Önceki

Sonraki

Bütünlüğü korumak için tasarlama

Tamamlandı

Sistemin amaçlanan yardımcı programını sunmasını durdurabilecek veya belirtilen sınırların dışında çalışmasına neden olabilecek kesintileri önlemek için tasarım, uygulama, işlemler ve verilerin bozulmasını önleyin. Sistem, iş yükü yaşam döngüsü boyunca bilgi güvencesi sağlamalıdır.

Önemli olan iş mantığının, akışların, dağıtım işlemlerinin, verilerin ve hatta işletim sistemi ve önyükleme dizisi gibi alt yığın bileşenlerinin kurcalanmasını engelleyen denetimler uygulamaktır. Bütünlük eksikliği, gizlilik ve kullanılabilirlik ihlallerine yol açabilecek güvenlik açıklarına neden olabilir.

Örnek senaryo

Contoso Paint Sistemleri, endüstriyel sprey boya makineleri için buhar algılama ve havalandırma kontrol sistemleri oluşturur. Sistem ayrıca çevresel etki raporlama amacıyla hava kalitesi verilerini otomatik olarak yakalamak için de kullanılır. IoT cihazlarını destekleyen ve tüm boyama kabinlerine dağıtılan bulut tabanlı bir uygulaması vardır. Uygulamanın şirket içi bileşenleri Azure Stack HCI ve özel IoT cihazlarında çalışır. Sistem ilk prototip aşamasında ve iş yükü ekibi üretim sürümünü bir yıl içinde yayınlamayı planlıyor.

Tedarik zincirinizi savunma

Güvenlik açıklarına karşı sürekli koruma sağlayın ve saldırganların altyapınıza, derleme sisteminize, araçlarınıza, kitaplıklarınıza ve diğer bağımlılıklarınıza yazılım hataları eklemesini engellemek için bunları tedarik zincirinizde algılayın. Derleme zamanı ve çalışma zamanı sırasında güvenlik açıkları taranmalıdır

Yazılımın kaynağını bilmek ve yaşam döngüsü boyunca orijinalliğini doğrulamak öngörülebilirlik sağlayacaktır. Güvenlik açıklarını önceden iyi biliyor olacaksınız, böylece bunları proaktif olarak düzeltebilir ve sistemin üretimde güvenliğini sağlayabilirsiniz.

Contoso'nun sınaması

• Mühendislik ekibi derleme ve yayın işlem hatlarını uyguluyor ancak henüz derleme sisteminin bütünlüğünü ele almadı.
• Hem üretici yazılımında hem de bulut bileşenlerinde birkaç açık kaynak çözümü kullanmayı tercih ettiler.
• Tedarik zinciri güvenliğinin aşılması veya kötü niyetli insider'ların, sistemleri kesintiye uğratmak ve hatta verileri sızdırmak için kullanılabilecek kodu nasıl bozabileceğini duymuşlardır. Müşterisinin çevresel raporlaması, rapor vermemeye veya denetimde bulunan bir yanlış beyana neden olacak şekilde etkilendiyse Contoso ve müşterisi üzerindeki etki yıkıcı olabilir.

Yaklaşımı ve sonuçları uygulama

• Ekip, hem üretici yazılımı hem de arka uç bulut sistemleri için derleme işlemlerini değiştirir ve şimdi bağımlılıklardaki bilinen yaygın güvenlik açıkları ve açığa çıkarmalar (CVE) hakkında uyarı vermek için güvenlik tarama adımlarını içerir. Buna ek olarak, artık kod ve paketlerin kötü amaçlı yazılım taramasını da içerir.
• Ayrıca Windows Defender Uygulama Denetimi gibi Azure Stack HCI üzerinde çalışmaya yönelik kötü amaçlı yazılımdan koruma seçeneklerini de ele alır.
• Bu ölçüler, bu çözümün bir parçası olarak dağıtılan üretici yazılımının ve yazılımın beklenmeyen eylemler gerçekleştirmeyerek sistemin bütünlüğünü veya müşterinin çevresel raporlama gereksinimlerini etkilemeye yönelik güveni artırmaya yardımcı olur.

Güçlü şifreleme mekanizmaları kullanma

Kod imzalama, sertifikalar ve şifreleme gibi şifreleme tekniklerini kullanarak güven oluşturun ve doğrulayın. Saygın şifre çözme işlemlerine izin vererek bu mekanizmaları koruyun.

Bu yaklaşımı benimseyerek, verilerde yapılan değişikliklerin veya sisteme erişimin güvenilir bir kaynak tarafından doğrulandığını bilirsiniz.

Şifrelenmiş veriler kötü amaçlı bir aktör tarafından aktarım sırasında kesilse bile, aktör içeriğin kilidini veya şifresini çözemez. İletim sırasında verilerin değiştirilmediğinden emin olmak için dijital imzaları kullanabilirsiniz.

Contoso'nun sınaması

• Algılama ve veri aktarımı için seçilen cihazlar şu anda HTTPS'yi ve hatta özel şifrelemeyi desteklemek için yeterli işlem gücüne sahip değildir.
• İş yükü ekibi, birincil yalıtım tekniği olarak ağ sınırlarını kullanmayı planlıyor.
• Risk analizi gözden geçirmesinde IoT cihazları ve denetim sistemleri arasındaki şifrelenmemiş iletişimin kurcalamaya yol açabileceği ve ağ kesimlemenin yeterli sayılmaması gerektiği vurgulandı.

Yaklaşımı ve sonuçları uygulama

• Özel IoT cihazının üreticisiyle birlikte çalışan ekip, yalnızca sertifika tabanlı iletişimi değil, aynı zamanda yonga üzerinde kod imzalama doğrulamasını da destekleyen daha yüksek güçlendirilmiş bir cihaz kullanmaya karar verir, böylece yalnızca imzalı üretici yazılımı yürütülür.

Yedeklemelerinizin güvenliğini iyileştirme

Veriler çoğaltıldığında veya aktarıldığında yedekleme verilerinin sabit ve şifrelenmiş olduğundan emin olun.

Bu yaklaşımı benimseyerek, bekleyen yedekleme verilerinin yanlışlıkla veya kötü amaçlı olarak değiştirilmediğinden güvenle verileri kurtarabileceksiniz.

Contoso'nun sınaması

• Her ay Ortam Koruma Ajansı emisyon raporu oluşturulur, ancak bu raporların yılda yalnızca üç kez gönderilmesi gerekir.
• Rapor oluşturulur ve gönderilmesi gerekene kadar bir Azure Depolama hesabında depolanır. Bu, raporlama sisteminin olağanüstü durumlarla karşılaşması durumunda yedekleme olarak gerçekleştirilir.
• Yedekleme raporunun kendisi şifrelenmez, ancak HTTP'ler üzerinden depolama hesabına aktarılır.

Yaklaşımı ve sonuçları uygulama

• Bir güvenlik açığı analizi gerçekleştirdikten sonra ekip, yedeklemenin şifrelenmemiş olarak bırakılmasının ele alınması gereken bir risk olduğunu görür. Ekip, raporu şifreleyerek ve Azure blob Depolama'nin Bir Tane Yaz, Çok Oku (WORM) sabit depolama seçeneğinde depolayarak riski ele alır.
• Yeni yaklaşım, yedeklemenin bütünlüğünün korunmasını sağlar.
• Ek bir bütünlük ölçüsü olarak, ana sistemden oluşturulan rapor artık birincil veri kaynağıyla yapılan tüm değişiklikleri algılamak için bir SHA karması yetkili yedeklemeyle karşılaştırır.

Bilgilerinizi kontrol edin

1.

Aşağıdakilerden hangisi tedarik zincirinizde tehdit taramasını benimsemek için bir nedendir?

Tarama, kodunuzdaki güvenlik açıklarını algılamaya yardımcı olabilir.

Tarama, saldırganların yazılımınızdaki güvenlik açıklarından yararlanmasını önler.

Tarama, kodunuzun güvenlik açıklarından arındırılmasını sağlar.

Tarama, kodunuzun kötü amaçlı yazılım içermemesini sağlar.

2.

Bunlardan hangisi şifreleme denetimlerine örnektir?

Veritabanına erişimi engellemek için Azure SQL Veritabanı güvenlik duvarı işlevini kullanma.

Kod imzalama ve şifreleme kullanma.

Güvenlik temellerini zorlamak için Azure İlkesi kullanma.

Ortamınızı taramak için Microsoft Sentinel'i kullanma.

3.

Contoso rapor yedeklemelerinin sabit olmasını nasıl sağladı?

Raporu oluşturulduktan sonra otomatik olarak Arşiv Depolama taşır.

Yedekleme yalnızca VM disk depolama alanında tutulur.

Rapor 30 gün sonra otomatik olarak silinir.

Rapor, bir kere okundu-yaz (WORM) özelliği kullanılarak Azure Depolama'a yedeklenmiştir.

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et