Azure'daki sanal makinelerde ilkeleri güvenli hale getirme ve kullanma

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Çalıştırdığınız uygulamalar için sanal makinenizin (VM) güvenliğini sağlamak önemlidir. VM'lerinizin güvenliğini sağlamak, VM'lerinize güvenli erişimi ve verilerinizin güvenli bir şekilde depolanmasını kapsayan bir veya daha fazla Azure hizmeti ve özelliği içerebilir. Bu makalede, VM'nizi ve uygulamalarınızı güvenli tutmanızı sağlayan bilgiler sağlanır.

Kötü amaçlı yazılımdan koruma

Bulut ortamları için modern tehdit ortamı dinamiktir ve uyumluluk ve güvenlik gereksinimlerini karşılamak için etkili korumayı koruma baskısını artırır. Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, virüsleri, casus yazılımları ve diğer kötü amaçlı yazılımları tanımlamaya ve kaldırmaya yardımcı olan ücretsiz bir gerçek zamanlı koruma özelliğidir. Uyarılar, kötü amaçlı veya istenmeyen yazılımların kendisini yüklemeyi veya VM'nizde çalıştırmayı denediği bilinen durumlarda sizi bilgilendirecek şekilde yapılandırılabilir. Linux veya Windows Server 2008 çalıştıran VM'lerde desteklenmez.

Bulut için Microsoft Defender

Bulut için Microsoft Defender vm'lerinize yönelik tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Bulut için Defender, Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar, aksi takdirde gözlerden çıkabilecek tehditleri algılamaya yardımcı olur ve geniş bir güvenlik çözümleri ekosistemiyle çalışır.

Bulut için Defender tam zamanında erişimi, Azure VM'lerinize gelen trafiği kilitlemek için VM dağıtımınız genelinde uygulanabilir ve gerektiğinde VM'lere bağlanmak için kolay erişim sağlarken saldırılara maruz kalma oranını azaltır. Tam zamanında etkinleştirildiğinde ve bir kullanıcı vm'ye erişim istediğinde, Bulut için Defender kullanıcının VM için hangi izinlere sahip olduğunu denetler. Doğru izinlere sahipse, istek onaylanır ve Bulut için Defender ağ güvenlik gruplarını (NSG) seçilen bağlantı noktalarına sınırlı bir süre için gelen trafiğe izin verecek şekilde otomatik olarak yapılandırılır. Süre dolduktan sonra Bulut için Defender NSG'leri önceki durumlarına geri yükler.

Şifreleme

Yönetilen diskler için iki şifreleme yöntemi sunulur. Azure Disk Şifrelemesi olan işletim sistemi düzeyinde şifreleme ve sunucu tarafı şifreleme olan platform düzeyinde şifreleme.

Sunucu tarafı şifrelemesi

Azure yönetilen diskleri, verilerinizi bulutta kalıcı hale getirmek için varsayılan olarak otomatik olarak şifreler. Sunucu tarafı şifrelemesi verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Azure yönetilen disklerindeki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit AES şifrelemesi kullanılarak saydam olarak şifrelenir ve FIPS 140-2 ile uyumludur.

Şifreleme, yönetilen disklerin performansını etkilemez. Şifreleme için ek maliyet yoktur.

Yönetilen diskinizin şifrelemesi için platform tarafından yönetilen anahtarlara güvenebilir veya kendi anahtarlarınızı kullanarak şifrelemeyi yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz, yönetilen disklerdeki tüm verileri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz.

Sunucu tarafı şifrelemesi hakkında daha fazla bilgi edinmek için Windows veya Linux makalelerine bakın.

Azure Disk Şifrelemesi

Gelişmiş Windows VM ve Linux VM güvenliği ve uyumluluğu için Azure'daki sanal diskler şifrelenebilir. Windows VM'lerindeki sanal diskler BitLocker kullanılarak beklemede şifrelenir. Linux VM'lerindeki sanal diskler dm-crypt kullanılarak beklemede şifrelenir.

Azure'da sanal diskleri şifrelemek için ücret alınmaz. Şifreleme anahtarları yazılım koruması kullanılarak Azure Key Vault'ta depolanır veya anahtarlarınızı FIPS 140 onaylı standartlara sahip Donanım Güvenlik Modülleri'nde (HSM) içeri aktarabilir veya oluşturabilirsiniz. Bu şifreleme anahtarları, VM'nize bağlı sanal diskleri şifrelemek ve şifresini çözmek için kullanılır. Bu şifreleme anahtarlarının denetimini korursunuz ve bunların kullanımını denetleyebilirsiniz. Microsoft Entra hizmet sorumlusu, VM'ler açık ve kapalı olduğundan bu şifreleme anahtarlarını vermek için güvenli bir mekanizma sağlar.

Key Vault ve SSH Anahtarları

Gizli diziler ve sertifikalar kaynak olarak modellenebilir ve Key Vault tarafından sağlanabilir. Windows VM'leri için anahtar kasaları ve Linux VM'leri için Azure CLI oluşturmak için Azure PowerShell'i kullanabilirsiniz. Şifreleme için anahtarlar da oluşturabilirsiniz.

Anahtar kasası erişim ilkeleri anahtarlara, gizli dizilere ve sertifikalara ayrı ayrı izinler verir. Örneğin, bir kullanıcıya parolalar için herhangi bir izin vermeden yalnızca anahtarlar için erişim verebilirsiniz. Ancak, anahtar, parola veya sertifikalara erişim izni kasa düzeyinde verilir. Başka bir deyişle, anahtar kasası erişim ilkesi nesne düzeyi izinlerini desteklemez.

VM'lere bağlandığınızda, ortak anahtar şifrelemesini kullanarak oturum açmanın daha güvenli bir yolunu sağlamanız gerekir. Bu işlem, kullanıcı adı ve parola yerine kimliğinizi doğrulamak için secure shell (SSH) komutunu kullanan bir ortak ve özel anahtar değişimini içerir. Parolalar, özellikle web sunucuları gibi İnternet'e yönelik VM'lerde deneme yanılma saldırılarına karşı savunmasızdır. Güvenli kabuk (SSH) anahtar çifti ile kimlik doğrulaması için SSH anahtarlarını kullanan bir Linux VM oluşturabilir ve oturum açmak için parola gereksinimini ortadan kaldırabilirsiniz. Windows VM'den Linux VM'ye bağlanmak için SSH anahtarlarını da kullanabilirsiniz.

Azure kaynakları için yönetilen kimlikler

Bulut uygulamaları oluştururken yaygın olarak karşılaşılan bir zorluk, bulut hizmetlerinde kimlik doğrulaması yapmak için kodunuzda bulunan kimlik bilgilerinin yönetimidir. Kimlik bilgilerinin güvenlik altında tutulması önemli bir görevdir. İdeal olan kimlik bilgilerinin geliştirici iş istasyonlarında asla gösterilmemesi ve kaynak denetimine kaydedilmemesidir. Azure Key Vault kimlik bilgilerini, gizli dizileri ve diğer anahtarları güvenle depolamak için bir yol sağlar, ama bunları alabilmek için kodunuzun Key Vault'ta kimlik doğrulaması yapması gerekir.

Microsoft Entra'daki Azure kaynakları için yönetilen kimlikler özelliği bu sorunu çözer. Bu özellik, Azure hizmetlerine Microsoft Entra ID'de otomatik olarak yönetilen bir kimlik sağlar. Kodunuzda hiçbir kimlik bilgisi olmadan Key Vault dahil olmak üzere Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapmak için kimliği kullanabilirsiniz. Bir VM üzerinde çalışan kodunuz, yalnızca VM'nin içinden erişilebilen iki uç noktadan belirteç isteyebilir. Bu hizmet hakkında daha ayrıntılı bilgi için Azure kaynakları için yönetilen kimliklere genel bakış sayfasını gözden geçirin.

İlkeler

Azure ilkeleri , kuruluşunuzun VM'leri için istenen davranışı tanımlamak için kullanılabilir. Bir kuruluş, ilkeleri kullanarak kuruluş genelinde çeşitli kuralları ve kuralları zorunlu kılabilir. İstenen davranışın uygulanması, kuruluşun başarısına katkıda bulunurken riski azaltmaya yardımcı olabilir.

Azure rol tabanlı erişim denetimi

Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak, ekibinizdeki görevleri ayrıştırabilir ve vm'nizdeki kullanıcılara yalnızca işlerini yapmaları için gereken erişim miktarını verebilirim. Herkese VM üzerinde sınırsız izin vermek yerine yalnızca belirli eylemlere izin vekleyebilirsiniz. Azure CLI veyaAzure PowerShell kullanarak Azure portalında VM için erişim denetimini yapılandırabilirsiniz.

Sonraki adımlar

  • Linux veya Windows için Bulut için Microsoft Defender kullanarak sanal makine güvenliğini izleme adımlarını izleyin.