Azure VM temeli oluşturma

  • 5 dakika

Azure İlkesi ilkeleri oluşturmak, atamak ve yönetmek için kullanabileceğiniz bir Azure hizmetidir. Oluşturduğunuz ilkeler, bu kaynakların kurumsal standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalması için kaynaklarınız üzerinde farklı kurallar ve etkiler uygular. Azure İlkesi, kaynaklarınızın atanan ilkelerle uyumlu olup olmadığını değerlendirerek bu ihtiyacı karşılar. Örneğin, ortamınızda vm'nin yalnızca belirli bir SKU boyutuna izin veren bir ilkeniz olabilir. Bu ilke uygulamaya alındığında yeni ve mevcut kaynaklarda uyumluluk değerlendirmesi yapılır. Doğru ilke türüyle mevcut kaynakları uyumlu hale getirebilirsiniz.

Azure VM güvenlik önerileri

Aşağıdaki bölümlerde CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0'daki Azure VM güvenlik önerileri açıklanmaktadır. Her öneriye Azure portalında tamamlamanız gereken temel adımlar dahildir. Kendi aboneliğiniz için ve her güvenlik önerisini doğrulamak için kendi kaynaklarınızı kullanarak bu adımları tamamlamanız gerekir. 2. Düzey seçeneklerinin bazı özellikleri veya etkinlikleri kısıtlayabileceğini unutmayın ve dolayısıyla hangi güvenlik seçeneklerini zorunlu tutacağınıza karar verirken özen gösterin.

İşletim sistemi disklerinin şifrelenmesini sağlama - 1. Düzey

Azure Disk Şifrelemesi, kuruluşunuzun güvenlik ve uyumluluk taahhütlerini yerine getirmek için verilerinizin korunmasına ve korunmasına yardımcı olur. Azure Disk Şifrelemesi:

  • Windows'un BitLocker özelliğini ve Linux'un DM-Crypt özelliğini kullanarak Azure VM'lerinin işletim sistemi ve veri diskleri için birim şifrelemesi sağlar.
  • Disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşir.
  • VM disklerindeki tüm verilerin Azure depolama alanındayken şifrelenmesini sağlar.

Windows ve Linux VM'leri için Azure Disk Şifreleme Standart VM'lerde ve Azure Premium Depolama içeren VM'lerde tüm Azure genel bölgelerinde ve Azure Kamu bölgelerinde Genel Kullanılabilirlik aşamasındadır.

Bulut için Microsoft Defender kullanıyorsanız (önerilir), şifrelenmemiş VM'leriniz varsa uyarı alırsınız. Azure aboneliğinizdeki her VM için aşağıdaki adımları tamamlayın.

  1. Azure Portal’ında oturum açın. Sanal makineleri aratın ve seçin.

  2. Bir sanal makine seçin.

  3. Sol taraftaki menüde Ayarlar'ın altında Diskler'i seçin.

  4. İşletim sistemi diski altında, işletim sistemi diskinde bir şifreleme türü ayarlandığından emin olun.

  5. Veri diskleri'nin altında her diskin bir şifreleme türü kümesi olduğundan emin olun.

  6. Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.

Şifreleme türü vurgulanmış sanal makineler için Diskler bölmesini gösteren ekran görüntüsü.

Yalnızca onaylı VM uzantılarının yüklendiğinden emin olun - 1. Düzey

Azure VM uzantıları, Azure VM'lerinde dağıtım sonrası yapılandırma ve otomasyon görevleri sağlayan küçük uygulamalardır. Örneğin, bir VM yazılım yüklemesi veya virüsten koruma gerektiriyorsa veya VM'nin bir betik çalıştırması gerekiyorsa, vm uzantısını kullanabilirsiniz. Azure CLI, PowerShell, Azure Resource Manager şablonu veya Azure portalı kullanarak bir Azure VM uzantısı çalıştırabilirsiniz. Uzantıları yeni bir VM dağıtımıyla paketleyebilir veya mevcut herhangi bir sistemde çalıştırabilirsiniz. VM'lerinize yalnızca onaylı uzantıların yüklendiğinden emin olmak için Azure portalını kullanmak için Azure aboneliğinizdeki her VM için aşağıdaki adımları tamamlayın.

  1. Azure Portal’ında oturum açın. Sanal makineleri aratın ve seçin.

  2. Bir sanal makine seçin.

  3. Soldaki menüde Ayarlar'ın altında Uzantılar + uygulamalar'ı seçin.

  4. Uzantılar + uygulamalar bölmesinde, listelenen uzantıların kullanım için onaylandığından emin olun.

Uzantılar + uygulamalar bölmesinde V M uzantılarını gösteren ekran görüntüsü.

VM'ler için işletim sistemi yamalarının uygulandığından emin olma - 1. Düzey

Bulut için Microsoft Defender eksik işletim sistemi güncelleştirmeleri için Windows ve Linux VM'lerini ve bilgisayarlarını günlük olarak izler. Defender for Cloud, kullanılabilir güvenlik ve kritik güncelleştirmelerin listesini Windows Update veya Windows Server Update Services (WSUS) üzerinden alır. Aldığınız güncelleştirmeler, Windows bilgisayarda hangi hizmeti yapılandırdığınıza bağlıdır. Bulut için Defender ayrıca Linux sistemlerindeki en son güncelleştirmeleri de denetler. VM'nizde veya bilgisayarınızda bir sistem güncelleştirmesi eksikse, Bulut için Defender sistem güncelleştirmelerini uygulamanızı önerir.

  1. Azure Portal’ında oturum açın. Bulut için Microsoft Defender'ı arayın ve seçin.

  2. Soldaki menüde Genel'in altında Öneriler'i seçin.

  3. Öneriler bölümünde, Sistem güncelleştirmelerini uygulama tavsiyelerinin olmadığından emin olun.

Bulut için Microsoft Defender Önerileri bölmesinin ekran görüntüsü.

VM'lerin yüklü ve çalışan bir uç nokta koruma çözümü olduğundan emin olun - 1. Düzey

Bulut için Microsoft Defender kötü amaçlı yazılımdan koruma durumunu izler. Uç nokta koruma sorunları bölmesinde bu durumu bildirir. Bulut için Defender, vm'lerinizi ve bilgisayarlarınızı kötü amaçlı yazılımdan koruma tehditlerine karşı savunmasız hale getirebilecek algılanan tehditler ve yetersiz koruma gibi sorunları vurgular. Uç nokta koruma sorunlarındaki bilgileri kullanarak, tanımlanan sorunları gidermek için bir plan oluşturmaya başlayabilirsiniz.

Önceki öneride açıklandığı gibi aynı işlemi kullanın.