Güvenlik temeli oluşturma önerileri

  • Makale

Azure İyi Tasarlanmış Çerçeve Güvenliği denetim listesi önerisi için geçerlidir:

SE:01 Uyumluluk gereksinimlerine, endüstri standartlarına ve platform önerilerine uygun bir güvenlik temeli oluşturun. Zaman içinde güvenlik duruşunuzu sürdürmek veya iyileştirmek için iş yükü mimarinizi ve işlemlerinizi taban çizgisine göre düzenli olarak ölçün.

Bu kılavuzda güvenlik temeli oluşturmaya yönelik öneriler açıklanmaktadır. Güvenlik temeli, kuruluşunuzun çeşitli alanlardaki en düşük güvenlik gereksinimlerini ve beklentilerini belirten bir belgedir. İyi bir güvenlik temeli şunları kullanmanıza yardımcı olur:

  • Verilerinizi ve sistemlerinizi güvende tutun.
  • Mevzuat gereksinimlerine uyun.
  • Gözetim riskini en aza indirin.
  • İhlal olasılığını ve sonraki iş etkilerini azaltın.

Tüm paydaşların beklentilerin farkında olması için güvenlik temelleri kuruluşunuz genelinde yaygın olarak yayımlanmalıdır.

Bu kılavuz, iç ve dış faktörleri temel alan bir güvenlik temeli ayarlama hakkında öneriler sağlar. İç faktörler arasında iş gereksinimleri, riskler ve varlık değerlendirmesi yer alır. Dış faktörler arasında endüstri karşılaştırmaları ve mevzuat standartları yer alır.

Tanımlar

Süre Tanım
Taban çizgisi Bir iş yükünün kötüye kullanmaktan kaçınmak için sahip olması gereken en düşük güvenlik durumu düzeyi.
Kıyaslama Kuruluşun hedeflediğini güvenlik duruşunu belirten bir standart. Zaman içinde değerlendirilir, ölçülür ve iyileştirilir.
Denetimler İş yükünde saldırıları önlemeye ve saldırgan maliyetlerini artırmaya yardımcı olan teknik veya operasyonel denetimler.
Mevzuat gereksinimleri Yasaların ve yetkililerin uyguladığı, endüstri standartlarına göre hareket eden bir dizi iş gereksinimi.

Temel tasarım stratejileri

Güvenlik temeli, güvenliği artırmak için iş yükünün yerine getirmesi gereken bir dizi güvenlik ölçütü ve özelliğini tanımlayan yapılandırılmış bir belgedir. Daha olgun bir biçimde, temeli, korumaları ayarlamak için kullandığınız bir ilke kümesini içerecek şekilde genişletebilirsiniz.

Temel, güvenlik duruşunuzu ölçmek için standart olarak kabul edilmelidir. Hedef, geniş kapsamlı bir kapsam koruyarak her zaman tam kapsamlı olmalıdır.

Güvenlik temeliniz hiçbir zaman geçici bir çaba olmamalıdır. Endüstri standartları, uyumluluk (iç veya dış) veya mevzuat gereksinimleri, bölgesel gereksinimler ve bulut platformu karşılaştırmaları temel etmenlerdir. Örnekler arasında İnternet Güvenliği Merkezi (CIS) Denetimleri, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Microsoft bulut güvenliği karşılaştırması (MCSB) gibi platform tabanlı standartlar yer alır. Bu standartların tümü, temeliniz için bir başlangıç noktası olarak kabul edilir. İş gereksinimlerinden güvenlik gereksinimlerini birleştirerek temeli oluşturun.

Önceki varlıkların bağlantıları için bkz . İlgili bağlantılar.

İş ve teknik liderler arasında fikir birliği sağlayarak temeli oluşturun. Temel teknik denetimler ile sınırlandırılmamalıdır. Ayrıca güvenlik duruşunu yönetme ve korumanın operasyonel yönlerini de içermelidir. Bu nedenle temel belge, kuruluşun iş yükü güvenliğine yönelik yatırım taahhüdü olarak da görev alır. İş yükünün güvenlik duruşu hakkında farkındalık olduğundan emin olmak için güvenlik temeli belgesinin kuruluşunuz içinde geniş çapta dağıtılması gerekir.

İş yükü büyüdükçe ve ekosistem geliştikçe temel denetimlerin hala etkili olduğundan emin olmak için temelinizin değişikliklerle eşitlenmiş durumda tutulması çok önemlidir.

Temel oluşturmak yöntemsel bir işlemdir. İşlemle ilgili bazı öneriler şunlardır:

  • Varlık envanteri. İş yükü varlıklarının paydaşlarını ve bu varlıkların güvenlik hedeflerini belirleyin. Varlık envanterinde güvenlik gereksinimlerine ve kritikliğe göre sınıflandırma. Veri varlıkları hakkında bilgi için bkz . Veri sınıflandırma önerileri.

  • Risk değerlendirmesi. Her varlıkla ilişkili olası riskleri belirleyin ve önceliklerini belirleyin.

  • Uyumluluk gereksinimleri. Bu varlıklar için herhangi bir mevzuat veya uyumluluk temeli oluşturun ve sektörün en iyi uygulamalarını uygulayın.

  • Yapılandırma standartları. Her varlık için belirli güvenlik yapılandırmalarını ve ayarlarını tanımlayın ve belgeleyin. Mümkünse, ayarları ortam genelinde tutarlı bir şekilde uygulamak için tekrarlanabilir, otomatik bir yol seçin veya bulun.

  • Erişim denetimi ve kimlik doğrulaması. Rol tabanlı erişim denetimi (RBAC) ve çok faktörlü kimlik doğrulaması (MFA) gereksinimlerini belirtin. Varlık düzeyinde yeterli erişimin ne anlama geldiğini belgeleyin. Her zaman en az ayrıcalık ilkesiyle başlayın.

  • Düzeltme eki yönetimi. Saldırılara karşı güçlendirmek için tüm kaynak türlerine en son sürümleri uygulayın.

  • Belgeler ve iletişim. Tüm yapılandırmaları, ilkeleri ve yordamları belgeleyin. Ayrıntıları ilgili paydaşlara iletin.

  • Zorlama ve sorumluluk. Güvenlik temeli ile uyumsuzluk için açık zorlama mekanizmaları ve sonuçları oluşturun. Güvenlik standartlarını korumak için bireyleri ve ekipleri sorumlu tutun.

  • Sürekli izleme. Gözlemlenebilirlik aracılığıyla güvenlik temelinin etkinliğini değerlendirin ve fazla mesai geliştirmeleri yapın.

Temeli tanımlama

Aşağıda, bir temelin parçası olması gereken bazı yaygın kategoriler yer alır. Aşağıdaki liste kapsamlı değildir. Belgenin kapsamına genel bir bakış olarak tasarlanmıştır.

Mevzuata uyumluluk

Bir iş yükü belirli sektör segmentleri için mevzuat uyumluluğuna tabi olabilir, bazı coğrafi kısıtlamalar olabilir vb. olabilir. Bunlar tasarım seçimlerini etkilediğinden ve bazı durumlarda mimariye dahil edilmeleri gerektiğinden, mevzuat belirtimlerinde belirtildiği gibi gereksinimleri anlamak önemlidir.

Temel, iş yükünün yasal gereksinimlere göre düzenli olarak değerlendirilmesini içermelidir. Uyumsuzluk alanlarını belirleyebilen Bulut için Microsoft Defender gibi platform tarafından sağlanan araçlardan yararlanın. Tüm gereksinimlerin karşılandığından ve korundığından emin olmak için kuruluşun uyumluluk ekibiyle birlikte çalışın.

Mimari bileşenler

Temel, iş yükünün ana bileşenleri için açıklayıcı önerilere ihtiyaç duyar. Bunlar genellikle ağ, kimlik, işlem ve veriler için teknik denetimleri içerir. Platform tarafından sağlanan güvenlik temellerine başvurun ve eksik denetimleri mimariye ekleyin.

Örnek'e bakın.

Geliştirme süreçleri

Temelin aşağıdakiler hakkında önerileri olmalıdır:

  • Sistem sınıflandırması.
  • Onaylanan kaynak türleri kümesi.
  • Kaynakları izleme.
  • Kaynakları kullanmak veya yapılandırmak için ilkeleri zorunlu tutma.

Geliştirme ekibinin güvenlik denetimleri kapsamını net bir şekilde anlamış olması gerekir. Örneğin, tehdit modelleme, olası tehditlerin kodda ve dağıtım işlem hatlarında tanımlandığından emin olmak için bir gereksinimdir. İşlem hattınızdaki statik denetimler ve güvenlik açığı taramaları ve ekibin bu taramaları nasıl düzenli olarak gerçekleştirmesi gerektiği konusunda özel olun.

Daha fazla bilgi için bkz . Tehdit analiziyle ilgili öneriler.

Geliştirme süreci ayrıca çeşitli test metodolojileri ve bunların temposu üzerinde standartlar belirlemelidir. Daha fazla bilgi için bkz . Güvenlik testi önerileri.

Operations

Temel, tehdit algılama özelliklerini kullanma ve gerçek olayları gösteren anormal etkinliklerde uyarı oluşturma standartları belirlemelidir. Tehdit algılamanın, düşman ağlardan ulaşılabilen tüm uç noktalar dahil olmak üzere iş yükünün tüm katmanlarını içermesi gerekir.

Temel, iletişim ve kurtarma planı dahil olmak üzere olay yanıtı işlemlerini ayarlamaya yönelik öneriler ve algılama ve analizi hızlandırmak için bu işlemlerden hangilerinin otomatik hale dönüştürülebileceğine ilişkin öneriler içermelidir. Örnekler için bkz . Azure için güvenlik temellerine genel bakış.

Olay yanıtı ayrıca bir kurtarma planı ve yedeklemeleri düzenli olarak alma ve korumaya yönelik kaynaklar gibi bu planın gereksinimlerini içermelidir.

Platform tarafından sağlanan sektör standartlarını ve önerilerini kullanarak veri ihlali planları geliştirirsiniz. Ekip daha sonra bir ihlal bulunduğunda izlemesi gereken kapsamlı bir plana sahiptir. Ayrıca, siber dayanıklılık kapsamında olup olmadığını öğrenmek için kuruluşunuza danışın.

Eğitim

İş yükü ekibinin güvenlik hedeflerini ve gereksinimlerini desteklemek için uygun becerilere sahip olduğundan emin olmak için bir güvenlik eğitim programı geliştirin ve bakımını yapın. Ekibin temel güvenlik eğitimine ihtiyacı vardır, ancak özel rolleri desteklemek için kuruluşunuzdan yapabileceklerinizi kullanın. Rol tabanlı güvenlik eğitimi uyumluluğu ve tatbikatlara katılım, güvenlik temelinizin bir parçasıdır.

Temeli uygulama

Aşağıdakiler gibi girişimleri yönlendirmek için temeli kullanın:

  • Tasarım kararlarına hazırlıklı olma. Mimari tasarım işlemine başlamadan önce güvenlik temelini oluşturun ve yayımlayın. Ekip üyelerinin kuruluşunuzun beklentilerini önceden tam olarak anladığından emin olun; bu da netlik eksikliğinden kaynaklanan yüksek maliyetli yeniden çalışmaları önler. Temel ölçütleri, kuruluşun taahhüt ettiği iş yükü gereksinimleri olarak kullanabilir ve bu kısıtlamalara karşı denetim tasarlayabilir ve doğrulayabilirsiniz.

  • Tasarımınızı ölçün. Geçerli kararlara geçerli taban çizgisine göre not verin. Temel, ölçütler için gerçek eşikleri ayarlar. Ertelenen veya uzun vadeli kabul edilebilir kabul edilen sapmaları belgele.

  • Sürücü geliştirmeleri. Taban çizgisi ulaşılabilir hedefleri ayarlarken, her zaman boşluklar vardır. Kapsamınızdaki boşlukların önceliğini belirleyin ve öncelik belirlemeye göre düzeltin.

  • İlerlemenizi taban çizgisine göre izleyin. Güvenlik önlemlerinin belirli bir taban çizgisine karşı sürekli izlenmesi önemlidir. Eğilim analizi, zaman içindeki güvenlik ilerlemesini gözden geçirmenin iyi bir yoludur ve temelden tutarlı sapmalar ortaya koyabilir. Mevcut sorunları çözmek ve gelecekteki tehditlere hazırlanmak için otomasyonu mümkün olduğunca kullanın, çeşitli kaynaklardan (iç ve dış) veri çekerek.

  • Korumaları ayarlayın. Mümkün olduğunda temel ölçütlerinizin korumaları olmalıdır. Korumalar, iç faktörlere ve dış faktörlere bağlı olarak gerekli güvenlik yapılandırmalarını, teknolojilerini ve işlemlerini zorunlu tutuyor. İç faktörler arasında iş gereksinimleri, riskler ve varlık değerlendirmesi yer alır. Dış faktörler arasında karşılaştırmalar, mevzuat standartları ve tehdit ortamı yer alır. Korumalar, uyumsuzluk için yanlışlıkla gözetim ve cezai para cezası riskini en aza indirmeye yardımcı olur.

Özel seçenekler için Azure İlkesi keşfedin veya güvenlik yapılandırmalarını ve uyumluluk gereksinimlerini zorunlu kılmak için CIS karşılaştırmaları veya Azure Güvenlik Karşılaştırması gibi yerleşik girişimleri kullanın. Temellerin dışında Azure İlkeleri ve girişimler oluşturmayı göz önünde bulundurun.

Temeli düzenli olarak değerlendirme

Sürekli risk azaltmayı sağlamak için güvenlik standartlarını sürekli olarak ideal duruma doğru artımlı olarak geliştirin. Sistemin güncel ve dış etkilerle uyumlu olduğundan emin olmak için düzenli incelemeler yapın. Temeldeki tüm değişiklikler resmi, üzerinde anlaşmaya varılmış ve uygun değişiklik yönetimi süreçleri aracılığıyla gönderilmelidir.

Sistemi yeni taban çizgisine göre ölçün ve düzeltmelerin iş yükü üzerindeki ilgisine ve etkisine göre önceliklerini belirleyin.

Kuruluş standartlarına denetim ve izleme uyumluluğu ekleyerek güvenlik duruşunun zaman içinde azalmadığından emin olun.

Azure kolaylaştırma

Microsoft bulut güvenlik karşılaştırması (MCSB), güvenlik temeliniz için başlangıç noktası olarak kullanabileceğiniz kapsamlı bir en iyi güvenlik uygulaması çerçevesidir. Temelinize giriş sağlayan diğer kaynaklarla birlikte kullanın.

Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırmasına giriş.

Bu temelleri izlemek için Bulut için Microsoft Defender (MDC) mevzuat uyumluluğu panosunu kullanın ve taban çizgisi dışında bir desen algılanırsa uyarı alın. Daha fazla bilgi için bkz . Mevzuat uyumluluğu panonuzdaki standartlar kümesini özelleştirme.

Temeli oluşturmaya ve geliştirmeye yardımcı olan diğer özellikler:

Örnek

Bu mantıksal diyagram, ortak bir BT ortamının nasıl güvenli bir şekilde korunabileceğini göstermek için ağ, altyapı, uç nokta, uygulama, veri ve kimliği kapsayan mimari bileşenler için örnek bir güvenlik temeli gösterir. Diğer öneri kılavuzları bu örnekte derlendir.

Mimari bileşenleriyle bir kuruluşun güvenlik temeli BT ortamı örneğini gösteren diyagram.

Altyapı

Temel kaynaklara sahip bir şirket içi katmanı olan ortak bir BT ortamı.

Azure Güvenlik hizmetleri

Koruduğu kaynak türlerine göre Azure güvenlik hizmetleri ve özellikleri.

Azure güvenlik izleme hizmetleri

Azure'da güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıt (SOAR) çözümleri ve Bulut için Microsoft Defender gibi basit izleme hizmetlerinin ötesine geçen izleme hizmetleri.

Tehditler

Bu katman, metodoloji veya matris benzeri Mitre Saldırı Matrisi veya Siber Sonlandırma zinciri ne olursa olsun, tehditlerin kuruluşunuzun tehditlerle ilgili endişelerine göre eşlenebileceğini belirten bir öneri ve anımsatıcı getirir.

Güvenlik denetim listesi

Öneriler kümesinin tamamına bakın.

Güvenlik denetim listesi