Azure güvenliğinde en iyi uygulamalar

Bu makalede, müşteriler tarafından ve kendi ortamlarımızdaki deneyimlerden alınan dersleri temel alan önerilen en iyi güvenlik uygulamaları açıklanmaktadır.

Video sunusu için bkz . Azure güvenliği için en iyi yöntemler.

1. Kişiler: Ekipleri bulut güvenliği yolculuğu hakkında eğitme

Ekibin bulundukları yolculuğu anlaması gerekiyor.

Ne?

Güvenliğinizi ve BT ekiplerinizi bulut güvenlik yolculuğu ve gezinecekleri değişiklikler hakkında eğitin, örneğin:

  • Buluttaki tehditler
  • Paylaşılan sorumluluk modeli ve güvenliği nasıl etkilediğinden
  • Genel olarak bulut benimsemesiyle birlikte gelen kültür ve rol ve sorumluluklarda yapılan değişiklikler

Neden?

Bulut güvenliği için bir fikir ve yaklaşım değişikliği gerekir. Güvenliğin kuruluşa sağladığı sonuçlar değişmese de, bu sonuçları bulutta gerçekleştirmenin en iyi yolu önemli ölçüde değişebilir.

Buluta geçiş, tek başına bir evden yüksek katlı bir apartmana geçişe benzer. Sıhhi tesisat ve elektrik gibi temel altyapıya sahipsiniz ve sosyalleşme, yemek pişirme, TV ve internet gibi benzer etkinlikler gerçekleştirebilirsiniz. Bununla birlikte, bina ile gelen, bunu sağlayan ve koruyan kişi ve günlük rutininiz arasında genellikle oldukça fark vardır.

Kim?

Güvenlik ve BT kuruluşundaki CIO veya CISO'dan teknik uygulayıcılara kadar her türlü güvenlik sorumluluğuna sahip herkesin değişiklikler hakkında bilgi sahibi olması gerekir.

Nasıl?

Bulut ortamına geçiş sırasında ekiplere başarıyla dağıtmak ve çalıştırmak için gereken bağlamı sağlayın.

Microsoft, müşterilerin ve BT kuruluşunun buluta yolculuklarında öğrendikleri aşağıdaki dersleri yayımladı.

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması rolleri, sorumlulukları ve sorumlulukları.

2. Kişiler: Ekipleri bulut güvenliği teknolojisi konusunda eğitme

Kişiler nereye gideceklerini anlaman gerek.

Ne?

Ekiplerinizin bulut kaynaklarının güvenliğini sağlama konusunda teknik eğitim için zaman ayırdığından emin olun, örneğin:

  • Bulut teknolojisi ve bulut güvenliği teknolojisi
  • Önerilen yapılandırmalar ve en iyi yöntemler
  • Daha fazla teknik ayrıntı nereden öğrenilir?

Neden?

Teknik ekiplerin bilinçli güvenlik kararları almak için teknik bilgilere erişmesi gerekir. Teknik ekipler iş üzerinde yeni teknolojiler öğrenme konusunda iyidir, ancak buluttaki ayrıntı hacmi genellikle öğrenmeyi günlük rutinlerine sığdırma becerilerini zorlar.

Teknik öğrenme için ayrılmış zaman ayırın. Öğrenme, kişilerin bulut güvenliğini değerlendirme becerilerinde güven oluşturmak için zamanlarının olmasını sağlamaya yardımcı olur. Mevcut becerilerini ve süreçlerini nasıl uyarlayabileceklerini düşünmelerine yardımcı olur.

Kim?

Bulut teknolojisiyle doğrudan etkileşim kuran tüm güvenlik ve BT rolleri, bulut platformlarında teknik öğrenme ve bunların güvenliğini sağlama için zaman ayırmalıdır.

Güvenlik, BT teknik yöneticileri ve proje yöneticileri, bulut kaynaklarının güvenliğini sağlamaya yönelik bazı teknik ayrıntılar hakkında bilgi edinebilir. Bu aşinalık, bulut girişimlerini daha etkili bir şekilde yönlendirmelerine ve koordine etmelerine yardımcı olur.

Nasıl?

Teknik güvenlik uzmanlarının bulut varlıklarının güvenliğini sağlama konusunda kendi hızınızda ilerleyebileceğiniz bir eğitim için zaman ayırdığından emin olun. Her zaman uygun olmasa da deneyimli bir eğitmen ve uygulamalı laboratuvarlarla resmi eğitime erişim sağlayın.

Önemli

Kimlik protokolleri buluttaki erişim denetimi için kritik öneme sahiptir, ancak genellikle şirket içi güvenlikte önceliklendirilmemektedir. Güvenlik ekiplerinin bu protokoller ve günlükler hakkında bilgi geliştirmeye odaklanması gerekir.

Microsoft, teknik uzmanların yeteneklerini artırmalarına yardımcı olmak için kapsamlı kaynaklar sağlar. Bu kaynaklar şunlardır:

3. İşlem: Bulut güvenliği kararları için sorumluluk atama

Kimse sorumlu değilse, güvenlik kararları alınmayacak.

Ne?

Kurumsal Azure ortamı için her tür güvenlik kararını vermek için kimin sorumlu olduğunu seçin.

Neden?

Güvenlik kararlarının net sahipliği bulut benimsemesini hızlandırır ve güvenliği artırır. Sahiplik eksikliği genellikle uyuşmalara yol açar çünkü kimse karar verme yetkisine sahip hissetmez. Kimse kimden karar isteyeceklerini bilmez ve kimse iyi bilgilendirilmiş bir kararı araştırmak için teşvik edilir. Sürtünme sık sık engellenir:

  • İş hedefleri
  • Geliştirici zaman çizelgeleri
  • BT hedefleri
  • Güvenlik güvenceleri

Sürtüşmeler aşağıdakilere neden olabilir:

  • Güvenlik onayı bekleyen durdurulmuş projeler
  • Güvenlik onayı bekleyemeyen güvenli olmayan dağıtımlar

Kim?

Güvenlik liderliği, bulutla ilgili güvenlik kararları alma konusunda hangi ekiplerin veya kişilerin sorumlu olduğunu seçer.

Nasıl?

Önemli güvenlik kararları almakla sorumlu olacak grupları veya bireyleri seçin.

Bu sahipleri, iletişim bilgilerini belgeleyin ve bilgileri güvenlik, BT ve bulut ekiplerinde geniş çapta sosyalleştirin. Sosyalleşme, tüm rollerin onlarla iletişim kurmasını kolaylaştırır.

Bu alanlar genellikle güvenlik kararlarının gerekli olduğu yerlerdir. Aşağıdaki tabloda karar kategorisi, kategori açıklaması ve kararları genellikle hangi ekiplerin aldığı gösterilmektedir.

Karar Tanım Tipik ekip
Ağ güvenliği Azure Güvenlik Duvarı, ağ sanal gereçlerini ve ilişkili yönlendirmeyi, Web Uygulaması Güvenlik Duvarı(WAF), NSG'leri, ASG'leri vb. yapılandırın ve koruyun. Ağ güvenliğine odaklanan altyapı ve uç nokta güvenlik ekibi
Ağ yönetimi Kuruluş genelinde sanal ağı ve alt ağ ayırmayı yönetin. Merkezi BT operasyonlarında mevcut ağ operasyonları ekibi
Sunucu uç noktası güvenliği Düzeltme eki uygulama, yapılandırma, uç nokta güvenliği vb. dahil olmak üzere sunucu güvenliğini izleyin ve düzeltin. Merkezi BT operasyonları , altyapı ve uç nokta güvenlik ekipleri birlikte
Olay izleme ve yanıt SIEM veya kaynak konsolda Bulut için Microsoft Defender, Microsoft Entra Kimlik Koruması gibi güvenlik olaylarını araştırın ve düzeltin. Güvenlik operasyonları ekibi
İlke yönetimi Azure rol tabanlı erişim denetiminin (Azure RBAC), Bulut için Defender, yönetici koruma stratejisinin ve Azure kaynaklarını idare etmek için Azure İlkesi kullanım yönünü ayarlayın. İlke ve standartlar ile güvenlik mimarisi ekipleri birlikte
Kimlik güvenliği ve standartları Microsoft Entra dizinleri, PIM/pam kullanımı, çok faktörlü kimlik doğrulaması, parola/eşitleme yapılandırması, uygulama kimliği standartları için yön ayarlayın. Kimlik ve anahtar yönetimi, ilke ve standartlar ve güvenlik mimarisi ekipleri birlikte

Dekont

  • Karar alıcıların bu sorumluluğa eşlik etmek için bulutun kendi alanlarında uygun eğitime sahip olduğundan emin olun.
  • Bir kayıt sağlamak ve kuruluşa uzun vadede yol göstermek için kararların ilke ve standartlarda belgelenmiş olduğundan emin olun.

4. İşlem: Bulut için olay yanıtı işlemlerini güncelleştirme

Önceden plan yapın. Kriz sırasında bir kriz planlamak için zamanın yok.

Ne?

Azure bulut platformunuzda güvenlik olaylarına hazırlanma. Bu hazırlık, benimsediğiniz tüm yerel tehdit algılama araçlarını içerir. Olayları araştırma, düzeltme ve tehdit avcılığı sırasında en iyi şekilde çalışabilmeleri için işlemleri güncelleştirin, ekibinizi hazırlayın ve simülasyon saldırılarıyla alıştırma yapın.

Neden?

Etkin saldırganlar kuruluş için anında risk oluşturur. Durumu hızla kontrol etmek zor olabilir. Saldırılara hızlı ve etkili bir şekilde yanıt verin. Bu olay yanıtı (IR) işlemi, kurumsal verileri, sistemleri ve hesapları barındıran tüm bulut platformları da dahil olmak üzere tüm varlığınız için etkili olmalıdır.

Birçok açıdan benzer olsa da bulut platformları teknik olarak şirket içi sistemlerden farklıdır. Şirket içi sistemler, genellikle bilgiler farklı bir biçimde kullanılabildiği için mevcut işlemleri bozabilir. Güvenlik analistleri, onları yavaşlatabilecek, tanıdık olmayan bir ortama hızla yanıt verme konusunda güçlükler yaşayabilir. Bu ifade özellikle yalnızca klasik şirket içi mimariler ve ağ/disk adli tıp yaklaşımları üzerinde eğitildiyse geçerlidir.

Kim?

IR süreci modernleştirmesi genellikle güvenlik operasyonları tarafından yönetilir. Bu çaba genellikle diğer gruplardan bilgi ve uzmanlık desteğiyle gelir.

  • Sponsorluk: Güvenlik operasyonları direktörü veya eşdeğeri genellikle sponsor süreç modernizasyonu.

  • Yürütme: Mevcut süreçleri uyarlamak veya ilk kez yazmak, aşağıdakileri içeren işbirliğine dayalı bir çalışmadır:

    • Güvenlik operasyonları: Olay yönetimi ekibi veya liderlik, süreç ve tümleştirme güncelleştirmelerini önemli dış paydaşlara yönlendirir. Bu ekipler arasında yasal ve iletişim ya da halkla ilişkiler ekipleri yer alır.
    • Güvenlik operasyonları: Güvenlik analistleri teknik olay araştırması ve önceliklendirme konusunda uzmanlık sağlar.
    • Merkezi BT operasyonları: Bu ekip, bulut platformunda doğrudan, bulut mükemmellik merkezi aracılığıyla veya dış danışmanlar aracılığıyla uzmanlık sağlar.

Nasıl?

İşlemleri güncelleştirin ve ekibinizi, etkin bir saldırgan bulduklarında ne yapacaklarını bilecek şekilde hazırlayın.

  • İşlemler ve playbook'lar: Mevcut araştırma, düzeltme ve tehdit avcılığı süreçlerini bulut platformlarının çalışma farklılıklarına uyarlar. Farklılıklar arasında yeni veya farklı araçlar, veri kaynakları, kimlik protokolleri vb. bulunur.
  • Eğitim: Analistleri genel bulut dönüşümü, platformun nasıl çalıştığına ilişkin teknik ayrıntılar ve yeni veya güncelleştirilmiş süreçler hakkında eğitin. Bu bilgiler, nelerin değişebileceğini ve ihtiyaçları için nereye gideceklerini bilmelerini sağlar.
  • Önemli odak alanları: Kaynak bağlantılarında açıklanan birçok ayrıntı olsa da, bu alanlar eğitim ve planlama çalışmalarınızı odaklamanız gereken yerdir:
    • Paylaşılan sorumluluk modeli ve bulut mimarileri: Azure, bir güvenlik analisti için birçok hizmet sağlayan yazılım tanımlı bir veri merkezidir. Bu hizmetler, Azure SQL Veritabanı Azure İşlevleri gibi şirket içinden farklı VM'leri ve diğerlerini içerir. En iyi veriler hizmet günlüklerinde veya özel tehdit algılama hizmetlerindedir. Microsoft tarafından çalıştırılan ve birden çok müşteriye hizmet veren temel işletim sistemi/VM'lerin günlüklerinde yer almamaktadır. Analistlerin bu bağlamı anlaması ve günlük iş akışlarıyla tümleştirmesi gerekir. Böylece hangi verilerin beklendiğini, nereden alındığını ve hangi biçimde olduğunu bilirler.
    • Uç nokta veri kaynakları: Yerel bulut algılama araçlarıyla bulutta barındırılan sunucularda saldırılar ve kötü amaçlı yazılımlarla ilgili içgörüler ve veriler almak genellikle daha hızlı, daha kolay ve daha hassastır. Bulut için Microsoft Defender ve uç noktada algılama ve yanıtlama (EDR) çözümleri gibi araçlar, geleneksel doğrudan disk erişimi yaklaşımlarından daha hassas veriler sağlar. Doğrudan disk adli tıp, yasal işlemler için mümkün olduğu ve gerekli olduğu senaryolar için kullanılabilir. Daha fazla bilgi için bkz . Azure'da bilgisayar adli bilgileri. Ancak bu yaklaşım genellikle saldırıları algılamanın ve araştırmanın en verimsiz yoludur.
    • Ağ ve kimlik veri kaynakları: Bulut platformlarının birçok işlevi öncelikli olarak erişim denetimi için kimlik kullanır. Bu erişim denetimi, Azure portalına erişimi içerir, ancak ağ erişim denetimleri de yoğun olarak kullanılır. Bu erişim denetimi, analistlerin güvenlik olayı araştırmasını ve düzeltmeyi desteklemek üzere saldırgan etkinliğinin ve meşru kullanıcı etkinliğinin tam ve zengin bir resmini elde etmek için bulut kimliği protokollerini anlamalarını gerektirir. Kimlik dizinleri ve protokolleri şirket içi dizinlerden farklıdır. Bunlar genellikle LDAP, Kerberos, NTLM ve Active Directory yerine SAML, OAuth ve OpenID Bağlan ve bulut dizinlerini temel alır.
    • Alıştırma alıştırmaları: Sanal saldırı ve yanıt, kurumsal kas belleği ve teknik hazırlık oluşturmaya yardımcı olabilir. Güvenlik analistleriniz, tehdit avcılarınız, olay yöneticileriniz ve kuruluşunuzdaki diğer paydaşlar için hazırlık sağlar. İş hakkında bilgi edinmek ve uyum sağlamak olay yanıtının doğal bir parçasıdır, ancak bir krizde öğrenmeniz gereken miktarı en aza indirmek için çalışabilirsiniz.

Başlıca kaynaklar

Daha fazla bilgi için bkz. Azure için Azure Güvenlik Karşılaştırması olay yanıtı işlemi.

5. İşlem: Güvenlik duruşu yönetimi oluşturma

İlk olarak, kendinizi tanıyin.

Ne?

Azure ortamınızın güvenlik duruşunu şu şekilde etkin bir şekilde yönettiğinizden emin olun:

  • Sorumlulukların net sahipliğini atama:
    • Güvenlik duruşu izleme
    • Varlıklara yönelik riskleri azaltma
  • Bu görevleri otomatikleştirme ve basitleştirme

Neden?

Ortak güvenlik hijyeni risklerinin hızla belirlenmesi ve düzeltilmesi, kurumsal riski önemli ölçüde azaltır.

Bulut veri merkezlerinin yazılım tanımlı yapısı, yazılım güvenlik açıkları veya güvenlik yanlış yapılandırmaları gibi güvenlik risklerinin kapsamlı varlık izlemesiyle sürekli izlenmesini sağlar. Geliştiricilerin ve BT ekibinin VM'leri, veritabanlarını ve diğer kaynakları dağıtma hızı, kaynakların güvenli bir şekilde yapılandırıldığından ve etkin bir şekilde izlendiğinden emin olmak için bir ihtiyaç oluşturur.

Bu yeni özellikler yeni olasılıklar sunar, ancak bunlardan değer elde etme, bunları kullanma sorumluluğunun atanmayı gerektirir. Hızla gelişen bulut operasyonlarıyla tutarlı bir şekilde yürütmek için insan süreçlerinin mümkün olduğunca basit ve otomatik tutulması gerekir. "Sürücü basitliği" güvenlik ilkesine bakın.

Dekont

Basitleştirme ve otomasyonun amacı işlerden kurtulmak değil, BT ve DevOps ekipleriyle etkileşim kurmak ve onları eğitmek gibi daha yüksek değerli insan etkinliklerine odaklanabilmeleri için yinelenen görevlerin yükünü ortadan kaldırmaktır.

Kim?

Bu uygulama genellikle iki sorumluluk kümesine ayrılır:

  • Güvenlik duruşu yönetimi: Bu işlev genellikle mevcut güvenlik açığı yönetimi veya idare işlevlerinin evrimidir. Sonuç, Bulut için Microsoft Defender güvenlik puanı ve diğer veri kaynaklarını kullanarak genel güvenlik duruşunu izlemeyi içerir. Riskleri azaltmak ve riski güvenlik liderliğine raporlamak için kaynak sahipleriyle etkin bir şekilde çalışmayı içerir.

  • Güvenlik düzeltmesi: Bu riskleri ele almak için bu kaynakları yönetmekle sorumlu ekiplere sorumluluk atayın. Bu sorumluluk, kendi uygulama kaynaklarını yöneten DevOps ekiplerine veya merkezi BT operasyonlarındaki teknolojiye özgü ekiplere aittir:

    • İşlem ve uygulama kaynakları
      • Uygulama hizmetleri: Uygulama geliştirme ve güvenlik ekipleri
      • Kapsayıcılar: Uygulama geliştirme veya altyapı/BT işlemleri
      • VM'ler, ölçek kümeleri, işlem: BT/altyapı işlemleri
    • Veri ve depolama kaynakları
      • SQL, Redis, Data Lake Analytics, data lake store: Veritabanı ekibi
      • Depolama hesapları: Depolama ve altyapı ekibi
    • Kimlik ve erişim kaynakları
      • Abonelikler: Kimlik ekipleri
      • Anahtar kasası: Kimlik veya bilgi/veri güvenliği ekibi
    • Ağ kaynakları: Ağ güvenlik ekibi
    • IoT güvenliği: IoT operasyon ekibi

Nasıl?

Güvenlik herkesin işidir. Ancak herkes ne kadar önemli olduğunu, ne yapacağını ve nasıl yapılacağını bilmiyor.

  • Kullanılabilirlik, performans, maliyet ve diğer başarı faktörlerinden sorumlu tutuldıkları gibi, kaynak sahiplerini de güvenlik risklerinden sorumlu tutun.
  • Güvenlik riskinin varlıkları için neden önemli olduğunu, riski azaltmak için neler yapabileceklerini ve en düşük üretkenlik kaybıyla nasıl uygulayabileceklerini net bir şekilde anlayarak kaynak sahiplerini destekleyin.

Önemli

Kaynakların neden, ne ve nasıl güvenli hale getirilir açıklamaları genellikle farklı kaynak türleri ve uygulamalarında benzerdir, ancak bunları her ekibin zaten bildikleri ve önem verdiği konularla ilişkilendirmek kritik önem taşır. Güvenlik ekipleri, bu ekiplerin başarılı olmasına olanak sağlayan güvenilir bir danışman ve iş ortağı olarak BT ve DevOps muadilleriyle etkileşime geçebilir.

Araçlar: Bulut için Microsoft Defender'de güvenlik puanı, çok çeşitli varlıklar için Azure'daki en önemli güvenlik bilgilerinin bir değerlendirmesini sağlar. Bu değerlendirme, duruş yönetimiyle ilgili başlangıç noktanız olabilir ve gerektiğinde özel Azure ilkeleri ve diğer mekanizmalarla desteklenebilir.

Sıklık: Azure güvenli puanını gözden geçirmek ve belirli geliştirme hedeflerine sahip girişimleri planlamak için normalde aylık olarak düzenli bir tempo ayarlayın. Sıklık gerektiğinde artırılabilir.

Bahşiş

Katılımı artırmak için mümkünse etkinliği oyunlaştırın. Örneğin, puanlarını en iyi şekilde geliştiren DevOps ekipleri için eğlenceli yarışmalar ve ödüller oluşturun.

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması güvenlik duruşu yönetim stratejisi.

6. Teknoloji: Parolasız veya çok faktörlü kimlik doğrulaması gerektirme

Profesyonel saldırganların yöneticinizin parolasını tahmin edemediklerine veya çalamadıklarına dair kuruluşunuzun güvenliğine bahse girmek istiyor musunuz?

Ne?

Tüm kritik etkiye sahip yöneticilerin parolasız veya çok faktörlü kimlik doğrulamasını kullanmasını zorunlu kılar.

Neden?

Antika iskelet anahtarları bir evi modern bir hırsıza karşı koruymayacağı gibi, parolalar da hesapları yaygın saldırılara karşı koruyamaz. Teknik ayrıntılar için pa$$word önemli değil bölümüne bakın.

Çok faktörlü kimlik doğrulaması bir zamanlar zahmetli bir ek adımdı. Parolasız yaklaşımlar günümüzde kullanıcıların Windows Hello ve mobil cihazlarda yüz tanıma gibi biyometrik yaklaşımları kullanarak oturum açma şeklini geliştirmektedir. Buna ek olarak, sıfır güven yaklaşımı güvenilen cihazları anımsar. Bu yöntem, bant dışı çok faktörlü kimlik doğrulama eylemlerini rahatsız etme istemini azaltır. Daha fazla bilgi için bkz . Kullanıcı oturum açma sıklığı.

Kim?

Parola ve çok faktörlü girişim genellikle kimlik ve anahtar yönetimi veya güvenlik mimarisi tarafından yönetilir.

Nasıl?

Parolasız veya çok faktörlü kimlik doğrulaması uygulayın. Yöneticileri ihtiyaç duydukları şekilde nasıl kullanacakları konusunda eğitin ve yöneticilerin yazılı ilkeyi kullanarak izlemesini isteyin. Şu teknolojilerden birini veya daha fazlasını kullanın:

Dekont

Kısa mesaj tabanlı çok faktörlü kimlik doğrulaması artık saldırganların atlamasına göre daha ucuz olduğundan parolasız ve daha güçlü çok faktörlü kimlik doğrulamasına odaklanın.

Daha fazla bilgi için bkz. Tüm Microsoft Entra ID tabanlı erişim için Azure Güvenlik Karşılaştırması güçlü kimlik doğrulama denetimleri.

7. Teknoloji: Yerel güvenlik duvarını ve ağ güvenliğini tümleştirme

Sistemlerin ve verilerin ağ saldırılarına karşı korunmasını basitleştirin.

Ne?

Azure Güvenlik Duvarı, Azure web uygulaması güvenlik duvarını (WAF) ve dağıtılmış hizmet reddi (DDoS) azaltmalarını ağ güvenliği yaklaşımınızla tümleştirerek ağ güvenlik stratejinizi ve bakımınızı basitleştirin.

Neden?

Karışıklıklardan, yanlış yapılandırmalardan ve diğer insan hatalarından kaynaklanan risk olasılığını azalttığı için basitlik güvenlik açısından kritik önem taşır. "Sürücü basitliği" güvenlik ilkesine bakın.

Güvenlik duvarları ve WAF'ler, uygulamaları kötü amaçlı trafikten korumak için önemli temel güvenlik denetimleridir, ancak kurulum ve bakımları karmaşık olabilir ve güvenlik ekibinin zaman ve dikkatini önemli ölçüde tüketebilir (bir arabaya özel satış sonrası parçaları eklemeye benzer). Azure'ın yerel özellikleri güvenlik duvarlarının, web uygulaması güvenlik duvarlarının, dağıtılmış hizmet reddi (DDoS) azaltmalarının ve daha fazlasının uygulanmasını ve çalışmasını basitleştirebilir.

Bu uygulama, ekibinizin zamanını ve dikkatini aşağıdaki gibi daha yüksek değerli güvenlik görevlerine ayırabilir:

  • Azure hizmetlerinin güvenliğini değerlendirme
  • Güvenlik işlemlerini otomatikleştirme
  • Güvenliği uygulamalar ve BT çözümleriyle tümleştirme

Kim?

  • Sponsorluk: Güvenlik liderliği veya BT liderliği genellikle ağ güvenlik stratejisi güncelleştirmesine sponsorluk eder.
  • Yürütme: Stratejileri bulut ağı güvenlik stratejinizle tümleştirmek, aşağıdakiler dahil olmak üzere işbirliğine dayalı bir çalışmadır:
    • Güvenlik mimarisi: Bulut ağı ve bulut ağı güvenlik müşteri adaylarıyla bulut ağı güvenlik mimarisi oluşturun.
    • Bulut ağı merkezi BT operasyonlarına liderlik eder ve Bulut Ağı güvenliği altyapı güvenlik ekibine liderlik eder
      • Güvenlik mimarlarıyla bulut ağı güvenlik mimarisi oluşturun.
      • Güvenlik duvarı, NSG ve WAF özelliklerini yapılandırın ve WAF kuralları üzerinde uygulama mimarlarıyla birlikte çalışın.
    • Uygulama mimarları: Kullanılabilirliği kesintiye uğratmadan uygulamayı korumak için WAF kural kümelerini ve DDoS yapılandırmalarını derlemek ve iyileştirmek için ağ güvenliğiyle çalışma

Nasıl?

İşlemlerini basitleştirmek isteyen kuruluşların iki seçeneği vardır:

  • Mevcut özellikleri ve mimarileri genişletme: Birçok kuruluş genellikle mevcut güvenlik duvarı özelliklerinin kullanımını genişletmeyi tercih eder, böylece mevcut yatırımlardan beceri ve süreç tümleştirmesi elde edebilir, özellikle de bulutu ilk benimsedikleri gibi.
  • Yerel güvenlik denetimlerini benimseyin: Daha fazla kuruluş, üçüncü taraf özellikleri tümleştirmenin karmaşıklığını önlemek için yerel denetimleri kullanmayı tercih etmeye başlıyor. Bu kuruluşlar genellikle yük dengeleme, kullanıcı tanımlı yollar, güvenlik duvarı veya WAF'nin kendisi ve farklı teknik ekipler arasındaki iletim gecikmelerinde yanlış yapılandırma riskinden kaçınmaya çalışır. Bu seçenek, yerleşik özellikleri üçüncü taraf özelliklere göre daha kolay otomatikleştirip izleyebileceğinizden, kod yaklaşımları olarak altyapıyı benimseen kuruluşlar için ilgi çekicidir.

Azure yerel ağ güvenlik özellikleriyle ilgili belgeler şu adreste bulunabilir:

Azure Market birçok üçüncü taraf güvenlik duvarı sağlayıcısı içerir.

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması DDOS koruması ve web uygulaması güvenlik duvarı koruması.

8. Teknoloji: Yerel tehdit algılamayı tümleştirme

Azure sistemlerine ve verilerine yönelik saldırıları algılamayı ve yanıtlamayı basitleştirin.

Ne?

Güvenlik operasyonlarınıza ve SIEM'inize yerel tehdit algılama özelliklerini ekleyerek tehdit algılama ve yanıt stratejinizi basitleştirin.

Neden?

Güvenlik işlemlerinin amacı, ortama erişim elde eden etkin saldırganların etkisini azaltmaktır. Etki, (MTTA) ve düzeltme (MTTR) olaylarını anlama süresine göre ölçülür. Bu uygulama, olay yanıtının tüm öğelerinde hem doğruluk hem de hız gerektirir. Sonuç, araçların kalitesinin ve süreç yürütme verimliliğinin çok önemli olduğundan emin olunmasında yardımcı olur.

Mevcut araçları ve yaklaşımları kullanarak yüksek tehdit algılamaları almak zordur. Araçlar ve yaklaşımlar, bulut teknolojisindeki farklılıklar ve hızlı değişim hızı nedeniyle şirket içi tehdit algılama için tasarlanmıştır. Yerel olarak tümleştirilmiş algılamalar, bulut sağlayıcıları tarafından sürdürülen ve mevcut tehditlere ve bulut platformu değişikliklerine ayak uydurabilen endüstriyel ölçek çözümleri sağlar.

Bu yerel çözümler, güvenlik operasyonları ekiplerinin olay araştırmasına ve düzeltmesine odaklanmasını sağlar. Tanıdık olmayan günlük verilerinden uyarılar oluşturarak, araçları ve bakım görevlerini tümleştirerek zaman harcamak yerine bu öğelere odaklanın.

Kim?

Genellikle güvenlik operasyonları ekibi tarafından yönlendirilir.

  • Sponsorluk: Bu çalışma genellikle güvenlik operasyonları direktörü veya eşdeğer rol tarafından sponsorluk yapılır.
  • Yürütme: Yerel tehdit algılamayı tümleştirmek, bu çözümleri içeren işbirliğine dayalı bir çalışmadır:
    • Güvenlik işlemleri: Uyarıları SIEM ve olay araştırma süreçleriyle tümleştirin. Güvenlik operasyonları, analistleri bulut uyarıları ve bunların ne anlama gelenleri ve yerel bulut araçlarının nasıl kullanılacağı konusunda eğitebilir.
    • Olay hazırlığı: Bulut olaylarını uygulama alıştırmalarıyla tümleştirin ve ekip hazırlığını sağlamak için alıştırma alıştırmalarının gerçekleştirildiğinden emin olun.
    • Tehdit bilgileri: Ekipleri bağlam ve zeka ile bilgilendirmek için bulut saldırılarıyla ilgili bilgileri araştırıp tümleştirin.
    • Güvenlik mimarisi: Yerel araçları güvenlik mimarisi belgeleriyle tümleştirin.
    • İlke ve standartlar: Kuruluş genelinde yerel araçları etkinleştirmek için standartlar ve ilkeler ayarlayın. Uyumluluk için izleyin.
    • Altyapı ve uç nokta ve Merkezi BT İşlemleri: Algılamaları yapılandırın ve etkinleştirin, kod çözümleri olarak otomasyon ve altyapıyla tümleştirin.

Nasıl?

Kullandığınız tüm kaynaklar için Bulut için Microsoft Defender tehdit algılamayı etkinleştirin ve her ekibin bu kaynakları yukarıda açıklandığı gibi süreçleriyle tümleştirmesini sağlayın.

Daha fazla bilgi için bkz. Azure kaynakları için Azure Güvenlik Karşılaştırması tehdit algılama.

9. Mimari: Tek bir dizinde ve kimlikte standartlaştırma

Kimse birden çok kimlik ve dizinle uğraşmak istemez.

Ne?

Tek bir Microsoft Entra dizininde standart hale getirme. Azure'daki her uygulama ve kullanıcı için tek bir kimliği standartlaştırabilirsiniz.

Dekont

Bu en iyi yöntem özellikle kurumsal kaynakları ifade eder. İş ortağı hesapları için Microsoft Entra B2B'yi kullanarak dizininizde hesap oluşturmanız ve bakımını yapmak zorunda değilsiniz. Müşteri veya vatandaş hesapları için, bunları yönetmek için Azure AD B2C'yi kullanın.

Neden?

Birden çok hesap ve kimlik dizini gereksiz uyuşmalar oluşturur ve bu da günlük iş akışlarında karışıklığa neden olur:

  • Üretkenlik kullanıcıları
  • Geliştiriciler
  • BT ve kimlik yöneticileri
  • Güvenlik analistleri
  • Diğer roller

Birden çok hesabı ve dizini yönetmek, kötü güvenlik uygulamaları için teşvik oluşturur. Bu uygulamalar, hesaplar arasında parola yeniden kullanımı gibi öğeleri içerir. Saldırganların hedefleyebilecekleri eski veya terk edilmiş hesap olasılığını artırır.

Bazen belirli bir uygulama veya iş yükü için özel bir LDAP dizinini hızlı bir şekilde oluşturmak daha kolay görünse de, bu eylem tümleştirmek ve yönetmek için çok daha fazla iş oluşturur. Bu çalışma, mevcut kurumsal kiracıyı kullanmak yerine ek bir Azure kiracısı veya şirket içi Active Directory ormanı ayarlamayı seçmeye benzer. Daha fazla bilgi için kolaylık sağlama güvenlik ilkesine bakın.

Kim?

Tek bir Microsoft Entra dizininde standartlaştırma genellikle ekipler arası bir çalışmadır. Bu çaba, güvenlik mimarisi veya kimlik ve anahtar yönetimi ekipleri tarafından yönlendirilir.

  • Sponsorluk: Kimlik ve anahtar yönetimi ve güvenlik mimarisi genellikle bu çalışmaya sponsorluk sağlar, ancak bazı kuruluşlar CISO veya CIO tarafından sponsorluk gerektirebilir.
  • Yürütme: Yürütme, şu işlemleri içeren işbirliğine dayalı bir çalışmadır:
    • Güvenlik mimarisi: Bu ekip, süreci güvenlik ve BT mimarisi belgelerine ve diyagramlarına dahil eder.
    • İlke ve standartlar: Bu ekip ilkeyi belgeler ve uyumluluğu izler.
    • Kimlik ve anahtar yönetimi veya merkezi BT işlemleri: Bu ekipler, özellikleri etkinleştirerek ve geliştiricileri hesaplar, eğitim vb. ile destekleyerek ilkeyi uygular.
    • Uygulama geliştiricileri veya merkezi BT işlemleri: Bu ekipler uygulamalarda ve Azure hizmet yapılandırmalarında kimlik kullanır. Sorumluluklar DevOps benimseme düzeyine göre değişir.

Nasıl?

Yeni yeşil alan özellikleriyle başlayan pragmatik bir yaklaşım benimseyin. Ardından, bir izleme alıştırması olarak mevcut uygulama ve hizmetlerin kahverengi alanıyla zorlukları temizleyin:

  • Greenfield: Tüm kurumsal kimliğin her kullanıcı için tek bir hesapla tek bir Microsoft Entra dizini kullanabileceğine ilişkin net bir ilke oluşturun ve uygulayın.

  • Brownfield: Çoğu kuruluşta genellikle birden çok eski dizin ve kimlik sistemi bulunur. Devam eden yönetim uyuşmalarının maliyeti temizlemek için yatırımı aştığında bu eski öğeleri ele alın. Kimlik yönetimi ve eşitleme çözümleri bu sorunların bazılarını hafifletebilir, ancak güvenlik ve üretkenlik özelliklerinin derin tümleştirmesi eksiktir. Bu özellikler kullanıcılar, yöneticiler ve geliştiriciler için sorunsuz bir deneyim sağlar.

Kimlik kullanımınızı birleştirmek için ideal zaman, uygulama geliştirme döngüleri sırasında şu şekildedir:

  • Bulut için uygulamaları modernleştirin.
  • DevOps işlemleriyle bulut uygulamalarını güncelleştirme.

Bağımsız iş birimleri veya mevzuat gereksinimleri için ayrı bir dizinin geçerli nedenleri olsa da, diğer tüm durumlarda birden çok dizinden kaçının.

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması Microsoft Entra merkezi kimlik ve kimlik doğrulama sistemi.

Önemli

Tek hesap kuralının tek istisnası, BT yöneticileri ve güvenlik analistleri de dahil olmak üzere ayrıcalıklı kullanıcıların yönetim görevlerine kıyasla standart kullanıcı görevleri için ayrı hesaplara sahip olmasıdır.

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması ayrıcalıklı erişimi.

10. Mimari: Anahtarlar yerine kimlik tabanlı erişim denetimi kullanın

Ne?

Mümkün olduğunca anahtar tabanlı kimlik doğrulaması yerine Microsoft Entra kimliklerini kullanın. Örneğin, Azure hizmetleri, uygulamalar, API'ler.

Neden?

Anahtar tabanlı kimlik doğrulaması, bulut hizmetlerinde ve API'lerde kimlik doğrulaması yapmak için kullanılabilir. Ancak anahtarları güvenli bir şekilde yönetmeyi gerektirir ve bu da özellikle büyük ölçekte iyi bir iş yapmak zordur. Güvenli anahtar yönetimi, geliştiriciler ve altyapı uzmanları gibi güvenlikle ilgili olmayan profesyoneller için zordur ve genellikle bunu güvenli bir şekilde yapamaz ve genellikle kuruluş için önemli güvenlik riskleri oluşturur.

Kimlik tabanlı kimlik doğrulaması, olgun özelliklerle bu zorlukların çoğunu aşıyor. Bu özellikler gizli dizi döndürme, yaşam döngüsü yönetimi, yönetim temsilcisi ve daha fazlasını içerir.

Kim?

Kimlik tabanlı erişim denetimi uygulaması genellikle ekipler arası bir çalışmadır. Bu çaba, güvenlik mimarisi veya kimlik ve anahtar yönetimi ekipleri tarafından yönlendirilir.

  • Sponsorluk: Bu çaba genellikle güvenlik mimarisi veya kimlik ve anahtar yönetimi tarafından desteklenmektedir ancak bazı kuruluşlar CISO veya CIO tarafından sponsorluk gerektirebilir.
  • Yürütme: Şu işbirliğine dayalı bir çalışma:
    • Güvenlik mimarisi: Bu ekip, güvenlik ve BT mimarisi diyagramlarına ve belgelerine en iyi yöntemleri dahil eder.
    • İlke ve standartlar: Bu ekip ilkeyi belgeler ve uyumluluğu izler.
    • Kimlik ve anahtar yönetimi veya merkezi BT işlemleri: Bu ekipler, özellikleri etkinleştirerek ve geliştiricileri hesaplar, eğitim vb. ile destekleyerek ilkeyi uygular.
    • Uygulama geliştiricileri veya merkezi BT işlemleri: Uygulamalarda ve Azure hizmet yapılandırmalarında kimlik kullanın. Sorumluluklar, DevOps benimseme düzeyine göre değişir.

Nasıl?

Kimlik tabanlı kimlik doğrulamasını kullanmak için bir kuruluş tercihi ve alışkanlığı ayarlamak için bir sürecin takip edilmesini ve teknolojinin etkinleştirilmesini gerektirir.

İşlem

  1. Varsayılan kimlik tabanlı kimlik doğrulamasını ve kabul edilebilir özel durumları açıkça özetleyen ilke ve standartlar oluşturun.
  2. Geliştiricileri ve altyapı ekiplerini yeni yaklaşımı neden kullanacakları, ne yapması gerektiği ve nasıl yapacakları konusunda eğitin.
  3. Yeni Azure hizmetleri ve yeni uygulamalar gibi yeni yeşil alan özelliklerinin benimsenmesiyle başlayıp mevcut brownfield yapılandırmalarını temizleyerek değişiklikleri pragmatik bir şekilde uygulayın.
  4. Uyumluluğu izleyin ve düzeltmek için geliştirici ve altyapı ekipleriyle birlikte izleyin.

Teknolojiler

Hizmetler veya otomasyon gibi insan olmayan hesaplar için yönetilen kimlikleri kullanın. Azure tarafından yönetilen kimlikler, Microsoft Entra kimlik doğrulamasını destekleyen Azure hizmetlerinde ve kaynaklarda kimlik doğrulaması yapabilir. Kimlik doğrulaması, önceden tanımlanmış erişim verme kuralları aracılığıyla etkinleştirilir ve kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerinden kaçınılır.

Yönetilen kimlikleri desteklemeyen hizmetler için, bunun yerine kaynak düzeyinde kısıtlı izinlere sahip bir hizmet sorumlusu oluşturmak için Microsoft Entra Id kullanın. Hizmet sorumlularını sertifika kimlik bilgileriyle ve istemci gizli dizilerine geri dönüşle yapılandırmanız gerekir. Her iki durumda da Azure Key Vault, Azure tarafından yönetilen kimliklerle kullanılabilir, böylece Azure işlevi gibi çalışma zamanı ortamı anahtar kasasından kimlik bilgilerini alabilir.

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması uygulama kimlikleri.

11. Mimari: Tek bir birleşik güvenlik stratejisi oluşturma

Teknenin ilerlemesi için herkesin aynı yöne doğru kürek çekmesi gerekiyor.

Ne?

Tüm ekiplerin kurumsal sistemlere ve verilere izin veren ve bunların güvenliğini sağlayan tek bir stratejiye uygun olduğundan emin olun.

Neden?

Takımlar ortak bir stratejiye hizalanmadan yalıtılmış olarak çalıştığında, bireysel eylemleri istemeden birbirlerinin çabalarını zayıflatabilir. Yanlış hizalama, herkesin hedeflerine karşı ilerlemeyi yavaşlatan gereksiz sürtüşmelere neden olabilir.

Birçok kuruluşta tutarlı bir şekilde performans gösteren yalıtılmış bir şekilde çalışan takımlara örnek olarak varlıkların segmentasyonu verilebilir:

  • Ağ güvenliği: Düz ağı segmentlere ayırmak için bir strateji geliştirir. Strateji, genellikle fiziksel sitelere, atanmış IP adresi adreslerine/aralıklarına veya benzer öğelere göre güvenliği artırır.
  • Kimlik ekibi: Grupların ve Active Directory kuruluş birimlerinin (OU) kuruluş anlayışına ve bilgilerine göre bir strateji geliştirir.
  • Uygulama ekipleri: Bu sistemlerle çalışmanın zor olduğunu fark edin. İş operasyonları, hedefler ve riskler hakkında sınırlı giriş ve anlayışla tasarlandıkları için bu zordur.

Bu sınırlamanın gerçekleştiği kuruluşlarda ekipler genellikle güvenlik duvarı özel durumları üzerinde çakışmalar yaşar. Ekipler özel durumları onayladığı için çakışmalar güvenliği olumsuz etkileyebilir. İş gereksinimlerinin uygulama işlevselliği için dağıtımlar yavaşladığı için üretkenlik güvenliği olumsuz etkiler.

Güvenlik, kritik düşünceyi zorlayarak sağlıklı sürtüşmeler yaratsa da, bu çakışma yalnızca hedefleri engelleyen iyi durumda olmayan bir sürtüşme oluşturur. Daha fazla bilgi için bkz . güvenlik stratejisi kılavuzu.

Kim?

  • Sponsorluk: Birleşik strateji genellikle CIO, CISO ve CTO tarafından ortaktır. Sponsorluk genellikle bazı üst düzey öğeler için iş liderliği desteğiyle birlikte gelir ve her takımdan temsilciler tarafından destekleniyor.
  • Yürütme: Güvenlik stratejisi herkes tarafından uygulanmalıdır. Sahiplik, satın alma ve başarı olasılığını artırmak için çeşitli ekiplerden verileri tümleştirir.
    • Güvenlik mimarisi: Bu ekip, güvenlik stratejisi ve sonuçta elde edilen mimari oluşturma çabalarına liderlik eder. Güvenlik mimarisi ekiplerden etkin bir şekilde geri bildirim toplar ve bunu çeşitli hedef kitleler için sunularda, belgelerde ve diyagramlarda belgeler.
    • İlke ve standartlar: Bu ekip, uygun öğeleri standartlara ve ilkeye yakalar ve ardından uyumluluğu izler.
    • Tüm teknik BT ve güvenlik ekipleri: Bu ekipler giriş gereksinimleri sağlar, ardından kurumsal stratejiyle uyumlu hale gelip uygular.
    • Uygulama sahipleri ve geliştiriciler: Bu ekipler, kendileri için geçerli olan strateji belgelerini okur ve anlar. İdeal olarak, rehberliği rollerine göre uyarlarlar.

Nasıl?

Bulut için tüm ekiplerin girişini ve etkin katılımını içeren bir güvenlik stratejisi oluşturun ve uygulayın. İşlem belgelerinin biçimi farklılık gösterse de, her zaman şunları içerir:

  • Ekiplerden etkin giriş: Kuruluştaki kişiler bunları satın almazsa stratejiler genellikle başarısız olur. İdeal olarak, stratejiyi işbirliğiyle oluşturmak için tüm ekipleri aynı odaya alın. Müşterilerle gerçekleştirdiğimiz atölyelerde kuruluşların fiili silolarda faaliyette olduğunu ve bu toplantıların genellikle insanların ilk kez birbirleriyle buluşmalarına neden olduğunu tespit ediyoruz. Kapsayıcılığın bir gereksinim olduğunu tespit ediyoruz. Bazı ekipler davet edilmediyse, bu toplantı genellikle tüm katılımcılar katılana kadar yinelenmelidir. Katılmazlarsa proje ileriye taşınmaz.
  • Net bir şekilde belgelenmiş ve iletişim kurulmalıdır: Tüm ekiplerin güvenlik stratejisi konusunda farkında olması gerekir. İdeal olarak, güvenlik stratejisi genel teknoloji stratejisinin bir güvenlik bileşenidir. Bu strateji, güvenliğin neden tümleştirilmesini, güvenlikte neyin önemli olduğunu ve güvenlik başarısının nasıl göründüğünü içerir. Bu strateji, ilgili olmayan bilgileri okumak zorunda kalmadan net ve düzenli yönergeler elde edebilmeleri için uygulama ve geliştirme ekiplerine özel yönergeler içerir.
  • Kararlı, ancak esnek: Stratejileri nispeten tutarlı ve kararlı tutun, ancak mimarilerin ve belgelerin netlik sağlaması ve bulutun dinamik doğasına uyum sağlaması gerekebilir. Örneğin, kötü amaçlı dış trafiği filtrelemek, üçüncü taraf yeni nesil güvenlik duvarı kullanımından Azure Güvenlik Duvarı ve bunun nasıl yapılacağını gösteren diyagramları ve yönergeleri ayarlasanız bile stratejik bir kesinlik olarak tutarlı kalır.
  • Segmentasyonla başlayın: Hem büyük hem de küçük ölçekli strateji sorunları vardır, ancak bir yerden başlamanız gerekir. Kurumsal varlık segmentasyonu ile güvenlik stratejisini başlatın. Bu segmentasyon, daha sonra değiştirilmesi zor olacak temel bir karardır ve hem iş girişi hem de birçok teknik ekip gerektirir.

Microsoft, Azure'a segmentasyon stratejisi uygulamak için video kılavuzu yayımladı. Kurumsal segmentlere ayırma ve ağ güvenliğini buna göre hizalama hakkında yayımlanan belgeler vardır.

Bulut Benimseme Çerçevesi, ekiplerinize şu konuda yardımcı olacak yönergeler içerir:

  • Bulut stratejisi ekibi oluşturma: İdeal olarak, güvenliği mevcut bir bulut stratejisiyle tümleştirirsiniz.
  • Güvenlik stratejisi oluşturma veya modernleştirme: Bulut hizmetlerinin ve modern tehditlerin geçerli çağında iş ve güvenlik hedeflerini karşılayın.

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması idare stratejisi.