Azure Spring Apps giriş bölgesi hızlandırıcısı için güvenlikle ilgili dikkat edilmesi gerekenler

Bu makalede, Azure Spring Apps'te barındırılan bir iş yükü için güvenlikle ilgili önemli noktalar ve öneriler açıklanmaktadır. Bu kılavuz, güvenlik açıklarını algılama, engelleme ve yanıtlama yeteneğine sahip bir iş yükü oluşturmanıza yardımcı olur.

Güvenli bir uygulama tüm iş yükünün güvenliğini garantileyemez. İş yükü sahibi olarak insan hatalarını değerlendirin ve uygulamanın etkileşimde bulunduğu uygulama ve altyapı hizmetleri gibi saldırı yüzeyini değerlendirin.

Azure, derinlemesine savunma stratejinizi desteklemek için ağ, kimlik ve veriler için güvenlik denetimleri sağlar. Denetimlerin çoğu Azure Spring Apps'te yerleşik olarak bulunur. Bu kılavuz, Azure Güvenlik Karşılaştırması sürüm 2.0'dan türetilen Azure Spring Apps için Azure güvenlik temelini temel alır. Karşılaştırma, Azure Spring Apps bulutu üzerinde çalışan iş yükünüzün güvenliğini sağlama hakkında öneriler sağlar.

Merkezi ekipler, platformun bir parçası olarak ağ ve kimlik denetimleri sağlar. Azure'daki platformlar, uygulamalar ve kaynaklar üzerinde denetimi korumak için korumalar sağlar. İş yükü için sağlanan uygulama giriş bölgesi aboneliği, yönetim grubundan devralınan ilkelerle önceden sağlanır.

İş yükünü tasarlarken sahip olduğunuz güvenlik denetimlerinin merkezi denetimlerle uyumlu olduğundan emin olun. Tasarım, merkezi güvenlik ekibi tarafından yapılan düzenli incelemelere tabidir. İş yükü gereksinimlerine uygun olduğundan emin olmak için merkezi ekiplerle güvenlik denetimlerini ve platform ilkelerini düzenli olarak gözden geçirin.

Platform tasarımı hakkında bilgi için bkz:

• Tasarım alanı: Güvenlik
• Tasarım alanı: Azure idaresi

Tasarımla ilgili dikkat edilecek noktalar

• İç trafik. İş riskleri ile uyumlu bir kurumsal segmentasyon ilkesine uyması için iç kaynaklar arasındaki trafiği kısıtlayın veya izin verin. Gerektiğinde, sanal ağlar ve alt ağlar aracılığıyla yalıtım sınırları oluşturun. Ağlar arasındaki trafik akışlarını kısıtlamak için kurallar uygulayın.

• Dış trafik. İş yükü kaynaklarınızı dış ağlardan gelen saldırılara karşı korumak için Azure'a özel kaynakları kullanın, örneğin:

  • Dağıtılmış hizmet reddi (DDoS) saldırıları.
  • Uygulamaya özgü saldırılar.
  • İstenmeyen ve kötü amaçlı olabilecek İnternet trafiği.

• Kimlik yönetimi. Microsoft Entra Id aracılığıyla kimlik doğrulaması ve yetkilendirme sağlamak için yönetilen kimlikler, çoklu oturum açma, güçlü kimlik doğrulamaları, yönetilen kimlikler ve koşullu erişim gibi Microsoft Entra özelliklerini kullanın.

• Güvenlik izleme. Sistem, kuruluş hedeflerini ve Azure Güvenlik Karşılaştırması denetimlerini kullanarak tehditleri algılamak ve uyumluluğu ölçmek için izleme araçlarına sahip olmalıdır. Bu araçlar, güvenlik duruşunun bütünsel bir görünümünü elde etmek için merkezi güvenlik bilgileri ve olay yönetimi (SIEM) sistemleriyle tümleştirilmelidir.

• Aktarımdaki veriler. Bileşenler, konumlar veya API çağrıları arasında aktarılan veriler şifrelenmelidir.

• Bekleyen veriler. Yapılandırma da dahil olmak üzere tüm kalıcı veriler şifrelenmelidir.

• İdare ilkeleri. Kuruluşunuzun belirlediğini uyumluluk standartlarından sapmaları algılamanız gerekir. Azure İlkesi, sapmaları algılamak için uygulanması gereken yerleşik tanımlar sağlar. İlkeler uyguladığınızda, denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmazsınız. Yerleşik tanımlarda ele alınmayacak uyumlu standartlar olabilir.

• Kimlik bilgilerinin açığa çıkarma. Kimlikler veya gizli dizilerle kod, yapılandırma ve kalıcı verileri dağıtabilir ve çalıştırabilirsiniz. Varlıklara erişirken kimlik bilgilerinin incelendiğinden emin olun.

• Sertifika yönetimi. Sertifikalar hiçbir zaman güvenme, her zaman doğrulama ve kimlik bilgisi içermeyen Sıfır Güven ilkesine göre yüklenmelidir. Yalnızca sertifikalara erişim vermeden önce kimliği doğrulayarak paylaşılan sertifikalara güvenin.

• Tutarlı dağıtımlar. Tüm Azure kaynaklarının sağlama ve yapılandırmasını otomatikleştirmek ve güvenlik duruşunu güçlendirmek için kod olarak altyapıyı (IaC) kullanın.

Tasarım önerileri

Çevre olarak ağ

Bu ağ denetimleri yalıtım sınırları oluşturur ve uygulama içindeki ve dışında akışları kısıtlar.

Ağ segmentasyonu

Azure Spring Cloud hizmet kaynaklarını dağıtırken mevcut bir sanal ağ oluşturun veya kullanın.

Alt ağ aracılığıyla sanal ağ içinde yalıtım oluşturun. NSG kurallarınızı kullanarak iç kaynaklar arasındaki trafiği kısıtlayın veya izin verin. Bağlantı noktalarını ve kaynak IP'leri sınırlayan NSG yapılandırmalarını daha da sağlamlaştırmak için Bulut için Microsoft Defender Uyarlamalı ağ sağlamlaştırma özelliğini kullanın. Yapılandırmaları dış ağ trafiği kurallarına dayandırın.

Güvenlik kuralları oluşturduğunuzda, belirli IP adresleri yerine ağ erişim denetimlerini tanımlamak için Azure hizmet etiketlerini kullanın. Uygun kuralın kaynak veya hedef alanında hizmet etiketi adını belirttiğinizde, ilgili hizmet için trafiğe izin verin veya trafiği reddedin. Hizmet etiketi kapsamındaki adres ön eklerini Microsoft yönetir. Adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir.

Azure Spring Apps'teki AzureSpringCloud uygulamalara giden trafiğe izin vermek için ağ güvenlik gruplarında veya Azure Güvenlik Duvarı hizmet etiketini kullanın.

Daha fazla bilgi için bkz . Azure Spring Cloud'un sanal ağda çalıştırılmasına yönelik müşteri sorumlulukları.

Özel ağlarla bağlantı

Birlikte bulunan bir ortamda, Azure veri merkezleri ile şirket içi altyapı arasında özel bağlantılar oluşturmak için Azure ExpressRoute veya Azure sanal özel ağı (VPN) kullanın. ExpressRoute bağlantıları güvenilirlik, daha yüksek hızlar ve daha düşük gecikme süreleri ile genel İnternet üzerinden gitmez.

Noktadan siteye VPN ve siteden siteye VPN için şirket içi cihazları veya ağları bir sanal ağa bağlayın. Bu VPN seçeneklerinin ve Azure ExpressRoute'un herhangi bir bileşimini kullanın.

Azure'da iki veya daha fazla sanal ağı bağlamak için sanal ağ eşlemesini kullanın. Eşlenen sanal ağlar arasındaki ağ trafiği gizlidir. Bu tür trafik Azure omurga ağında tutulur.

Dış ağlardan gelen saldırılar

Tümleşik web uygulaması güvenlik duvarına (WAF) sahip Azure Uygulaması lication Gateway ile gelen trafik ve blok uygulama katmanı saldırılarına yönelik denetimler yerleştirin.

Uygulamadan giden trafiği kısıtlamak için Azure Güvenlik Duvarı kullanın. uygulamaları ve hizmetleri İnternet'ten ve diğer dış konumlardan gelen kötü amaçlı olabilecek trafiğe karşı korumak için Azure Güvenlik Duvarı kullanabilirsiniz.

tehdit bilgileri tabanlı Azure Güvenlik Duvarı filtreleme size uyarı gönderebilir veya bilinen kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği engelleyebilir. IP adresleri ve etki alanları, Microsoft Tehdit Analizi akışından alınır. Yük denetimi gerektiğinde, yük denetleme özelliklerine sahip Azure Market üçüncü taraf bir yetkisiz erişim algılama/yetkisiz erişim önleme sistemi (IDS/IPS) dağıtın. Alternatif olarak, ağ tabanlı IDS/IPS yerine konak tabanlı IDS/IPS veya konak tabanlı uç nokta algılama ve yanıt (EDR) çözümünü kullanabilirsiniz.

İş yükü kaynaklarını DDoS saldırılarına karşı korumak için Azure sanal ağlarınızda DDoS standart korumasını etkinleştirin. Ağ ile ilgili kaynaklarınızda yanlış yapılandırma risklerini algılamak için Bulut için Microsoft Defender kullanın.

Etki Alanı Adı Hizmetini Koruma (DNS)

DNS etki alanlarını barındırmak için Azure DNS kullanın. DNS bölgelerini ve kayıtlarını kötü aktörlerden koruyun. Bu amaçla Azure rol tabanlı erişim denetimi (Azure RBAC) ve kaynak kilitleri önerilir. Daha fazla bilgi için bkz . Sallanmayı önleme DNS girdileri ve alt etki alanı devralmalarını önleme.

Çevre birimi olarak kimlik

Azure, Microsoft Entra Id aracılığıyla kimlik denetimleri sağlar. Uygulama çoklu oturum açma, güçlü kimlik doğrulamaları, yönetilen kimlikler ve koşullu erişim gibi birçok özelliğe sahiptir. Mimarinin tasarım seçenekleri hakkında bilgi için bkz . Azure Spring Apps giriş bölgesi hızlandırıcısı için kimlikle ilgili dikkat edilmesi gerekenler.

Aşağıdaki bölümde bu seçeneklerin güvenlik yönleri açıklanmaktadır.

Merkezi kimlik sistemiyle tümleştirme

Azure giriş bölgeleri, varsayılan kimlik ve erişim yönetimi hizmeti olarak Microsoft Entra Id kullanır. İş yükü hizmetlerini yönetmek için merkezi Microsoft Entra Id önerilir. Merkezi Microsoft Entra Kimliği, kuruluşunuzun ağ kaynaklarına, Azure Depolama'ya, Key Vault'a ve uygulamanızın bağımlı olduğu diğer hizmetlere erişimi içerir.

Azure Spring Apps veri düzlemine erişim vermek istiyorsanız Azure Spring Cloud Data Reader yerleşik rolünü kullanın. Bu rol salt okunur izinler verir.

Bu Microsoft Entra özellikleri önerilir:

• Uygulama kimlikleri. Uygulamanın diğer Azure hizmetlerine erişmesi gerekebilir. Örneğin, Azure Key Vault'tan gizli dizileri almak istiyorsa.

  Azure Spring Apps ile yönetilen kimlikleri kullanarak uygulamanın Microsoft Entra Id kullanarak diğer hizmetlerde kimliğini doğrulamasını sağlayın. Bu amaçla hizmet sorumlularını kullanmaktan kaçının. Yönetilen kimlikler kimlik doğrulama işlemi, kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerini kullanmaz.

  Hizmet sorumlularını sertifika kimlik bilgileriyle kullanmanız ve istemci gizli dizilerine geri dönmeniz gerekiyorsa, kaynak düzeyinde kısıtlı izinlere sahip bir hizmet sorumlusu oluşturmak için Microsoft Entra Id kullanmanız önerilir.

  Her iki durumda da Key Vault, Azure tarafından yönetilen kimliklerle kullanılabilir. Key Vault'tan gizli dizileri almak için Azure işlevi gibi bir çalışma zamanı bileşeni kullanılabilir. Daha fazla bilgi için bkz . Azure Key Vault'ta kimlik doğrulaması.

• Microsoft Entra çoklu oturum açma (SSO) . Microsoft Entra SSO'nun bulutta veya şirket içinde çalışan diğer uygulamalardan veya cihazlardan uygulamaya erişimin kimliğini doğrulaması önerilir. SSO, iş ortakları veya satıcılar gibi iç ve dış kullanıcılara kimlik yönetimi sağlar.

• Güçlü kimlik doğrulama denetimleri. Microsoft Entra ID, çok faktörlü kimlik doğrulaması (MFA) ve güçlü parolasız yöntemler aracılığıyla güçlü kimlik doğrulama denetimlerini destekler. Yöneticiler ve ayrıcalıklı kullanıcılar için, bir ihlal olması durumunda patlama yarıçapını azaltmak için güçlü kimlik doğrulama yönteminin en yüksek düzeyini kullanın. Ardından uygun güçlü kimlik doğrulama ilkesini diğer kullanıcılara dağıtın. Daha fazla bilgi için bkz . Azure'da MFA'yı etkinleştirme ve Microsoft Entra Id için Parolasız kimlik doğrulama seçenekleri.

• Kaynaklara koşullu erişim. Azure Spring Apps, kullanıcı tanımlı koşulları temel alan daha ayrıntılı bir erişim denetimi için Microsoft Entra Koşullu Erişimi destekler. MFA kullanarak oturum açması gereken belirli IP aralıklarındaki kullanıcı oturum açmalarını dahil etmek için koşullar ayarlayabilirsiniz. Bu Koşullu Erişim ilkeleri yalnızca uygulamalara erişmek ve uygulamaları yönetmek için Microsoft Entra Id'de kimlik doğrulaması gerçekleştiren kullanıcı hesapları için geçerlidir. Bu ilkeler iş yükü kaynaklarınıza bağlanmak için kullanılan hizmet sorumluları, anahtarlar veya belirteçler için geçerli değildir.

• Ayrıcalıklı erişim. Tüm Azure ortamınızda en az ayrıcalıklı erişim ve derin raporlama sağlamak için Microsoft Entra Privileged Identity Management'ı uygulayın. Ekipler, doğru kişilerin ve hizmet ilkelerinin geçerli ve doğru yetkilendirme düzeylerine sahip olduğundan emin olmak için yinelenen erişim gözden geçirmelerine başlamalıdır.

Veri denetimleri

Ağ ve kimlik denetimleri uygulamaya erişimi kısıtlar, ancak verilerin korunması gerekir. Şifreleme, veri bütünlüğünü sağlar ve tehditleri azaltmak için uygulanması gereken önemli bir güvenlik özelliğidir.

Aktarım durumundaki veriler

Aktarılan veriler, trafik yakalama gibi bant dışı saldırılara duyarlıdır. Saldırganların bu verileri kolayca okuyamadığından veya değiştiremiyorsan emin olmak için şifrelemeyi kullanın. Azure, Azure veri merkezleri arasında aktarım halindeki veriler için şifreleme sağlar.

Azure Spring Apps, Aktarım Katmanı Güvenliği (TLS) v1.2 veya üzeri ile şifrelemeyi destekler. TLS, kimlik ve güven aracılığıyla güvenli iletişimler sağlar ve tüm türlerin iletişimlerini şifreler. Herhangi bir tür TLS sertifikası kullanabilirsiniz. Örneğin, bir sertifika yetkilisi tarafından verilen sertifikalar, genişletilmiş doğrulama sertifikaları, herhangi bir sayıda alt etki alanı desteğine sahip joker sertifikalar veya geliştirme ve test ortamları için otomatik olarak imzalanan sertifikalar.

Şifreleme, dış ve genel ağlardaki trafik için kritik öneme sahiptir. Tüm genel uç noktaların varsayılan olarak gelen trafik için HTTPS kullanması gerekir. Azure Resource Manager API çağrıları aracılığıyla Azure Spring Apps hizmetini yapılandırmak için yapılan yönetim çağrılarının HTTPS üzerinden yapılması gerekir.

HTTP trafiği için, Azure kaynaklarınıza bağlanan istemcilerin TLS v1.2 veya sonraki sürümlerde anlaşma sağlayabildiğine emin olun. Eski sürümleri veya protokolleri kullanmayın. Zayıf şifreleri devre dışı bırakın.

Uzaktan yönetim için, şifrelenmemiş bir protokol kullanmak yerine Linux için Secure Shell (SSH) veya Windows için Uzak Masaüstü Protokolü (RDP) ve TLS kullanın.

Bekleme durumundaki veriler

İş yükünün kaynak ve yapıtlar, yapılandırma sunucusu ayarları, uygulama ayarları ve depolama için bir depolama durumu gerekir. Bekleyen sunucu tarafı verileri Azure Depolama şifrelemesi ile korunur. Depolama, içeriği Microsoft tarafından yönetilen anahtarlarla otomatik olarak şifreler.

Yapılandırma sunucusu önbelleği, karşıya yüklenen kaynaklardan oluşturulan çalışma zamanı ikili dosyaları ve uygulama ömrü boyunca uygulama günlükleri Azure tarafından yönetilen bir diske kaydedilir. Bu veriler otomatik olarak şifrelenir. Kullanıcı tarafından karşıya yüklenen kaynaktan oluşturulan kapsayıcı görüntüleri şifrelenir ve Azure Container Registry'ye kaydedilir.

Destek senaryoları için, Microsoft'un ilgili müşteri verilerine erişmesi gerektiğinde, ekibinizin veya kuruluşunuzun erişimi onaylaması gerektiğinden Microsoft Azure için Müşteri Kasası'nı kullanın.

Hesap anomalilerini izleme ve uyarı verme

Bulut için Microsoft Defender, aşırı sayıda başarısız kimlik doğrulama girişimi veya abonelikteki kullanım dışı hesaplar gibi şüpheli etkinlikler hakkında uyarılar almanız önerilir.

Azure Spring Apps, riskli oturum açma işlemleri de dahil olmak üzere oturum açma etkinliklerini izleyebilen Microsoft Entra Id ile tümleşiktir. Microsoft Entra Id içindeki tüm kaynaklarda yapılan değişiklikleri algılamak için denetim günlüklerini kullanabilirsiniz. Veriler Azure İzleyici ile tümleşiktir ve Microsoft Sentinel'e aktarılabilir.

Daha fazla bilgi için bkz.

• Microsoft Entra Id'de etkinlik raporlarını denetleme
• Microsoft Entra riskli oturum açma adımlarını görüntüleme
• Bulut için Microsoft Defender'de kullanıcıların kimlik ve erişim etkinliklerini izleme
• Bulut için Microsoft Defender tehdit bilgileri koruma modülündeki uyarılar

İdare ilkeleri

Azure Spring Cloud adlı Azure'ın yerleşik tanımı ağ ekleme özelliğini kullanmalıdır, ağ denetimlerini zorunlu kılmanıza olanak tanır.

1. İnternet'ten uygulama için yalıtım sınırlarının uygulanmasını algılayın.
2. Azure Spring Apps'in şirket içi veri merkezlerindeki özel ağlarla veya diğer sanal ağlardaki Azure hizmetiyle iletişim kurmasını sağlayın.
3. Azure Spring Apps sanal ağı için gelen ve giden ağ iletişimlerini denetleyin.

Sertifika yönetimi

Arka uç hizmetleri veya şirket içi sistemlerle iletişim kurarken bir uygulamanın genel TLS sertifikalarına ihtiyacı olabilir. Sertifikaları Key Vault'a yükleyebilirsiniz.

Sertifikaları Key Vault'tan güvenli bir şekilde yüklemek için Spring Boot uygulamaları yönetilen kimlikleri ve Azure rol tabanlı erişim denetimini (RBAC) kullanır. Azure Spring Apps bir sağlayıcı hizmet sorumlusu ve Azure rol tabanlı erişim denetimi kullanır. Bu güvenli yükleme, Azure Key Vault Java Şifreleme Mimarisi (JCA) Sağlayıcısı kullanılarak desteklenir. Daha fazla bilgi için bkz . Java için Azure Key Vault JCA istemci kitaplığı.

Spring kodunuz, Java kodunuz veya OpenSSL gibi açık kaynak kitaplıklarınız JVM'nin güven deposuna örtük olarak sertifika yüklemek için JVM varsayılan JCA zincirini kullanırsa, TLS sertifikalarınızı Key Vault'tan Azure Spring Apps'e aktarabilirsiniz. Bu sertifikaları uygulama içinde kullanın. Daha fazla bilgi için bkz . Azure Spring Apps'te uygulamanızda TLS/SSL sertifikalarını kullanma.

Kimlik bilgisi taraması

Koda, yapılandırmalara ve kalıcı verilere erişen kimlik bilgilerini tanımlamak için Kimlik Bilgisi Tarayıcısı uygulayın. Kimlik Bilgisi Tarayıcısı, bulunan kimlik bilgilerini Key Vault gibi daha güvenli konumlara taşımanızı teşvik eder.

GitHub için yerel gizli dizi tarama özelliğini kullanarak kimlik bilgilerini veya kod içindeki diğer gizli dizi biçimlerini tanımlayabilirsiniz.

Daha fazla bilgi için bkz.

• Kimlik Bilgisi Tarayıcıyı Ayarlama
• GitHub gizli dizi taraması

Sonraki adımlar

İzleme işlemleri