Azure'da görev açısından kritik iş yükleri için güvenlik konuları

Güvenlik, temel tasarım ilkelerinden biridir ve görev açısından kritik mimari sürecinde birinci sınıf bir konu olarak ele alınması gereken önemli bir tasarım alanıdır.

Görev açısından kritik bir tasarımın birincil odak noktasının güvenilirliği en üst düzeye çıkarmak olduğu ve böylece uygulamanın performansını ve kullanılabilirliğini sürdüreceği göz önünde bulundurulduğunda, bu tasarım alanında uygulanan güvenlik konuları ve önerileri, kullanılabilirliği etkileme ve genel güvenilirliği engelleme kapasitesiyle tehditleri azaltmaya odaklanacaktır. Örneğin, başarılı Hizmet Reddi (DDoS) saldırılarının kullanılabilirlik ve performans üzerinde yıkıcı bir etkisi olduğu bilinmektedir. Bir uygulamanın SlowLoris gibi bu saldırı vektörlerini nasıl azaltacağı genel güvenilirliği etkiler. Bu nedenle uygulamanın, doğrudan veya dolaylı olarak uygulama güvenilirliğini tehlikeye atması amaçlanan tehditlere karşı tamamen korunması ve doğası gereği gerçekten görev açısından kritik olması gerekir.

Ayrıca, özellikle performans, operasyonel çeviklik ve bazı durumlarda güvenilirlik açısından sağlamlaştırılmış bir güvenlik duruşuyla ilgili önemli dengeler olduğunu da unutmayın. Örneğin, derin paket incelemesi gibi Yeni Nesil Güvenlik Duvarı (NGFW) özellikleri için satır içi Ağ Sanal Gereçlerinin (NVA) eklenmesi önemli bir performans cezası, ek operasyonel karmaşıklık ve ölçeklenebilirlik ve kurtarma işlemleri uygulamanınkiyle yakın bir şekilde uyumlu değilse güvenilirlik riski sağlar. Bu nedenle, önemli tehdit vektörlerini azaltmaya yönelik ek güvenlik bileşenlerinin ve uygulamalarının, bu bölümde sunulan önerilerin ve dikkate alınacak noktaların önemli bir yönünü oluşturacak bir uygulamanın güvenilirlik hedefini destekleyecek şekilde tasarlanmış olması önemlidir.

Önemli

Bu makale, Azure İyi Tasarlanmış görev açısından kritik iş yükü serisinin bir parçasıdır. Bu seriyi bilmiyorsanız görev açısından kritik iş yükü nedir? ile başlamanızı öneririz.

GitHub logosuGörev Açısından Kritik açık kaynak projesi

Başvuru uygulamaları, GitHub'da kullanılabilen açık kaynak bir projenin parçasıdır. Kod varlıkları, güvenlik tasarımı ve uygulama yaklaşımını yapılandırmak ve yönlendirmek için bir Sıfır Güven modeli benimser.

Sıfır Güven modeliyle hizalama

Microsoft Sıfır Güven modeli, bir uygulamanın tüm katmanlarına güvenlik uygulamak için proaktif ve tümleşik bir yaklaşım sağlar. Sıfır Güven yol gösteren ilkeleri, tehditlere neredeyse gerçek zamanlı olarak yanıt vermek için her işlemi açıkça ve sürekli olarak doğrulamaya, en az ayrıcalık onaylamaya, zekayı kullanmaya ve gelişmiş algılamaya çalışır. Sonuçta uygulama çevrelerinin içindeki ve dışındaki güveni ortadan kaldırarak sisteme bağlanmaya çalışan her şey için doğrulamayı zorunlu kılmaya odaklanmış olur.

Tasarımla ilgili dikkat edilecek noktalar

Uygulamanın güvenlik duruşunu değerlendirirken, her bir önemli nokta için temel olarak bu sorularla başlayın.

  • Önemli güvenlik açıklarına yönelik azaltmaları doğrulamak için sürekli güvenlik testi.

    • Güvenlik testi otomatik CI/CD işlemlerinin bir parçası olarak mı gerçekleştirilir?
    • Aksi takdirde, belirli bir güvenlik testi ne sıklıkta gerçekleştirilir?
    • Test sonuçları istenen güvenlik duruşu ve tehdit modeline göre ölçülür mü?
  • Tüm alt ortamlarda güvenlik düzeyi.

    • Geliştirme yaşam döngüsü içindeki tüm ortamlar üretim ortamıyla aynı güvenlik duruşuna sahip mi?
  • Bir hata durumunda kimlik doğrulaması ve Yetkilendirme sürekliliği.

    • Kimlik doğrulama veya yetkilendirme hizmetleri geçici olarak kullanılamıyorsa, uygulama çalışmaya devam edebilecek mi?
  • Otomatik güvenlik uyumluluğu ve düzeltme.

    • Önemli güvenlik ayarlarında yapılan değişiklikler algılanabilir mi?
    • Uyumlu olmayan değişiklikleri düzeltme yanıtları otomatik mi?
  • Kod işlenmeden önce gizli dizileri algılamak için gizli dizi taraması, kaynak kod depoları aracılığıyla gizli dizi sızıntılarını önler.

    • Kimlik bilgileri kodun bir parçası olmadan hizmetler için kimlik doğrulaması mümkün mü?
  • Yazılım tedarik zincirinin güvenliğini sağlayın.

    • Kullanılan paket bağımlılıkları içinde Ortak Güvenlik Açıklarını ve Etkilenmeleri (CVE) izlemek mümkün mü?
    • Paket bağımlılıklarını güncelleştirmek için otomatik bir işlem var mı?
  • Veri koruma anahtarı yaşam döngüleri.

    • Hizmet tarafından yönetilen anahtarlar veri bütünlüğü koruması için kullanılabilir mi?
    • Müşteri tarafından yönetilen anahtarlar gerekiyorsa, güvenli ve güvenilir anahtar yaşam döngüsü nasıldır?
  • CI/CD araçları, azure kaynak dağıtımları için tüm kabul edilen ortam aboneliklerine denetim düzlemi erişimini kolaylaştırmak için yeterli abonelik düzeyinde erişime sahip Microsoft Entra hizmet sorumlularını gerektirmelidir.

    • Uygulama kaynakları özel ağlar içinde kilitlendiğinde, CI/CD araçlarının uygulama düzeyinde dağıtımlar ve bakımlar yapabilmesi için özel bir veri düzlemi bağlantı yolu var mı?
      • Bu, ek karmaşıklık getirir ve özel derleme aracıları aracılığıyla dağıtım işlemi içinde bir dizi gerektirir.

Tasarım önerileri

  • Tüm hizmetlerde güvenlik ve güvenilirlik yapılandırmalarını zorunlu kılmak için Azure İlkesi kullanın ve tüm sapmaların yapılandırma zamanında kontrol düzlemi tarafından düzeltilmesini veya yasak olmasını sağlayarak 'kötü amaçlı yönetici' senaryolarıyla ilişkili tehditlerin azaltılmasına yardımcı olun.

  • Üretim ortamlarına sürekli denetim düzlemi erişimini iptal etmek için üretim abonelikleri içinde Microsoft Entra Privileged Identity Management'ı (PIM) kullanın. Bu, ek 'denetimler ve bakiyeler' aracılığıyla 'kötü amaçlı yönetici' senaryolarından kaynaklanan riski önemli ölçüde azaltır.

  • Kimlik bilgilerinin uygulama kodundan kaldırılmasını kolaylaştırdığından ve hizmetten hizmete iletişim için kimlik yönetiminin operasyonel yükünü ortadan kaldırdığından, bu özelliği destekleyen tüm hizmetler için Azure Yönetilen Kimlikler'i kullanın.

  • Özelliği destekleyen tüm hizmetlerle veri düzlemi yetkilendirmesi için Microsoft Entra rol tabanlı erişim denetimini (RBAC) kullanın.

  • Microsoft Entra Id ile tümleştirmek için uygulama kodundaki birinci taraf Microsoft kimlik platformu kimlik doğrulama kitaplıklarını kullanın.

  • Seçilen kimlik platformu kullanılamıyorsa veya uygulama yetkilendirmesi için yalnızca kısmen kullanılabiliyorsa, düzeyi düşürülmüş ancak kullanılabilir bir deneyim sağlamak için güvenli belirteç önbelleğe almayı göz önünde bulundurun.

    • Sağlayıcı yeni erişim belirteçleri veremiyorsa ancak var olanları yine de doğrularsa, uygulama ve bağımlı hizmetler belirteçlerinin süresi dolana kadar sorunsuz çalışabilir.
    • Belirteç önbelleğe alma genellikle kimlik doğrulama kitaplıkları (MSAL gibi) tarafından otomatik olarak işlenir.
  • Hata durumları da dahil olmak üzere tüm uygulama bileşenlerine güncelleştirmeleri yönlendirmek için Kod Olarak Altyapı (IaC) ve otomatik CI/CD işlem hatlarını kullanın.

    • CI/CD araç hizmeti bağlantılarının kritik hassas bilgiler olarak korundığından ve hiçbir hizmet ekibi tarafından doğrudan kullanılamadığından emin olun.
    • 'Kötü amaçlı yönetici' risklerini azaltmak için üretim CD işlem hatlarına ayrıntılı RBAC uygulayın.
    • 'Kötü amaçlı yönetici' risklerini daha da azaltmak ve tüm üretim değişiklikleri için ek teknik güvence sağlamak için üretim dağıtım işlem hatlarında el ile onay geçitleri kullanmayı göz önünde bulundurun.
      • Ek güvenlik kapıları çeviklik açısından bir denge oluşturabilir ve el ile kapılarla bile çeviklik nasıl korunabileceği göz önünde bulundurularak dikkatli bir şekilde değerlendirilmelidir.
  • Önemli güvenlik açıklarının ortadan kaldırıldığından emin olmak için tüm düşük ortamlar için uygun bir güvenlik duruşu tanımlayın.

    • Yasal gereksinimler bunu yapma gereksinimini gerektirmediği sürece, özellikle veri sızdırma konusunda üretimle aynı güvenlik duruşunu uygulamayın, çünkü bu durum geliştirici çevikliğini önemli ölçüde tehlikeye atacaktır.
  • Görev açısından kritik bir iş yüküne yönelik kaynakları içeren tüm abonelikler için Bulut için Microsoft Defender (eski adıyla Azure Güvenlik Merkezi) etkinleştirin.

    • Uyumluluğu zorlamak için Azure İlkesi kullanın.
    • Özelliği destekleyen tüm hizmetler için Azure Defender'ın etkinleştirilmesini sağlayın.
  • DevSecOps'u benimseyin ve CI/CD işlem hatlarında güvenlik testi uygulayın.

    • Test sonuçları, yayın onaylarını otomatik veya el ile bilgilendirmek için uyumlu bir güvenlik duruşuyla ölçülmelidir.
    • Her sürüm için CD üretim işleminin bir parçası olarak güvenlik testi uygulayın.
      • Her sürümün güvenlik testi operasyonel çevikliği tehlikeye atıyorsa uygun bir güvenlik testi tempos un uygulandığını doğrulayın.
  • Kaynak kod deposunda gizli dizi taramayı ve bağımlılık taramasını etkinleştirin.

Tehdit modelleme

Tehdit modelleme, uygun güvenlik azaltmaları geliştirmek için tanımlanan olası tehditleri kullanarak güvenlik tasarımına yönelik risk tabanlı bir yaklaşım sağlar. Farklı oluşum olasılıklarına sahip birçok olası tehdit vardır ve çoğu durumda tehditler beklenmedik, öngörülemeyen ve hatta kaotik yollarla zincirlenebilir. Bu karmaşıklık ve belirsizlik, geleneksel teknoloji gereksinimi tabanlı güvenlik yaklaşımlarının görev açısından kritik bulut uygulamaları için büyük ölçüde uygun olmadığını gösterir. Görev açısından kritik bir uygulama için tehdit modelleme sürecinin karmaşık ve karmaşık olmasını bekleyebilirsiniz.

Bu güçlüklerde gezinmeye yardımcı olmak için, aşağıdaki savunma katmanlarını dikkate alarak modellenmiş tehditler için telafi azaltmaları tanımlamak ve uygulamak için katmanlı bir derinlemesine savunma yaklaşımı uygulanmalıdır.

  1. Temel güvenlik özelliklerine ve denetimlerine sahip Azure platformu.
  2. Uygulama mimarisi ve güvenlik tasarımı.
  3. Güvenli Azure kaynaklarına uygulanan yerleşik, etkin ve dağıtılabilir güvenlik özellikleri.
  4. Uygulama kodu ve güvenlik mantığı.
  5. İşletimsel işlemler ve DevSecOps.

Not

Azure giriş bölgesi içinde dağıtım yaparken, merkezi güvenlik özelliklerinin sağlanması yoluyla ek bir tehdit azaltma katmanının giriş bölgesi uygulaması tarafından sağlandığını unutmayın.

Tasarımla ilgili dikkat edilecek noktalar

STRIDE , temel tehdit vektörlerinde güvenlik tehditlerini değerlendirmek için basit bir risk çerçevesi sağlar.

  • Sahte Kimlik: Yetkili kişilerin kimliğine bürünme. Örneğin, bir saldırgan başka bir kullanıcının kimliğine bürünerek
    • Kimlik
    • Kimlik Doğrulaması
  • Kurcalama Girişi: Uygulamaya gönderilen girişin değiştirilmesi veya uygulama kodunu değiştirmek için güven sınırlarının ihlali. Örneğin, veritabanı tablosundaki verileri silmek için SQL Ekleme kullanan bir saldırgan.
    • Veri bütünlüğü
    • Doğrulama
    • Engelleme listesi/izin verilenler listesi
  • Eylemin İnkarı: Zaten gerçekleştirilen eylemlerin reddedilmesi ve uygulamanın kanıt toplama ve sorumluluk verme becerisi. Örneğin, kötü amaçlı bir yöneticiyi izleme olanağı olmadan kritik verilerin silinmesi.
    • Denetim/günlüğe kaydetme
    • İmzalama
  • Bilgilerin Açığa Çıkması: Kısıtlı bilgilere erişim sağlama. Kısıtlanmış bir dosyaya erişim elde eden bir saldırgan örnek olabilir.
    • Şifreleme
    • Veri sızdırma
    • Ortadaki adam saldırıları
  • Hizmet Reddi: Kullanıcı deneyimini düşürmek için kötü amaçlı uygulama kesintisi. Örneğin, Slowloris gibi bir DDoS botnet saldırısı.
    • DDoS
    • Botnets
    • CDN ve WAF özellikleri
  • AyrıcalıkLarın Yükseltilmesi: Yetkilendirme açıklarından yararlanarak ayrıcalıklı uygulama erişimi elde etme. Örneğin, bir saldırgan hassas bilgilere erişim elde etmek için BIR URL dizesini düzenler.
    • Uzaktan kod yürütme
    • Yetkilendirme
    • Yalıtım

Tasarım önerileri

  • Olası yeni tehditleri değerlendirmek ve risk azaltmaları uygulamak için her sprint içinde mühendislik bütçesi ayırın.

  • Tüm uygulama hizmeti ekiplerinde tutarlılığı sağlamak için güvenlik azaltmalarının ortak mühendislik ölçütleri içinde yakalanmasını sağlamak için bilinçli çaba gösterilmelidir.

  • Hizmet düzeyi tehdit modellemesine göre bir hizmetle başlayın ve iş parçacığı modelini uygulama düzeyinde birleştirerek modeli birleştirin.

Ağ yetkisiz erişim koruması

Görev açısından kritik bir uygulamaya ve kapsamış verilere yetkisiz erişimi önlemek, kullanılabilirliği korumak ve veri bütünlüğünü korumak için çok önemlidir.

Tasarımla ilgili dikkat edilecek noktalar

  • Sıfır Güven ihlal edilmiş bir durum olduğunu varsayar ve her isteği kontrolsüz bir ağdan geliyormuş gibi doğrular.

    • Gelişmiş bir sıfır güven ağ uygulaması, mikro segmentasyon ve dağıtılmış giriş/çıkış mikro çevreleri içerir.
  • Azure PaaS hizmetlerine genellikle genel uç noktalar üzerinden erişilir. Azure, genel uç noktaların güvenliğini sağlamak ve hatta tamamen özel hale getirmek için özellikler sağlar.

    • Azure Özel Bağlantı/Özel Uç Noktalar, özel IP adreslerini ve özel ağ bağlantısını kullanarak bir Azure PaaS kaynağına ayrılmış erişim sağlar.
    • Sanal Ağ Hizmet Uç Noktaları, seçili alt ağlardan seçilen PaaS hizmetlerine hizmet düzeyi erişimi sağlar.
    • Sanal Ağ Ekleme, bir App Service Ortamı aracılığıyla App Service gibi desteklenen hizmetler için ayrılmış özel dağıtımlar sağlar.
      • Yönetim düzlemi trafiği hala genel IP adresleri üzerinden akar.
  • Desteklenen hizmetler için Azure Özel Uç Noktaları'nın kullanılması Azure Özel Bağlantı, kötü amaçlı bir yöneticinin dış kaynağa veri yazması gibi Hizmet Uç Noktalarıyla ilişkili veri sızdırma risklerini ele alır.

  • Özel Uç Noktaları veya Hizmet Uç Noktalarını kullanarak Azure PaaS hizmetlerine ağ erişimini kısıtlarken, dağıtım işlem hatlarının uygulamayı dağıtmak ve yönetmek için hem Azure denetim düzlemine hem de Azure kaynaklarının veri düzlemine erişmesi için güvenli bir ağ kanalı gerekir.

    • Azure kaynağı olarak özel bir ağa dağıtılan şirket içinde barındırılan özel derleme aracıları , özel bir bağlantı üzerinden CI/CD işlevlerini yürütmek için ara sunucu olarak kullanılabilir. Derleme aracıları için ayrı bir sanal ağ kullanılmalıdır.
      • CI/CD araçlarından özel derleme aracılarına bağlantı gereklidir.
    • Alternatif bir yaklaşım, işlem hattı içindeki kaynağın güvenlik duvarı kurallarını değiştirerek Azure DevOps aracısı genel IP adresinden bağlantıya izin vermek ve görev tamamlandıktan sonra güvenlik duvarının kaldırılmasıdır.
      • Ancak bu yaklaşım yalnızca Azure hizmetlerinin bir alt kümesi için geçerlidir. Örneğin, bu özel AKS kümeleri için uygun değildir.
    • Uygulama hizmeti atlama kutuları üzerinde geliştirici ve yönetim görevlerini gerçekleştirmek için kullanılabilir.
  • Yönetim ve bakım görevlerinin tamamlanması, Azure kaynaklarının veri düzlemine bağlantı gerektiren başka bir senaryodur.

  • Karşılık gelen bir Microsoft Entra hizmet sorumlusuna sahip Hizmet Bağlantıları, Azure DevOps içinde Microsoft Entra Kimliği aracılığıyla RBAC uygulamak için kullanılabilir.

  • Azure PaaS hizmetleriyle bağlantıyı kolaylaştırmak için Ağ Güvenlik Gruplarına Hizmet Etiketleri uygulanabilir.

  • Uygulama Güvenlik Grupları birden çok sanal ağa yayılmaz.

  • Azure Ağ İzleyicisi'da paket yakalama işlemi en fazla beş saatlik bir süreyle sınırlıdır.

Tasarım önerileri

  • Dış saldırı yüzeyini azaltmak için genel ağ erişimini uygulamanın iş amacını yerine getirmesi için gereken mutlak minimum değerle sınırlayın.

    • Güvenli ağ tümleştirmesi gerektiren Azure kaynakları için özel uç noktalar oluşturmak için Azure Özel Bağlantı kullanın.
    • Azure Özel Bağlantı tarafından korunan Azure kaynaklarını dağıtmak ve yapılandırmak için CI/CD araçları için barındırılan özel derleme aracılarını kullanın.
  • Özel derleme aracılarıyla çalışırken, hiçbir zaman bir RDP veya SSH bağlantı noktasını doğrudan İnternet'e açmayın.

    • Azure Sanal Makineler'a güvenli erişim sağlamak ve İnternet üzerinden Azure PaaS'ta yönetim görevlerini gerçekleştirmek için Azure Bastion'ı kullanın.
  • Uygulama içindeki tüm genel IP adreslerinin güvenliğini sağlamak için bir DDoS standart koruma planı kullanın.

  • Birden çok Azure bölgesine yayılan genel HTTP/S uygulamalarını teslim etmek ve korumaya yardımcı olmak için Web uygulaması güvenlik duvarı ilkeleriyle Azure Front Door'u kullanın.

    • Genel uygulama uç noktalarını yalnızca Azure Front Door örneğinden kaynaklanan trafiği kabul etmek üzere kilitlemek için Üst Bilgi Kimliği doğrulamasını kullanın.
  • Derin paket denetimi veya TLS denetimi gibi ek satır içi ağ güvenlik gereksinimleri varsa, Azure Güvenlik Duvarı Premium veya Ağ Sanal Gereci (NVA) kullanımını zorunlu tutun; maksimum yüksek kullanılabilirlik ve yedeklilik için yapılandırıldığından emin olun.

  • Paket yakalama gereksinimleri varsa sınırlı yakalama penceresine rağmen yakalamak için Ağ İzleyicisi paketleri kullanın.

  • Uygulama trafiğini mikro segmentlere ayırmak için Ağ Güvenlik Gruplarını ve Uygulama Güvenlik Gruplarını kullanın.

    • Uygulama içi trafik akışlarını filtrelemek için güvenlik gereci kullanmaktan kaçının.
    • Belirli NSG kurallarının her zaman uygulama alt ağlarıyla ilişkili olmasını zorunlu kılmak için Azure İlkesi kullanımını göz önünde bulundurun.
  • NSG akış günlüklerini etkinleştirin ve iç ve dış trafik akışlarıyla ilgili içgörüler elde etmek için bunları Trafik Analizi'ne besleyin.

  • Uygulama tasarımında Azure PaaS hizmetlerine erişimin güvenliğini sağlamak için Azure Özel Bağlantı/Özel Uç Noktaları kullanın. Özel Bağlantı destekleyen Azure hizmetleri hakkında bilgi için bkz. Azure Özel Bağlantı kullanılabilirlik.

  • Özel Uç Nokta kullanılamıyorsa ve veri sızdırma riskleri kabul edilebilirse, sanal ağ içinden Azure PaaS hizmetlerine erişimin güvenliğini sağlamak için Sanal Ağ Hizmet Uç Noktalarını kullanın.

    • Önemli veri sızdırma kanallarına neden olacağı için tüm alt ağlarda sanal ağ hizmet uç noktalarını varsayılan olarak etkinleştirmeyin.
  • Karma uygulama senaryoları için özel eşleme ile ExpressRoute aracılığıyla şirket içinden Azure PaaS hizmetlerine erişin.

Not

Azure giriş bölgesi içinde dağıtım yaparken, şirket içi veri merkezlerine ağ bağlantısının giriş bölgesi uygulaması tarafından sağlandığını unutmayın. Yaklaşımlardan biri, özel eşleme ile yapılandırılmış ExpressRoute kullanmaktır.

Veri bütünlüğü koruması

Şifreleme, veri bütünlüğünü sağlamaya yönelik önemli bir adımdır ve sonuçta çok çeşitli tehditleri azaltmak için uygulanabilecek en önemli güvenlik özelliklerinden biridir. Bu nedenle bu bölüm, uygulama güvenilirliğinden ödün vermeden verileri korumak için şifreleme ve anahtar yönetimiyle ilgili önemli noktalar ve öneriler sağlayacaktır.

Tasarımla ilgili dikkat edilecek noktalar

  • Azure Key Vault'ta anahtarlar ve gizli diziler için işlem sınırları vardır ve belirli bir süre içinde kasa başına azaltma uygulanır.

  • Anahtarlar, gizli diziler ve sertifikalar için erişim izinleri kasa düzeyinde uygulandığından Azure Key Vault bir güvenlik sınırı sağlar.

    • Key Vault erişim ilkesi atamaları anahtarlara, gizli dizilere veya sertifikalara ayrı izinler verir.
      • Belirli bir anahtara, gizli diziye veya sertifikaya yönelik ayrıntılı nesne düzeyi izinleri artık mümkündür.
  • Rol ataması değiştirildikten sonra, rolün uygulanması için 10 dakikaya (600 saniye) kadar gecikme süresi olur.

    • Abonelik başına 2.000 Azure rol ataması sınırı vardır.
  • Azure Key Vault temel alınan donanım güvenlik modüllerinin (HSM) FIPS 140 doğrulaması vardır.

  • Azure Key Vault, kullanılabilirliği korumaya ve veri kaybını önlemeye yardımcı olmak için yüksek kullanılabilirlik ve yedeklilik sağlar.

  • Bölge yük devretmesi sırasında Key Vault hizmetinin yük devretmesi birkaç dakika sürebilir.

    • Yük devretme sırasında Key Vault salt okunur modda olacaktır, bu nedenle güvenlik duvarı yapılandırmaları ve ayarları gibi anahtar kasası özelliklerini değiştirmek mümkün olmayacaktır.
  • Azure Key Vault'a bağlanmak için özel bağlantı kullanılıyorsa, bölgesel yük devretme sırasında bağlantının yeniden kurulması 20 dakika kadar sürebilir.

  • Yedekleme, Azure dışında şifresi çözülemez şifrelenmiş bir blob olarak gizli dizi, anahtar veya sertifikanın belirli bir noktaya anlık görüntüsünü oluşturur. Blobdan kullanılabilir veriler almak için, aynı Azure aboneliğinde ve Azure coğrafyasında bir Key Vault'a geri yüklenmelidir.

    • Gizli diziler yedekleme sırasında yenilenebilir ve bu da uyuşmazlıklara neden olabilir.
  • Hizmet tarafından yönetilen anahtarlarla Azure, döndürme gibi anahtar yönetimi işlevlerini gerçekleştirerek uygulama işlemlerinin kapsamını azaltır.

  • Mevzuat denetimleri, hizmet şifreleme işlevselliği için müşteri tarafından yönetilen anahtarların kullanılmasını zorunlu kılabilir.

  • Trafik Azure veri merkezleri arasında hareket ettiğinde MACsec veri bağlantısı katmanı şifrelemesi, microsoft tarafından denetlenmeyen fiziksel sınırların dışında veya Microsoft adına aktarımdaki verilerin güvenliğini sağlamak için temel ağ donanımında kullanılır.

Tasarım önerileri

  • Mümkün olduğunca veri koruması için hizmet tarafından yönetilen anahtarları kullanarak şifreleme anahtarlarını yönetme ve anahtar döndürme gibi işlem görevlerini işleme gereksinimini ortadan kaldırabilirsiniz.

    • Müşteri tarafından yönetilen anahtarları yalnızca net bir yasal düzenleme gereksinimi olduğunda kullanın.
  • Ek şifreleme mekanizmalarının veya müşteri tarafından yönetilen anahtarların dikkate alınmasını gerektiriyorsa, Azure Key Vault'ı tüm gizli diziler, sertifikalar ve anahtarlar için güvenli bir depo olarak kullanın.

    • Silinen nesneler için bekletme koruması sağlamak için Azure Key Vault'a geçici silme ve temizleme ilkeleri etkinleştirilmiş olarak sağlayın.
    • Uygulama üretim ortamları için HSM destekli Azure Key Vault SKU'su kullanın.
  • Her bölgesel dağıtım damgası içinde ayrı bir Azure Key Vault örneği dağıtarak yerelleştirme aracılığıyla hata yalıtımı ve performans avantajlarının yanı sıra tek bir Key Vault örneğinin uyguladığı ölçek sınırlarda gezinebilirsiniz.

    • Uygulama genel kaynakları için ayrılmış bir Azure Key Vault örneği kullanın.
  • Gizli dizileri, anahtarları ve sertifikaları kalıcı olarak silmek için yetkilendirmeyi özel özel Microsoft Entra rolleriyle sınırlayarak en düşük ayrıcalık modelini izleyin.

  • Şifreleme anahtarlarının ve Key Vault'ta depolanan sertifikaların yedeklenmesini sağlayarak Key Vault'un kullanılamadığı durumlarda çevrimdışı bir kopya sağlayın.

  • Sertifika tedarikini ve imzalamayı yönetmek için Key Vault sertifikalarını kullanın.

  • Anahtar ve sertifika döndürme için otomatik bir işlem oluşturun.

    • Yönetimi kolaylaştırmak için genel sertifika yetkilileriyle sertifika yönetimi ve yenileme sürecini otomatikleştirin.
      • Otomatik sertifika yenilemelerini desteklemek için uyarıları ve bildirimleri ayarlayın.
  • Anahtar, sertifika ve gizli dizi kullanımını izleyin.

İlke odaklı idare

Güvenlik kuralları yalnızca tüm uygulama hizmetleri ve ekipleri arasında tutarlı ve bütünsel olarak uygulandığında etkili olur. Azure İlkesi, görev açısından kritik bir uygulama için ortak mühendislik ölçütleriyle uyumluluğun devam etmesi için güvenlik ve güvenilirlik temellerini uygulamaya yönelik bir çerçeve sağlar. Daha açık belirtmek gerekirse, Azure İlkesi Azure Resource Manager (ARM) denetim düzleminin önemli bir parçasını oluşturur ve yetkili kullanıcıların gerçekleştirebileceği eylemleri kısıtlayarak RBAC'yi destekler ve kullanılan platform hizmetlerinde önemli güvenlik ve güvenilirlik kurallarını uygulamak için kullanılabilir.

Bu nedenle bu bölümde, görev açısından kritik bir uygulama için Azure İlkesi temelli idare kullanımıyla ilgili önemli noktalar ve öneriler incelenir ve güvenlik ve güvenilirlik kurallarının sürekli olarak uygulanması sağlanır.

Tasarımla ilgili dikkat edilecek noktalar

  • Azure İlkesi, Özel Uç Noktaların kullanımı veya Kullanılabilirlik Alanları kullanımı gibi güvenlik ve güvenilirlik kurallarını zorunlu kılarak uyumluluğu sağlamak için bir mekanizma sağlar.

Not

Azure giriş bölgesi içinde dağıtım yaparken, giriş bölgesi yönetim grupları ve abonelikleri için uygulamada merkezi temel ilke atamalarının zorunlu hale getirilmesinin büyük olasılıkla uygulanacağını unutmayın.

  • Azure İlkesi sağlama ve yapılandırma gibi otomatik yönetim etkinliklerini yönlendirmek için kullanılabilir.

    • Kaynak Sağlayıcısı kaydı.
    • Tek tek Azure kaynak yapılandırmalarının doğrulanması ve onaylanması.
  • Azure İlkesi atama kapsamı kapsamı belirler ve Azure İlkesi tanımlarının konumu özel ilkelerin yeniden kullanılabilirliğini bildirir.

  • Azure İlkesi belirli bir kapsamdaki tanım sayısı gibi çeşitli sınırları vardır.

  • Mevcut Değilse Dağıt (DINE) ilkelerinin yürütülmesi birkaç dakika sürebilir.

  • Azure İlkesi, uyumluluk raporlama ve güvenlik denetimi için kritik bir giriş sağlar.

Tasarım önerileri

  • Mevzuat ve uyumluluk gereksinimlerini Azure İlkesi tanımlarla eşleyin.

    • Örneğin, veri yerleşimi gereksinimleri varsa, kullanılabilir dağıtım bölgelerini kısıtlamak için bir ilke uygulanmalıdır.
  • Kullanılan tüm Azure hizmetleri için güvenli ve güvenilir yapılandırma tanımlarını yakalamak için ortak bir mühendislik ölçütü tanımlayın ve bu ölçütlerin uyumluluğu zorlamak için Azure İlkesi atamalarıyla eşlendiğinden emin olun.

    • Örneğin, tüm ilgili hizmetler için Kullanılabilirlik Alanları kullanımını zorunlu kılmak için bir Azure İlkesi uygulayarak güvenilir bölge içi dağıtım yapılandırmaları sağlayın.

Görev Açısından Kritik başvuru uygulaması, örnek ortak mühendislik ölçütlerini tanımlamak ve uygulamak için çok çeşitli güvenlik ve güvenilirlik merkezli ilkeler içerir.

  • Azure İlkesi kullanarak yaygın mühendislik ölçütlerine göre hizmet yapılandırması kaymasını izleyin.

Ayrılmış bir yönetim grubu altında birden çok üretim aboneliği olan görev açısından kritik senaryolar için, yönetim grubu kapsamında atamalara öncelik verin.

  • Özel ilke tanımlarını korumanın operasyonel yükünü en aza indirmek için mümkün olduğunda yerleşik ilkeleri kullanın.

  • Özel ilke tanımlarının gerekli olduğu durumlarda tanımların uygun yönetim grubu kapsamında dağıtıldığından emin olun ve bu sayede, kapsamı kapsamış ortam abonelikleri arasında yeniden kullanıma olanak tanıyarak ilkenin üretim ve düşük ortamlarda yeniden kullanılmasına olanak tanıyın.

    • Uygulama yol haritasını Azure yol haritalarıyla uyumlu hale getirmek için kullanılabilir Microsoft kaynaklarını kullanarak kritik özel tanımların yerleşik tanımlar olarak birleştirilip eklenmediğini keşfedin.

Not

Azure giriş bölgesi içinde dağıtım yaparken, daha geniş Azure varlığındaki tüm uygulamalarda yeniden kullanımı etkinleştirmek için ara şirket kök yönetim grubu kapsamında özel Azure İlkesi Tanımları dağıtmayı göz önünde bulundurun. Giriş bölgesi ortamında, azure varlığının tamamında güvenlik uyumluluğunu zorlamak için belirli merkezi güvenlik ilkeleri varsayılan olarak daha yüksek yönetim grubu kapsamları içinde uygulanır. Örneğin, vm uzantıları aracılığıyla yazılım yapılandırmalarını otomatik olarak dağıtmak ve uyumlu bir temel VM yapılandırması uygulamak için Azure ilkeleri uygulanmalıdır.

  • Uygulama genelinde tutarlı bir etiketleme şemasını zorlamak için Azure İlkesi kullanın.
    • Gerekli Azure etiketlerini belirleyin ve kullanımı zorlamak için ekleme ilkesi modunu kullanın.

Uygulama Microsoft Görev Açısından Kritik Desteğe aboneyse, uygulanan etiketleme şemasının destek deneyimini derin uygulama anlayışıyla zenginleştirmek için anlamlı bir bağlam sağladığından emin olun.

  • Microsoft Entra etkinlik günlüklerini uygulama tarafından kullanılan genel Log Analytics Çalışma Alanına aktarın.
    • Azure etkinlik günlüklerinin uzun süreli saklama için operasyonel verilerle birlikte genel Depolama Hesabı içinde arşivlenmiş olduğundan emin olun.

Azure giriş bölgesinde Microsoft Entra etkinlik günlükleri de merkezi platform Log Analytics çalışma alanına alınır. Genel Log Analytics çalışma alanında Microsoft Entra Id hala gerekliyse bu durumda değerlendirilmelidir.

  • Güvenlik bilgilerini ve olay yönetimini Bulut için Microsoft Defender (eski adıyla Azure Güvenlik Merkezi) ile tümleştirme.

Sanal Makineler kullanırken IaaS ile ilgili dikkat edilmesi gerekenler

IaaS Sanal Makineler kullanımının gerekli olduğu senaryolarda bazı özelliklerin dikkate alınması gerekir.

Tasarımla ilgili dikkat edilecek noktalar

  • Görüntüler dağıtıldıktan sonra otomatik olarak güncelleştirilmez.
  • Güncelleştirmeler çalışan VM'lere otomatik olarak yüklenmez.
  • Görüntüler ve tek tek VM'ler genellikle kullanıma alınmadan sağlamlaştırılmaz.

Tasarım önerileri

  • SSH, RDP veya diğer protokollere erişim sağlayarak genel İnternet üzerinden Sanal Makineler doğrudan erişime izin verme. Küçük bir kullanıcı grubuna sınırlı erişime sahip Azure Bastion ve sıçrama kutularını her zaman kullanın.
  • Çıkış trafiğini filtrelemek ve kısıtlamak için Ağ Güvenlik Grupları, (Azure) Güvenlik Duvarı veya Application Gateway'leri (Düzey 7) kullanarak doğrudan İnternet bağlantısını kısıtlayın.
  • Çok katmanlı uygulamalar için farklı alt ağlar kullanmayı ve aradaki erişimi kısıtlamak için Ağ Güvenlik Gruplarını kullanmayı göz önünde bulundurun.
  • Mümkün olduğunda Ortak Anahtar kimlik doğrulamasının kullanımına öncelik belirleyin. Gizli dizileri Azure Key Vault gibi güvenli bir yerde depolayın.
  • Kimlik doğrulaması ve erişim denetimi kullanarak VM'leri koruyun.
  • Görev açısından kritik uygulama senaryolarında açıklandığı gibi aynı güvenlik uygulamalarını uygulayın.

Yukarıda açıklandığı gibi görev açısından kritik uygulama senaryoları için uygun olduğunda güvenlik uygulamalarını ve Azure'daki IaaS iş yükleri için en iyi güvenlik uygulamalarını izleyin ve uygulayın.

Sonraki adım

Görev açısından kritik uygulama senaryoları için operasyonel yordamlar için en iyi yöntemleri gözden geçirin.