Azure güvenlik duvarı, belirli alt ağlardan ve Sanal Ağlardan gelen trafiğe izin vermek ve segmentlere ayırmak için de kullanılabilir.

• Bulut kaynakları, İnternet ve şirket içi kaynaklar arasında akan trafiği filtrelemek için Azure Güvenlik Duvarı'nı kullanın. Katman 3 ile 7. katman denetimlerini kullanarak trafiğe izin veren veya trafiği reddeden kurallar veya ilkeler oluşturmak için Azure Güvenlik Duvarı'nı veya Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Daha fazla bilgi edinmek için bkz. segmentasyon stratejisi oluşturma önerileri.

Uygulamalar farklı Azure Sanal Ağ 'lerine (VNet) bölümlenir ve merkez-uç modeli kullanılarak bağlanır

Şu adımları izleyin:

1. Farklı uygulamalar ve/veya uygulama bileşenleri için ayrılmış sanal ağlar oluşturun.
2. Uygulamalar arası bağlantı için güvenlik duruşunu ayarlamak ve uygulama sanal ağlarını merkez-uç mimarisine bağlamak için merkezi bir sanal ağ oluşturun.
3. Sanal ağ hub'ında Azure Güvenlik Duvarı'nı dağıtma. Ağ trafiğini incelemek ve yönetmek için Azure Güvenlik Duvarı'nı kullanın.

1.5 Ağ İzleyicisi Trafik Analizi ile segmentasyonu doğrulama

Ağ kesimlemenin amaçlandığı gibi çalıştığından emin olmak için kuruluşların Azure Ağ İzleyicisi Trafik Analizi uygulaması gerekir. Bu özellik, sanal ağ akış günlüklerini analiz ederek akış düzeyinde görünürlük sağlayarak ekiplerin segmentli ortamlardaki trafik desenlerini izlemesini sağlar.

Trafik Analizi, Sıfır Güven segmentasyonlarını şu şekilde destekler:

• Segmentasyon ilkelerini doğrulama: Trafiğin yalnızca hedeflenen segmentler arasında akıp akmadığını belirleyin ve segmentasyon sınırları ihlallerini algılayın.

• Yanal hareketi algılama: İhlal veya yanlış yapılandırmaya işaret eden beklenmeyen veya yetkisiz doğu-batı trafiğini ortaya çıkar.

• Görünürlüğü geliştirme: Ağ davranışıyla ilgili eyleme dönüştürülebilir içgörüler elde etmek için trafik akışlarını NSG kuralları ve tehdit bilgileriyle ilişkilendirin.

• Sürekli iyileştirmeyi destekleme: Mikro segmentasyon stratejilerini geliştirmek ve dinamik olarak en az ayrıcalıklı erişimi zorunlu kılmak için analizi kullanın.

Traffic Analytics'i Sıfır Güven dağıtımınızla tümleştirerek, segmentasyon stratejinizin etkinliğini sürekli değerlendirme ve geliştirme olanağı elde eder ve ağ sınırlarınızın yalnızca tanımlanmadığından, etkin bir şekilde izlenip zorlandığından emin olursunuz.

2. Güvenli Erişim Hizmeti Edge (SASE) ve Sıfır Güven Ağ Erişimi (ZTNA)

Kuruluşların modern ağların güvenliğini etkili bir şekilde sağlamak için eski çözümlerin ötesine geçmesi ve gelişmiş, tümleşik yaklaşımları benimsemesi gerekir. Taşıma, ayrıntılı, kimlik temelli bağlantı için Sıfır Güven Ağ Erişimi (ZTNA) çözümlerini benimsemeyi, ağ ve güvenlik özelliklerini birleştirmek için SASE mimarileri uygulamayı ve risk tabanlı erişim denetimleriyle sürekli oturum doğrulama uygulamayı içerir. Bu stratejiler birlikte çalışarak erişimin her zaman doğrulanmasını, tehditlerin en aza indirilmesini ve güvenlik ilkelerinin gelişen risklere dinamik olarak uyum sağlamasını sağlar.

2.1 Sıfır Güven Ağ Erişimi (ZTNA)

Sıfır Güven Ağ Erişimi geniş, çevresel tabanlı VPN'lerin yerini detaylı, kimlik duyarlı ve bağlama duyarlı bağlantı türüyle değiştirir. Her birinin önce Microsoft Genel Güvenli Erişim ve ardından Azure VPN Gateway seçenekleri için açıklandığı üç temel ZTNA özelliği.

Microsoft'un ZTNA uygulaması, Güvenlik Hizmeti Edge (SSE) temeli üzerinde oluşturulan Microsoft Entra altındaki Genel Güvenli Erişim (önizleme) özelliğinin bir parçasıdır.
Daha fazla bilgi edinin: Genel Güvenli Erişim nedir? (Microsoft Entra)

2.2 Kimlik kullanan ZTNA ile geleneksel VPN'leri modernleştirme

Genel Güvenli Erişim
Microsoft'un Genel Güvenli Erişimi, geniş ağ tünellerinin yerini uygulamaya özgü, kimlik temelli bağlantılarla değiştirir. Kullanıcı erişim istediğinde Genel Güvenli Erişim, uçta tek oturum açma ve Koşullu Erişim için Microsoft Entra ID kullanır; gelen güvenlik duvarı kuralları gerekmez. Kullanıcı portalında yalnızca onaylı uygulamalar görünür ve erişim kararları cihaz duruşunu (Uç Nokta için Defender'dan) ve gerçek zamanlı risk sinyallerini temel alır.

• Genel Güvenli Erişime genel bakış
• Özel Erişim'e genel bakış

Azure VPN Ağ Geçidi
Tüneli oluşturmadan önce kimlik doğrulamasını Microsoft Entra ID ile tümleştirerek, Koşullu Erişim ilkelerini (MFA, cihaz uyumluluğu ve Adlandırılmış Konumlar gibi) zorunlu kılarak noktadan siteye (P2S) VPN'leri modernleştirin. Azure Sanal WAN hub'larında P2S VPN ve ExpressRoute, Azure Güvenlik Duvarı Yöneticisi aracılığıyla merkezi güvenlik ve yönlendirme ile küresel ölçekte çalışır. Bu yaklaşım, tanıdık VPN bağlantısını korurken, asgari ayrıcalık ve kimlik farkındalığına sahip erişim sağlar.

• Microsoft Entra Id kimlik doğrulaması ile P2S VPN'i ayarlama
• Azure Sanal WAN genel bakış

2.3 SASE Mimarisini Kullanma: Ağ ve Güvenlik İşlevlerini Tümleştirme

Ağ ve Güvenlik İşlevlerini SASE ile Tümleştirme

Genel Güvenli Erişim
Genel Güvenli Erişim, Güvenli Web Ağ Geçidi (SWG), Bulut Erişim Güvenlik Aracısı (CASB) ve Hizmet Olarak Güvenlik Duvarı (FWaaS) gibi Güvenlik Hizmeti Edge (SSE) özelliklerini birleşik bir SASE çerçevesine getirir. İster İnternet'i ister özel uygulamaları hedefleyen kullanıcı trafiği Microsoft'un genel uç ağı üzerinden yönlendirilir. Burada TLS denetimi, URL filtreleme, veri kaybı önleme (DLP) ve tehdit bilgileri uygulanır. Cloud Apps için Defender, SaaS uygulamaları için satır içi oturum denetimi sağlarken Azure Güvenlik Duvarı özel uygulama erişimini korur.

• Genel Güvenli Erişimde SWG:Microsoft Entra İnternet Erişimi
• Cloud Apps için Defender ile CASB:Cloud Apps için Defender nedir?

Bu mimari:

• Merkezi denetim ve kontrol için kullanıcı trafiğini Microsoft'un ucundan yönlendirir.
• Güvenlik politikası zorlamasını birleştirerek karmaşıklığı azaltır
• Performans ve uyumluluk için trafik yönlendirme ve bölünmüş tünel oluşturmayı destekler

Azure VPN Gateway Tümleştirmesi
Geleneksel VPN uç noktaları, zorlamalı tünel yapılandırmaları kullanılarak Azure Güvenlik Duvarı veya iş ortağı SWG cihazlarıyla tümleştirilebilir. Yapılandırma, Azure Güvenlik Duvarı Yöneticisi, tehdit bilgileri ve Koşullu Erişim oturum denetimleriyle giden ve gelen VPN trafiğinin denetlenmesini ve denetlenmesini sağlar. VPN oturumlarına URL filtreleme, derin paket denetimi (DPI) ve DLP uygulayabilirsiniz. Cloud Apps için Defender oturum ilkeleri, tünellenmiş trafikte yükleme/indirme denetimlerini ve gölge BT keşfini uygulayabilir.

• Azure Güvenlik Duvarı ile zorlamalı tünel VPN'i hakkında bilgi edinin

2.4 Sürekli oturum doğrulama ve risk tabanlı erişim uygulama

Sürekli oturum doğrulama, erişim kararlarının yalnızca ilk oturum açmada değil gerçek zamanlı olarak uygulanmasını sağlar. Bu yaklaşım, kuruluşların değişen risk koşullarına hızla yanıt vermelerine ve güçlü bir güvenlik duruşu sürdürmelerine yardımcı olur.

Microsoft Genel Güvenli Erişim
Sıfır Güven Ağ Erişimi tek seferlik bir denetim değildir. Microsoft Genel Güvenli Erişim, algılanan kötü amaçlı yazılım veya olağan dışı konumlar gibi risk sinyallerini izlemek için Sürekli Erişim Değerlendirmesi 'ni (CAE) kullanır ve uygulama erişim belirteçlerini iptal edebilir veya yeniden değerlendirebilir ve risk algılandığında ağ bağlantısını sonlandırabilir. Cloud Apps için Defender, indirmeleri engelleme, oturumları erteleme veya etkin oturum sırasında fazladan çok faktörlü kimlik doğrulaması (MFA) gerektirme gibi canlı oturum denetimlerini zorunlu tutarak uygular. Microsoft Sentinel veya Microsoft Defender XDR'deki otomatik yanıt playbook'ları güvenliği aşılmış cihazları yalıtabilir veya hesapları gerçek zamanlı olarak devre dışı bırakabilir.

• Sürekli Erişim Değerlendirmesi (CAE) hakkında bilgi edinin
• Cloud Apps için Defender oturum denetimleri hakkında bilgi edinin
• Evrensel Sürekli Erişim Değerlendirmesi (Önizleme) hakkında bilgi edinin

Azure VPN Gateway Microsoft Entra ID kimlik doğrulaması kullanan VPN bağlantıları için Sürekli Erişim Değerlendirmesi (CAE) desteklenir. Koşullu Erişim riskli bir kullanıcı veya cihaz algılarsa VPN tüneli kapatılabilir veya yeniden kimlik doğrulaması gerektirebilir. VPN günlüklerini Microsoft Sentinel'e gönderebilir ve IP'leri engellemek, erişimi iptal etmek veya güvenlik ekiplerini uyarmak için otomatik playbook'ları kullanarak VPN bağlantıları için hızlı, risk tabanlı yanıtlar sağlayabilirsiniz.

• Microsoft Entra Id ile VPN Gateway kimlik doğrulaması
• Microsoft Sentinel playbook'larıyla yanıtı otomatikleştirme

3. Güçlü şifreleme ve güvenli iletişim

Modern ağ iletişimi her aşamada güçlü bir şekilde şifrelenmeli ve güvenli hale getirilmelidir. Kuruluşların gerçekleştirmesi gerekenler:

• Aktarım Katmanı Güvenliği (TLS) 1.3'i kullanın ve tüm ağ trafiği için uçtan uca şifrelemeyi zorunlu kılın. TLS 1.3, modern iş yüklerini korumak için gerekli olan daha güçlü güvenlik, daha hızlı el sıkışmaları ve her zaman şifrelenmiş istemci kimlik doğrulaması sunar.
• hem istemci hem de sunucu kimliklerinin doğrulandığından emin olmak için iş yükleri ve cihazlar arasında karşılıklı kimlik doğrulamasını (mTLS) zorunlu tutarak, geçerli kimlik bilgileriyle bile yetkisiz erişimi önleyin.
• TLS 1.0/1.1 veya eski şifrelemeler gibi şifrelemesi olmayan güvenilmeyen veya eski protokolleri engelleyin.

Uyarı

TLS yasal trafiğin güvenliğini sağlarken, kötü amaçlı yazılım ve veri sızıntısı gibi tehditler şifrelenmiş oturumlarda gizlenebilir. Microsoft Entra Internet Access TLS incelemesi, şifrelenmiş trafikte görünürlük sağlayarak kötü amaçlı yazılım algılama, veri kaybı önleme ve gelişmiş güvenlik denetimleri sağlar. Aktarım Katmanı Güvenliği denetimi hakkında daha fazla bilgi edinin.

Uyarı

Azure Güvenlik Duvarı, ağ trafiğinde TLS denetimi gerçekleştirebilir. Verilerin şifresini çözer, Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) veya uygulama kuralları uygular, ardından yeniden şifreler ve iletir. Azure Güvenlik Duvarı TLS incelemesi ve Azure Güvenlik Duvarı Premium sertifikaları hakkında daha fazla bilgi edinin.

Önemli öneriler

• Azure App Service ve Azure Front Door: Web uygulamalarında yalnızca güvenli şifreleme paketlerinin kullanıldığından emin olmak için En Düşük Gelen TLS Sürümünü 1.3 olarak ayarlayın. Daha fazla bilgi edinmek için bkz . App Service ve Front Door için en düşük TLS sürümünü zorunlu kılma.
• Azure IoT Edge, IoT Hub ve diğer PaaS hizmetleri: Cihaz SDK'larının TLS 1.3'i desteklediğini onaylayın veya TLS 1.2+ ile kısıtlayın.
• Azure Application Gateway (v2): İstemci doğrulaması için OCP ile doğrulanmış sertifikaları kullanarak mTLS'i destekler. Daha fazla bilgi edinmek için bkz. App Service'te TLS'ye genel bakış.
• Sanal ağlar arasındaki uygulama arka uç trafiğini şifreleyin.
• Şirket içi ile bulut arasındaki trafiği şifreleyin:
  • ExpressRoute Microsoft eşlemesi üzerinden siteden siteye VPN'i yapılandırın.
  • ExpressRoute özel eşlemesi için IPsec aktarım modunu kullanın.
  • Sunucular arasında ExpressRoute özel eşleme üzerinden mTLS ayarlayın.

Güvenilmeyen veya eski protokolleri engelleme

• Azure uç noktaları (App Service, Depolama, SQL, Event Hubs vb.): Yalnızca TLS 1.2+ sürümünü kabul edin ve ideal olarak eski sürümleri devre dışı bırakarak 1.3'i zorunlu kılın.
• Sanal Makineler ve Ağ Gereçleri: Eski protokolleri (SMBv1 veya özel TLS <1.2 gibi) taramak ve düzeltmeyi zorlamak için Azure İlkesi'ni ve Bulut için Microsoft Defender'ı kullanın.
• operasyonel hijyen: eski şifrelemeleri ve protokolleri işletim sistemi veya uygulama düzeyinde devre dışı bırakın (örneğin, Windows Server veya SQL Server'da TLS 1.0/1.1'i devre dışı bırakın).

Kuantum Sonrası Şifrelemeye (PQC) hazırlanma

Geleneksel ortak anahtar şifreleme algoritmaları (RSA ve ECC gibi) gelecekteki kuantum bilgisayarlara karşı savunmasızdır. Microsoft, kuantuma dayanıklı algoritmaları (LMS ve ML-DSA, FIPS 204) platformuyla tümleştirmiştir ve yakında daha geniş kapsamlı PQC desteği sunulacaktır. TLS 1.3'e geçiş yapmaya başlayın ve standartlar sonlandırıldığında PQC tümleştirmesine hazırlanın.

3.1 Şifreleme: Kullanıcıdan uygulamaya iç trafik şifrelenir

Kullanıcıdan uygulamaya iç trafiğin şifrelendiğinden emin olmak için şifreleme ekleyin.

Şu adımları izleyin:

1. Azure Front Door kullanarak HTTP trafiğini HTTPS'ye yönlendirerek İnternet'e yönelik web uygulamalarınız için yalnızca HTTPS iletişimi uygulayın.
2. Azure VPN Gateway'i kullanarak uzak çalışanları/iş ortaklarını Microsoft Azure'a bağlayın.
3. Azure VPN Gateway hizmetinde noktadan siteye trafik için şifrelemeyi açın.
4. Azure Bastion aracılığıyla şifrelenmiş iletişimi kullanarak Azure sanal makinelerinize güvenli bir şekilde erişin.
5. Linux sanal makinesine SSH kullanarak bağlanma.
6. Uzak Masaüstü Protokolü 'nü (RDP) kullanarak bir Windows sanal makinesine bağlanın.

İpucu

Uygulamalar için uçtan uca Sıfır Güven stratejisi uygulama hakkında bilgi edinin.

3.2 Şifreleme: Tüm trafik

Son olarak, tüm trafiğin şifrelendiğinden emin olarak ağ korumanızı tamamlayın.

Şu adımları izleyin:

1. Sanal ağlar arasındaki uygulama arka uç trafiğini şifreleyin.
2. Şirket içi ile bulut arasındaki trafiği şifreleyin:
   1. ExpressRoute Microsoft eşlemesi üzerinden siteden siteye VPN yapılandırın.
   2. ExpressRoute özel eşlemesi için IPsec aktarım modunu yapılandırın.
   3. ExpressRoute özel eşlemesi genelinde sunucular arasında mTLS yapılandırın.

4. Ağ görünürlüğü ve tehdit algılama

Sıfır Güven güvenlik modelinde "asla güvenme, her zaman doğrulama" ilkesi yalnızca kullanıcılar ve cihazlar için değil, aynı zamanda ağ trafiği için de geçerlidir. Kaynaklara nasıl erişildiğine ilişkin sürekli görünürlük sağladığından, güvenlik ilkeleriyle uyumluluğu sağladığından ve şüpheli veya yetkisiz davranışların hızla algılanmasını sağladığından ağ etkinliğinin izlenmesi ve günlüğe kaydedilmesi Sıfır Güven'i zorunlu tutma açısından kritik önem taşır. Bu bölümün kapsayacağı temel öğeler aşağıdadır:

• Ağ trafiğini izlemek ve analiz etmek için Ağ Algılama ve Yanıt (NDR) dağıtın.
• Gerçek zamanlı tehdit avcılığı için DPI (Derin Paket İncelemesi) ve yapay zeka temelli anomali algılamayı kullanın.
• Ağ analizi için merkezi bir kayıt tutma ve SIEM/SOAR tümleştirmesi sürdürün.
• Trafik desenlerini analiz etmek, anomalileri tanımlamak ve ihlalleri önlemek için Genişletilmiş Algılama ve Yanıt (XDR) dağıtın.
• Yeni ortaya çıkan tehditlere hızlı yanıtları geliştirmek için yapay zeka temelli analizleri tümleştirin.
• Genel Güvenli Erişim kaynağı IP geri yüklemesini benimseyerek gelişmiş tehdit algılamayı ve yanıtı etkinleştirin.
• Genel Güvenli Erişim günlüklerini ve izlemeyi kullanın.

4.1 Tehdit koruması: Makine öğrenmesi tabanlı tehdit koruması ve bağlam tabanlı sinyallerle filtreleme

Daha fazla tehdit koruması için Azure'da barındırılan uygulama trafiğinizi sürekli izlemek için Azure DDoS Ağ Koruması'yı açın, hacimli trafik taşmalarını temel alıp algılamak, protokol saldırılarını algılamak ve otomatik risk azaltmaları uygulamak için ML tabanlı çerçeveler kullanın.

Şu adımları izleyin:

1. Yapılandırma ve yönetme Azure DDoS Ağ Koruması.
2. DDoS koruma ölçümleri için uyarıları yapılandırın.
3. Microsoft Sentinel'i Azure Web Uygulaması Güvenlik Duvarı ile kullanma
4. Microsoft Sentinel ile Azure Güvenlik Duvarı'nı kullanma

4.2 Tehdit koruması: Bulutta yerel filtreleme ve bilinen tehditlere karşı koruma

Uç noktaları İnternet veya şirket içi ayak iziniz gibi dış ortamlara açan bulut uygulamaları, bu ortamlardan gelen saldırı riski altındadır. Bu nedenle trafiği kötü amaçlı yük veya mantık açısından taramanız zorunlu olur.

Bu tür tehditler iki geniş kategoriye ayrılır:

• Bilinen saldırılar. Yazılım sağlayıcınız veya daha büyük topluluk tarafından bulunan tehditler. Böyle durumlarda, saldırı imzası kullanılabilir ve her isteğin bu imzalara karşı denetlendiğinden emin olmanız gerekir. Önemli olan, algılama altyapınızı yeni tanımlanan tüm saldırılarla hızla güncelleştirebilmektir.

• Bilinmeyen saldırılar. Bu saldırılar, bilinen herhangi bir imzayla tam olarak eşleşmeyen tehditlerdir. Bu tür tehditler, sıfır günlük güvenlik açıklarını ve istek trafiğindeki olağan dışı desenleri içerir. Bu tür saldırıları algılama özelliği, savunmanızın nelerin normal ve ne olmadığını ne kadar iyi bilmelerine bağlıdır. Savunmanız sürekli olarak öğrenilmeli ve işletmeniz (ve ilişkili trafik) gibi desenlerin güncelleştirilmesi gerekir.

Bilinen tehditlere karşı koruma sağlamak için şu adımları göz önünde bulundurun:

• Web içeriği filtreleme ve TLS denetimi gibi Microsoft Entra İnternet Erişimi özelliklerini uygulayın. Daha fazla bilgi edinmek için bkz. Tüm uygulamalar için Microsoft Entra Internet Access hakkında bilgi edinin.

• Azure Web Uygulaması Güvenlik Duvarı'nı (WAF) kullanarak uç noktaları şu şekilde koruyun:

  1. Bilinen web katmanı saldırılarına karşı koruma sağlamak için varsayılan kural kümesini veya OWASP ilk 10 koruma kural kümesini açma
  2. Kötü amaçlı botların bilgileri kazımasını, kimlik bilgilerini doldurmasını vb. engellemek için bot koruma kural kümesini açma.
  3. İşletmenize özgü tehditlere karşı koruma sağlamak için özel kurallar ekleme.

  İki seçeneknden birini kullanabilirsiniz:

  • Azure Front Door
    • Azure Front Door'da bir Web Uygulaması Güvenlik Duvarı ilkesi oluşturun.
    • Web Uygulaması Güvenlik Duvarı için bot korumasını yapılandırın.
    • Web Uygulaması Güvenlik Duvarı için özel kurallar.
  • Azure Uygulama Ağ Geçidi
    • Web Uygulaması Güvenlik Duvarı ile bir uygulama ağ geçidi oluşturun.
    • Web Uygulaması Güvenlik Duvarı için bot korumasını yapılandırın.
    • Web Uygulaması Güvenlik Duvarı v2 özel kuralları oluşturun ve kullanın..

• Katman 4'te tehdit bilgileri tabanlı ve IDPS filtrelemesi için Azure Güvenlik Duvarı ile ön uç noktalar:

  • Azure portalı kullanarak Azure Güvenlik Duvarı'nı dağıtma ve yapılandırma.
  • Trafiğiniz için tehdit bilgileri tabanlı filtrelemeyi etkinleştirin.

    İpucu

    Uç noktalar için uçtan uca Sıfır Güven stratejisi uygulama hakkında bilgi edinin.

  • Azure Güvenlik Duvarı IDPS etkinleştirildiğinde ağ trafiğindeki tehditleri algılar ve önler

4.3 İzleme ve görünürlük

Trafik Analizi

Ağ İzleyicisi Trafik Analizi , anormal trafiği algılamak, segmentasyon ilkelerini doğrulamak ve gölge BT veya yanlış yapılandırılmış erişim yollarını ortaya çıkarmak için sanal ağ akış günlüklerini analiz ederek Sıfır Güven segmentasyonunda kritik bir rol oynar. Güvenlik ekiplerinin segmentler arasındaki trafiği görselleştirmesine ve gerçek zamanlı telemetriye dayalı uyarlamalı denetimleri zorlamasına olanak tanır.

Günlük Analizi

Microsoft Defender Genişletilmiş Algılama ve Yanıt (XDR)

Microsoft Defender Genişletilmiş Algılama ve Yanıt (XDR), bir ihlalden önce ve sonra kullandığınız birleşik bir kurumsal savunma paketidir. Paket, algılama, önleme, araştırma ve yanıtı uç noktalar, kimlikler, e-postalar ve uygulamalar arasında yerel olarak koordine eder. Gelişmiş saldırılara karşı koruma sağlamak ve bu saldırılara yanıt vermek için Defender XDR kullanın.

• Uyarıları araştırın
• Defender XDR ile Sıfır Güven hakkında bilgi edinin
• ABD hükümeti için Defender XDR'yi öğrenin

Microsoft Sentinel

Çalışma kitaplarını kullanarak özel analiz sorguları geliştirin ve toplanan verileri görselleştirin.

• Özelleştirilmiş analiz kurallarıyla tehditleri algılama
• Toplanan verileri görselleştirme
• Çalışma kitaplarını Genel Güvenli Erişim ile kullanma

AI-Enabled Ağ Erişimi

Microsoft Sentinel

Güvenlik duvarı etkinliklerini görselleştirmek, yapay zeka araştırma özellikleriyle tehditleri algılamak, etkinlikleri ilişkilendirmek ve yanıt eylemlerini otomatikleştirmek için Azure Güvenlik Duvarı'nı kullanın.

• Microsoft Sentinel ile Azure Güvenlik Duvarı

Microsoft Entra ID Protection, kullanıcıları ve oturum açma riskini algılamak için makine öğrenmesi (ML) algoritmalarını kullanır. Dinamik erişim için, risk düzeyine bağlı olarak Koşullu Erişim ilkelerindeki risk koşullarını kullanın.

• Microsoft Entra Kimlik Koruması
• Risk algılamaları
• Risk tabanlı erişim ilkeleri

Genel Güvenli Erişim

Kuruluşlar, Microsoft Entra Global Güvenli Erişim günlüklerinden yararlanarak erişim girişimlerini izleyebilir, veri akışlarını izleyebilir ve anomalileri gerçek zamanlı olarak tanımlayabilir. Bu ayrıntılı izleme yalnızca yetkili kimliklerin ve cihazların hassas kaynaklara eriştiğini doğrulamaya yardımcı olur, olay yanıtlarını destekler ve denetimler ve araştırmalar için önemli kanıtlar sağlar. Bu nedenle kapsamlı trafik günlüğü, Sıfır Güven mimarisinin korunması ve etkinliğinin kanıtlanmasında temel bir öğedir. Trafik günlüklerinin yanı sıra ek sinyallerle ilişkili günlükler mevcuttur.

• Genel Güvenli Erişim günlüklerini ve izleme
• Genel Güvenli Erişim denetim günlükleri
• Genel Güvenli Erişim zenginleştirilmiş Microsoft 365 günlükleri
• Genel Güvenli Erişim trafik günlükleri
• Uzak Ağ Sistem Durumu Günlükleri

4.4 Otomasyon ve düzenleme

Otomasyon ve düzenleme, ağ altyapısı genelinde Sıfır Güven ilkelerinin zorunlu tutması için gereklidir. Kuruluşlar otomatik zorlama, yanıt ve idareden yararlanarak güvenli ve dayanıklı bağlantı elde edebilir.

Azure ağ yapısı

Azure Güvenlik Duvarı, Ağ Güvenlik Grupları (NSG), Sanal WAN ve DDoS Koruması gibi Azure ağ hizmetleri ARM şablonları, Bicep, Terraform ve Azure İlkesi gibi Kod Olarak Altyapı (IaC) araçları kullanılarak dağıtılabilir, yönetilebilir ve izlenebilir.

Önemli özellikler:

• Otomatik dağıtım: Ağ kesimlemesi (NSG'ler, Azure Güvenlik Duvarı) ve filtreleme denetimlerini otomatik olarak dağıtmak için IaC işlem hatlarını kullanın.
• Sürekli uyumluluk: Azure İlkesi ile güvenlik standartlarını (ör. genel IP'leri engelleme, şifreleme gerektirme) zorunlu kılma ve otomatik olarak düzeltme.
• DevOps tümleştirmesi: Bildirim temelli, sürüm denetimli ağ yapılandırmaları için GitOps/DevOps iş akışlarıyla tümleştirin.

Örnek: Bicep ve Azure DevOps kullanılarak yeni bir alt ağ sağlandığında NSG kurallarını ve Azure Güvenlik Duvarı ilkelerini otomatik olarak dağıtın.

• Hızlı Başlangıç: Azure Güvenlik Duvarı ve güvenlik duvarı ilkesi oluşturma - Bicep
• Pod trafiğini ağ politikalarıyla güvenli hale getirme - Azure Kubernetes Hizmeti

Microsoft Entra (Kimlik İdaresi ile Genel Güvenli Erişim)

Microsoft Entra Global Secure Access, eski VPN'lerin ötesine geçerek kimlik kullanan erişimi ağ denetimleriyle birleştirir. Kimlik İdaresi bunu yetkilendirme otomasyonu ile genişletir.

Önemli özellikler:

• Otomatik ekleme: Microsoft Graph API'lerini ve ilke şablonlarını kullanarak uygulamaları/hizmetleri Özel Erişim'e veya Uygulama Ara Sunucusu'nda ekleyin.
• Yetkilendirme yönetimi: Onay iş akışları, süre sonu ve erişim gözden geçirmeleri ile ağ erişim paketlerini tanımlayın.
• Dinamik sağlamayı kaldırma: Rol değişikliklerine veya yaşam döngüsü olaylarına göre ağ yetkilendirmelerini otomatik olarak kaldırın.

Örnek: Kullanıcı bir projeye katıldığında belirli uygulamalara Özel Erişim izni veren ve zorunlu süre sonu ve erişim gözden geçirmesi olan bir erişim paketi atayın.

• Yetkilendirme Yönetimi ile erişim paketi atamalarını otomatikleştirme

Microsoft Sentinel

Microsoft Sentinel, ağ tehdit algılama ve yanıtlarını otomatikleştirmek için playbook'lar (Logic Apps) sağlar.

Önemli özellikler:

• Otomatik yanıt: Kötü amaçlı IP'leri/etki alanlarını engellemek için NSG veya Azure Güvenlik Duvarı kurallarını güncelleştirin.
• Kaynak karantinası: Koşullu Erişimi ayarlayarak oturumları devre dışı bırakın veya kaynakları karantinaya alın.
• Uyarı zenginleştirmesi: Ağ uyarılarını akış günlükleri, DNS, kimlik ve cihaz telemetrisiyle ilişkilendirin.

Örnek: Sentinel bilinen bir kötü amaçlı IP ile iletişimi algılar; bir playbook, Azure Güvenlik Duvarı IP gruplarını güncelleştirir ve SecOps'a bildirir.

• Playbook örneği: Azure NSG'de kötü amaçlı IP'yi engelleme
• Sentinel playbook'ları ile tehdit yanıtlarını otomatikleştirme

Microsoft Defender XDR

Microsoft Defender XDR kimlik, uç nokta ve ağ sinyalleri arasında algılama, araştırma ve eşgüdümlü yanıtı otomatikleştirir.

Önemli özellikler:

• Bağıntı: Kimlik ve cihaz bağlamı kullanarak yanal hareketi veya anormal ağ desenlerini algılar.
• Otomatik yalıtım: Güvenliği aşılmış cihazları ayırarak platformlar arasında uygulama eylemlerini başlatır.
• Entegrasyon: Uçtan uca olay yanıtı için Sentinel ve Entra ile çalışır.

Örnek: Uç Nokta için Defender komut ve denetim (C2) trafiğini algılar, XDR cihazı yalıtır ve Hedefi Azure Güvenlik Duvarı'nda engellemek için bir Sentinel playbook'u tetikler.

• Defender XDR'de otomatik araştırma ve yanıt

5. İlke temelli erişim denetimi ve en az ayrıcalık

Modern Sıfır Güven ağları, en az ayrıcalık uygulayan ve riske dinamik olarak yanıt veren ayrıntılı, uyarlamalı erişim denetimleri gerektirir. İlke temelli erişim, kullanıcıların ve cihazların yalnızca gereken en kısa süre boyunca ve yalnızca doğru koşullar altında gereken en düşük izinleri almalarını sağlar.

5.1 Bağlama duyarlı erişim ilkeleri uygulama

• Kullanıcı, cihaz, konum, uygulama ve risk sinyallerini temel alan ilkeler tanımlamak için Microsoft Entra Koşullu Erişim'i kullanın.
• Koşullu Erişim dağıtımınızı, ilkeleri kuruluş gereksinimlerinizle uyumlu hale getirmek için planlayarak başlayın.
• Yaygın senaryolar için Koşullu Erişim ilkesi şablonlarıyla dağıtımı hızlandırın.

5.2 Risk tabanlı ve uyarlamalı denetimleri zorunlu kılma

• Bilinmeyen oturum açma işlemleri veya riskli cihazlar gibi risk algılandığında çok faktörlü kimlik doğrulaması (MFA) gerektirir.
• Gerçek zamanlı risk değerlendirmesine dayalı olarak MFA'yı otomatik olarak sormak için oturum açma riski tabanlı MFA kullanın.
• İlke kararlarını bilgilendirmek ve düzeltmeyi otomatikleştirmek için Microsoft Entra ID Protection'daki risk algılamalarını anlayın.

5.3 Just-in-Time (JIT) ve ayrıcalıklı erişim uygulama

• Yalnızca gerektiğinde yükseltilmiş izinler vermek için Privileged Identity Management'ı (PIM) kullanarak Tam Zamanında (JIT) erişimi zorunlu kılın.
• PIM ve Global Secure Access ile özel uygulamaların güvenli erişimini sağlayın, ayrıcalıkları azaltın ve maruziyeti sınırlayın.

5.4 Karma ve uygulamaya özgü erişim

• Karma ortamlar için Genel Güvenli Erişim Uygulamalarını kullanarak uygulama başına erişim ilkelerini yapılandırın.
• Ayrıntılı, ilke temelli sunucu erişimi için Microsoft Entra Özel Erişimi ile SSH kullanarak güvenli uzaktan yönetimi etkinleştirin.

5.5 Varsayılan olarak erişimi reddetme ve sürekli değerlendirme

• Tüm ağ katmanlarında varsayılan olarak reddetme ilkelerini uygulayın ve yalnızca ilke tarafından açıkça izin verildiğinde erişim izni verin.
• Saldırı yüzeyini en aza indirmek için oturum riskini sürekli değerlendirin ve ilke değişikliklerini gerçek zamanlı olarak uygulayın.

Ağınızdaki yetkisiz erişimi azaltmak ve yanal hareketi sınırlamak için bağlama duyarlı, risk tabanlı ve en düşük ayrıcalık ilkelerini kullanın.

6. Bulut ve hibrit ağ güvenliği

Bulut ve hibrit ortamların güvenliğini sağlamak için tüm platformlarda modern, bulutta yerel denetimlerin ve tutarlı ilke zorlamasının bir birleşimi gerekir. Kuruluşlar çoklu bulut ve karma mimarileri benimsedikçe, Sıfır Güven ilkelerini geleneksel veri merkezlerinin ötesinde bulut iş yükleri, SaaS ve PaaS ortamlarına genişletmek çok önemlidir.

6.1 Mikro çevreler ve bulutta yerel güvenlik duvarlarıyla bulut iş yüklerinin güvenliğini sağlama

• Mikro çevreler: Tek tek iş yükleri, uygulamalar veya hizmetlerle ilgili ayrıntılı güvenlik sınırları oluşturmak için mikro segmentlere ayırmayı kullanın. Bu, yanal hareketi sınırlar ve yalıtılmış segmentlerde olası ihlalleri içerir.
• Bulutta yerel güvenlik duvarları: Bulut iş yükleri arasındaki trafiği incelemek ve denetlemek, tehdit zekası tabanlı filtrelemeyi zorunlu kılmak ve büyük ölçekte uygulama ve ağ kuralları uygulamak için Azure Güvenlik Duvarı gibi çözümler dağıtın.
• Ağ Güvenlik Grupları (NSG): Sanal ağlar içindeki kaynaklar için ayrıntılı erişim denetimleri tanımlamak ve zorunlu kılmak için Ağ Güvenlik Grupları (NSG) ve Uygulama Güvenlik Grupları kullanın.
• Özel uç noktalar: Özel IP adresleri üzerinden PaaS hizmetlerine erişimi kısıtlamak ve trafiğin güvenilir Microsoft omurgası içinde kalmasını sağlamak için Azure Özel Bağlantı'yı kullanın.

6.2 SaaS ve PaaS güvenliği için kimlik kullanan proxy'leri tümleştirme

• Kimlik kullanan proxy'ler: SaaS ve PaaS uygulamalarına aracı erişimi sağlamak için Microsoft Entra Private Access gibi çözümler uygulayın. Bu proxy'ler erişim vermeden önce kimlik doğrulaması, cihaz uyumluluğu ve Koşullu Erişim ilkelerini zorunlu kılar. Kimlik kullanan internet erişimi için Microsoft Entra Internet Access'i göz önünde bulundurun.
• Bulut Erişim Güvenlik Aracısı (CASB): SaaS kullanımını keşfetmek, izlemek ve denetlemek, veri kaybı önleme (DLP) uygulamak ve bulut uygulamaları için oturum denetimleri uygulamak için Cloud Apps için Microsoft Defender'ı kullanın.
• Sürekli oturum doğrulama: SaaS ve PaaS erişimi için kullanıcı, cihaz ve oturum bağlamı temelinde uyarlamalı denetimler de dahil olmak üzere risk tabanlı, gerçek zamanlı ilke uygulama.

6.3 Hibrit ve çoklu bulut ortamlarında tutarlı güvenlik ilkesi uygulaması sağlayın

• Birleşik ilke yönetimi: Şirket içi, Azure ve diğer bulut sağlayıcıları arasında tutarlı güvenlik ilkeleri tanımlamak ve uygulamak için Microsoft Entra Koşullu Erişim ve Azure İlkesi gibi platformları kullanın.
• Karma bağlantı:Azure VPN Gateway, ExpressRoute kullanarak karma bağlantıların güvenliğini sağlama ve tüm ortamlar arası trafik için şifreleme ve erişim denetimlerini zorunlu kılma.
• Merkezi izleme ve yanıt: Birleşik görünürlük, tehdit algılama ve otomatik yanıt için tüm ortamlardaki günlükleri ve güvenlik olaylarını Microsoft Sentinel veya SIEM/SOAR platformunuzla tümleştirin.
• Çoklu bulut güvenlik duruşu yönetimi: Azure ve diğer bulut sağlayıcılarındaki kaynakların güvenlik duruşunu değerlendirmek, izlemek ve iyileştirmek için Bulut için Microsoft Defender gibi araçları kullanın.

Bu stratejileri uygulayan kuruluşlar, bulut ve hibrit ağlar için sağlam, uçtan uca güvenlik sağlayabilir. Yaklaşım, iş yüklerinin ve verilerin bulunduğu konumdan bağımsız olarak Sıfır Güven ilkelerinin tutarlı bir şekilde uygulanmasını sağlar.

7. Eski ağ güvenlik teknolojisini sonlandır

Sıfır Güven, herhangi bir ağ kesiminde veya cihazda örtük güveni reddeder. Düz VPN tünelleri, "saç pini" trafik denetimi, sabit kodlanmış erişim denetim listeleri (ACL'ler) ve statik ağ güvenlik duvarları gibi eski çevre odaklı denetimler artık modern hibrit ve buluta özel ortamlar için gerekli uyarlamalı, kimliğe duyarlı ve bağlama duyarlı koruma sağlamaz. Sıfır Güven'i tam olarak gerçekleştirmek için kuruluşların bu eski teknolojileri kimlik temelli, yazılım tanımlı güvenlik hizmetlerinden yararlanarak kullanımdan kaldırması gerekir.

7.1 Emeklilik kapsamı

Kullanımdan kaldırmaya yönelik eski teknolojiler şunlardır:

• Yalnızca cihaz sertifikalarına veya paylaşılan anahtarlara dayalı olarak geniş ağ erişimi sağlayan geleneksel VPN'ler.
• Statik kural kümelerine ve sınırlı uygulama düzeyinde görünürlüğe sahip katı ağ güvenlik duvarları.
• Yerleşik tehdit kontrolü veya oturum kontrolü olmayan eski web proxy'leri.
• Kimlik veya cihaz duruş sinyalleriyle tümleştirme olmadan ağ ACL'leri veya yol bazlı segmentasyon.

7.2 Değiştirme ilkeleri

Kullanım dışı bırakılan her denetim için, modern bir Sıfır Güven alternatifi benimseyin:

• Sıfır Güven Ağ Erişimi'ni kullanarak uygulama veya iş yükü katmanında en az ayrıcalıklı erişimi zorlar.
• Kimlik ve cihaz durumu, (Microsoft Entra ID ve Microsoft Defender for Endpoint kullanılarak) her erişim kararına entegre edilir.
• Sürekli Erişim Değerlendirmesi ve oturum yeniden değerlendirmesi ile sürekli doğrulama sağlar.
• Güvenli Web Ağ Geçidi (SWG), Bulut Erişim Güvenlik Aracısı (CASB), Hizmet Olarak Güvenlik Duvarı (FWaaS) ve Ağ Algılama ve Yanıt (NDR) gibi Güvenli Erişim Hizmeti Edge (SASE) ve Güvenlik Hizmeti Edge (SSE) çözümleri aracılığıyla yazılım tanımlı görünürlük ve denetim sağlar.

7.3 Geçiş stratejisi

1. Envanter ve öncelik belirleme

   • Tüm eski gereçleri ve VPN profillerini kataloglayın.
   • Kritikliğe göre sınıflandırma (genel kullanıma yönelik uygulamalar, iş ortağı bağlantısı, uzaktan yönetim).

2. Pilot çalışması ve doğrulama

   • Düşük riskli uygulama kümeleri için Microsoft Genel Güvenli Erişim veya Microsoft Entra ID kimlik doğrulaması ile Azure VPN Gateway kullanarak ZTNA pilotlarını destekleyin.
   • Bağlantıyı, performansı ve politika uygulamasını doğrulayın.

3. Aşamalı rampa aşağı

   • Kullanıcı kohortlarını ve uygulama gruplarını dalgalar halinde geçirerek başarı ölçümlerini (erişim süresi, yardım masası biletleri ve güvenlik uyarıları gibi) izleyin.
   • Seçtiğiniz SASE veya SSE yığını aracılığıyla trafiği aynı anda yeniden yönlendirin.

4. Resmi hizmetten çıkarma

   • Donanım gereçlerini devre dışı bırakın ve eski VPN yapılandırmalarını iptal edin.
   • Kullanım dışı bırakılan teknolojiyi kaldırmak için ağ diyagramlarını ve operasyonel runbook'ları güncelleştirin.

Bu kılavuzda ele alınan ürünler

Azure Ağı

Sanal Ağ ve Alt Ağlar

Ağ Güvenlik Grupları ve Uygulama Güvenlik Grupları

Azure Güvenlik Duvarı

Azure DDoS Koruması

Azure Web Uygulaması Güvenlik Duvarı

Azure VPN Ağ Geçidi

Azure ExpressRoute

Azure Ağ İzleyicisi

Microsoft Entra Özel Erişim

Microsoft Entra İnternet Erişimi

Sonuç

Ağların güvenliğini sağlamak, başarılı bir Sıfır Güven stratejisinin merkezinde yer alır. Daha fazla bilgi edinmek veya uygulamayla ilgili yardım almak için Müşteri Başarısı ekibinize başvurun veya bu kılavuzun tüm Sıfır Güven sütunlarını kapsayan diğer bölümlerini okumaya devam edin.