Güvenlik Denetimi v3: İdare ve strateji
İdare ve Strateji, farklı bulut güvenliği işlevleri için rol ve sorumluluklar oluşturma, birleşik teknik strateji ve ilkeleri ve standartları destekleme de dahil olmak üzere güvenlik güvencesini yönlendirmek ve sürdürmek için tutarlı bir güvenlik stratejisinin ve belgelenmiş idare yaklaşımının sağlanmasına yönelik rehberlik sağlar.
GS-1: Kuruluş rollerini, sorumluluklarını ve sorumluluklarını uyumlu hale getirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Azure Kılavuzu: Güvenlik kuruluşunuzdaki roller ve sorumluluklar için net bir strateji tanımladığınızdan ve ilettiğinizden emin olun. Güvenlik kararları için net bir hesap verilebilirlik süreci oluşturmayı önceliklendirin, herkesi paylaşılan sorumluluk modeli hakkında eğitin ve teknik ekiplere bulut ortamının güvenliğini sağlamaya yönelik eğitimler verin.
Uygulama ve ek bağlam:
- Azure Güvenliği En İyi Deneyimi 1 - İnsanlar: Ekipleri Bulut Güvenliği Yolculuğu Hakkında Eğitin
- Azure Güvenliği En İyi Deneyimi 2 - İnsanlar: Ekipleri Bulut Güvenliği Teknolojileri Hakkında Eğitin
- Azure Güvenliği En İyi Deneyimi 3 - Süreç: Bulut Güvenliği Kararları için Hesap Verilebilirlik Ataması Yapın
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-2: Kurumsal segmentasyon/görev ayrımı stratejisi tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Azure Kılavuzu: Kimlik, ağ, uygulama, abonelik, yönetim grubu ve diğer denetimlerin birleşimini kullanarak varlıklara erişimi segmentlere ayırmak için kuruluş genelinde bir strateji oluşturun.
Güvenlik ayrımı gereksinimiyle birbirleriyle iletişim kurma ve verilere erişme gereksinimine sahip olan sistemlerin günlük çalışmasını etkinleştirme gereksinimi arasında bir denge kurun.
Ağ güvenliği, kimlik ve erişim modelleri, uygulama izni/erişim modelleri ve insan işlem denetimleri dahil olmak üzere segmentasyon stratejisinin iş yükünde tutarlı bir şekilde uygulandığından emin olun.
Uygulama ve ek bağlam:
- Azure için Microsoft Bulut Benimseme Çerçevesi güvenliği - Segmentasyon: Korumak için ayrı
- Azure için Microsoft Bulut Benimseme Çerçevesi güvenliği - Mimari: Tek bir birleşik güvenlik stratejisi oluşturma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-3: Veri koruma stratejisini tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Azure Kılavuzu: Azure'da veri koruması için kuruluş genelinde bir strateji oluşturun:
- Veri sınıflandırmasının her düzeyi için gereken güvenlik denetimlerini dikte etmek için kurumsal veri yönetimi standardına ve mevzuat uyumluluğuna uygun olarak veri sınıflandırma ve koruma standardını tanımlayın ve uygulayın.
- Kurumsal segmentasyon stratejisine uygun olarak bulut kaynak yönetimi hiyerarşinizi ayarlayın. Ayrıca kurumsal segmentasyon stratejisi, hassas ve iş açısından kritik verilerle sistemlerin konumu hakkında da bilgilendirilmelidir.
- Bir çevre içindeki ağ konumuna göre güven uygulanmasını önlemek için bulut ortamınızda geçerli sıfır güven ilkelerini tanımlayın ve uygulayın. Bunun yerine, veri ve kaynaklara erişimi geçit olarak kullanmak için cihaz ve kullanıcı güveni taleplerini kullanın.
- Saldırı yüzeyini ve veri koruma maliyetini azaltmak için kuruluş genelinde hassas veri ayak izini (depolama, iletim ve işleme) izleyin ve en aza indirin. Hassas verilerin özgün biçiminde depolanmasını ve iletilmesini önlemek için mümkün olduğunda iş yükünde tek yönlü karma, kesme ve belirteç oluşturma gibi teknikleri göz önünde bulundurun.
- Verilerin ve erişim anahtarlarının güvenlik güvencesini sağlamak için tam bir yaşam döngüsü denetim stratejiniz olduğundan emin olun.
Uygulama ve ek bağlam:
- Azure Güvenlik Karşılaştırması: Veri koruma
- Bulut Benimseme Çerçevesi: Azure'da veri güvenliği ve şifreleme için en iyi deneyimler
- Azure Güvenliği Temelleri: Azure'da veri güvenliği, şifreleme ve depolama
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-4: Ağ güvenlik stratejisini tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Azure Kılavuzu: Kuruluşunuzun erişim denetimi için genel güvenlik stratejisinin bir parçası olarak bir Azure ağ güvenlik stratejisi oluşturun. Bu strateji kapsamında aşağıdaki öğeler için rehberlik, ilkeler ve standartlar belgelenmiş olmalıdır:
- Ağ kaynaklarını dağıtmak ve korumak için merkezi/merkezi olmayan bir ağ yönetimi ve güvenlik sorumluluğu modeli tasarlayın.
- Kurumsal segmentasyon stratejisiyle uyumlu bir sanal ağ segmentasyon modeli.
- İnternet uç ve giriş ve çıkış stratejisi.
- Hibrit bulut ve şirket içi bağlantı stratejisi.
- Ağ izleme ve günlüğe kaydetme stratejisi.
- Güncel ağ güvenlik yapıtları (ağ diyagramları, başvuru ağ mimarisi gibi).
Uygulama ve ek bağlam:
- Azure Güvenliği En İyi Uygulama 11 - Mimari. Tek birleştirilmiş güvenlik stratejisi
- Azure Güvenlik Karşılaştırması: Ağ Güvenliği
- Azure ile ağ güvenliğine genel bakış
- Kurumsal ağ mimarisi stratejisi
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-5: Güvenlik duruşu yönetim stratejisini tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Azure Kılavuzu: Güvenlik yapılandırma yönetiminin ve güvenlik açığı yönetimi bulut güvenliği zorunluluğunuzda yerine getirmek için bir ilke, yordam ve standart oluşturun.
Azure'daki güvenlik yapılandırma yönetimi aşağıdaki alanları içermelidir:
- Azure portal, yönetim ve denetim düzlemi ve IaaS, PaaS ve SaaS hizmetlerinde çalışan kaynaklar gibi buluttaki farklı kaynak türleri için güvenli yapılandırma temellerini tanımlayın.
- Güvenlik temellerinin ağ güvenliği, kimlik yönetimi, ayrıcalıklı erişim, veri koruma gibi farklı denetim alanlarındaki riskleri ele almalarını sağlayın.
- Temelden sapmasını önlemek için yapılandırmayı sürekli ölçmek, denetlemek ve uygulamak için araçları kullanın.
- Hizmet güncelleştirmelerine abone olmak gibi Azure güvenlik özellikleriyle güncel kalmak için bir tempo geliştirin.
- Azure'ın güvenlik yapılandırması duruşunu düzenli olarak gözden geçirmek ve tanımlanan boşlukları düzeltmek için Azure Bulut için Defender'de Güvenli Puan'ı kullanabilirsiniz.
Azure'daki güvenlik açığı yönetimi aşağıdaki güvenlik yönlerini içermelidir:
- Azure yerel hizmetleri, işletim sistemleri ve uygulama bileşenleri gibi tüm bulut kaynak türlerindeki güvenlik açıklarını düzenli olarak değerlendirin ve düzeltin.
- Değerlendirmeyi ve düzeltmeyi önceliklendirmek için risk tabanlı bir yaklaşım kullanın.
- Azure hakkındaki en son güvenlik güncelleştirmelerini almak için ilgili Microsoft / Azure güvenlik danışmanlığı bildirimlerine ve bloglarına abone olun.
- Güvenlik açığı değerlendirmesinin ve düzeltmesinin (zamanlama, kapsam ve teknikler gibi) kuruluşunuz için düzenli olarak uyumluluk gereksinimlerini karşıladığından emin olun.
Uygulama ve ek bağlam:
- Azure Güvenlik Karşılaştırması: Duruş ve güvenlik açığı yönetimi
- Azure Güvenliği için En İyi Yöntem 9 - Güvenlik duruşu yönetimi oluşturma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-6: Kimlik ve ayrıcalıklı erişim stratejisini tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Azure Kılavuzu: Kuruluşunuzun genel güvenlik erişim denetimi stratejisinin bir parçası olarak bir Azure kimliği ve ayrıcalıklı erişim yaklaşımı oluşturun. Bu strateji aşağıdaki yönlerden belgelenmiş kılavuz, ilke ve standartları içermelidir:
- Merkezi kimlik ve kimlik doğrulama sistemi (Azure AD) ve diğer iç ve dış kimlik sistemleriyle olan bağlantısı
- Ayrıcalıklı kimlik ve erişim idaresi (erişim isteği, gözden geçirme ve onay gibi)
- Acil durumda ayrıcalıklı hesaplar (kırılan cam)
- Farklı kullanım örnekleri ve koşullarında güçlü kimlik doğrulaması (parolasız kimlik doğrulaması ve çok faktörlü kimlik doğrulaması) yöntemleri
- Azure portal, CLI ve API aracılığıyla yönetim işlemleriyle güvenli erişim.
Kurumsal sistemin kullanılmadığı özel durumlar için kimlik, kimlik doğrulaması ve erişim yönetimi ve idare için yeterli güvenlik denetimlerinin sağlandığından emin olun. Bu özel durumlar kuruluş ekibi tarafından onaylanmalı ve düzenli aralıklarla gözden geçirilmelidir. Bu özel durumlar genellikle aşağıdaki gibi durumlardadır:
- Bulut tabanlı üçüncü taraf sistemler gibi kurumsal olmayan bir kimlik ve kimlik doğrulama sisteminin kullanılması (bilinmeyen risklere neden olabilir)
- Ayrıcalıklı kullanıcıların kimliği yerel olarak doğrulandı ve/veya güçlü olmayan kimlik doğrulama yöntemlerini kullanıyor
Uygulama ve ek bağlam:
- Azure Güvenlik Karşılaştırması: Kimlik yönetimi
- Azure Güvenlik Karşılaştırması: Ayrıcalıklı erişim
- Azure Güvenliği En İyi Uygulama 11 - Mimari. Tek birleştirilmiş güvenlik stratejisi
- Azure'da kimlik yönetim güvenliğine genel bakış
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-7: Günlüğe kaydetme, tehdit algılama ve olay yanıtı stratejisini tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Azure Kılavuzu: Tehditleri hızla algılamak ve düzeltmek ve uyumluluk gereksinimlerini karşılamak için günlüğe kaydetme, tehdit algılama ve olay yanıtı stratejisi oluşturun. Güvenlik operasyonları (SecOps / SOC) ekibi, günlük tümleştirmesi ve el ile adımlar yerine tehditlere odaklanabilmeleri için yüksek kaliteli uyarıları ve sorunsuz deneyimleri önceliklendirmelidir.
Bu strateji aşağıdaki yönlerden belgelenmiş ilke, yordam ve standartları içermelidir:
- Güvenlik işlemleri (SecOps) kuruluşunun rolü ve sorumlulukları
- NIST veya diğer sektör çerçeveleriyle uyumlu iyi tanımlanmış ve düzenli olarak test edilmiş bir olay yanıtı planı ve işleme süreci.
- Müşterileriniz, tedarikçileriniz ve ilgilendiğiniz ortak taraflarla iletişim ve bildirim planı.
- Çeşitli alanlardaki tehditleri algılamak için Azure Defender özellikleri gibi genişletilmiş algılama ve yanıt (XDR) özelliklerini kullanma tercihi.
- Günlüğe kaydetme ve tehdit algılama, adli tıp ve saldırı düzeltme ve silme gibi olay işleme için Azure yerel özelliğinin (örneğin, Bulut için Microsoft Defender) ve üçüncü taraf platformlarının kullanımı.
- Önemli senaryoları (tehdit algılama, olay yanıtı ve uyumluluk gibi) tanımlayın ve senaryo gereksinimlerini karşılamak için günlük yakalama ve saklamayı ayarlayın.
- SIEM, yerel Azure tehdit algılama özelliği ve diğer kaynaklar kullanılarak tehditlerle ilgili merkezi görünürlük ve bağıntı bilgileri.
- Öğrenilen dersler ve kanıt saklama gibi olay sonrası etkinlikler.
Uygulama ve ek bağlam:
- Azure Güvenlik Karşılaştırması: Günlüğe kaydetme ve tehdit algılama
- Azure Güvenlik Karşılaştırması: Olay yanıtı
- Azure Güvenliği en iyi uygulama 4 - süreç. Bulut için Olay Yanıt İşlemlerini Güncelleştirme
- Azure Benimseme Çerçevesi, günlüğe kaydetme ve raporlama kararı rehberi
- Azure ile kurumsal ölçek, yönetim ve izleme
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-8: Yedekleme ve kurtarma stratejisini tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Azure Kılavuzu: Kuruluşunuz için bir Azure yedekleme ve kurtarma stratejisi oluşturun. Bu strateji aşağıdaki yönlerden belgelenmiş rehberliği, ilkeyi ve standartları içermelidir:
- İş dayanıklılığı hedeflerinize ve mevzuat uyumluluğu gereksinimlerinize uygun kurtarma süresi hedefi (RTO) ve kurtarma noktası hedefi (RPO) tanımları.
- Hem bulutta hem de şirket içinde uygulamalarınızda ve altyapınızda yedeklilik tasarımı (yedekleme, geri yükleme ve çoğaltma dahil). Stratejinizin bir parçası olarak bölgesel, bölge çiftleri, bölgeler arası kurtarma ve site dışı depolama konumunu göz önünde bulundurun.
- Veri erişim denetimi, şifreleme ve ağ güvenliği gibi denetimleri kullanarak yetkisiz erişim ve temperlemeden yedeklemenin korunması.
- Fidye yazılımı saldırısı gibi yeni ortaya çıkan tehditlerden kaynaklanan riskleri azaltmak için yedekleme ve kurtarma kullanımı. Ayrıca yedekleme ve kurtarma verilerinin kendisini de bu saldırılardan koruyun.
- Denetim ve uyarı amacıyla yedekleme ve kurtarma verilerini ve işlemlerini izleme.
Uygulama ve ek bağlam:
- Azure Güvenlik Karşılaştırması - Yedekleme ve kurtarma
- Azure Well-Architecture Framework - Azure uygulamaları için yedekleme ve olağanüstü durum kurtarma
- Azure Benimseme Çerçevesi-iş sürekliliği ve olağanüstü durum kurtarma
- Fidye yazılımlarına karşı koruma sağlamak için yedekleme ve geri yükleme planı
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-9: Uç nokta güvenlik stratejisini tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Azure Kılavuzu: Aşağıdaki özellikleri içeren bir bulut uç noktası güvenlik stratejisi oluşturun:
- uç noktanıza uç noktada algılama ve yanıtlama ve kötü amaçlı yazılımdan koruma özelliğini dağıtın ve tehdit algılama ve SIEM çözümü ile güvenlik işlemleri işlemiyle tümleştirin.
- Uç noktanız için derinlemesine koruma sağlamak amacıyla ilgili diğer alanlardaki (ağ güvenliği, duruş güvenlik açığı yönetimi, kimlik ve ayrıcalıklı erişim ve günlüğe kaydetme ve tehdit algılama gibi) uç noktayla ilgili güvenlik ayarlarının da uygulandığını doğrulamak için Azure Güvenlik Karşılaştırması'nı izleyin.
- Üretim ortamınızda uç nokta güvenliğinin önceliğini belirleyin, ancak üretim dışı ortamların (DevOps işlemde kullanılan test ve derleme ortamı gibi) güvenli olduğundan ve izlendiğinden emin olun çünkü bu ortam, üretim ortamına kötü amaçlı yazılım ve güvenlik açıkları eklemek için de kullanılabilir.
Uygulama ve ek bağlam:
- Azure Güvenlik Karşılaştırması - Uç nokta güvenliği
- Azure'da uç nokta güvenliği için en iyi yöntemler
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
GS-10: DevOps güvenlik stratejisini tanımlama ve uygulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Azure Kılavuzu: Kuruluşun DevOps mühendislik ve operasyon standardının bir parçası olarak güvenlik denetimlerini zorunlu kılın. Kuruluşunuzdaki kurumsal ve bulut güvenlik standartlarına uygun olarak güvenlik hedeflerini, denetim gereksinimlerini ve araç belirtimlerini tanımlayın.
CI/CD iş akışı genelinde farklı türdeki otomasyonları (kod sağlama ve otomatik SAST ve DAST taraması gibi) kullanarak güvenlik açıklarını hızla tanımlama ve düzeltme konusundaki avantajları için DevOps kuruluşunuzda temel bir çalışma modeli olarak kullanılmasını teşvik edin. Bu 'sola kaydırma' yaklaşımı ayrıca dağıtım işlem hattınızda tutarlı güvenlik denetimlerini zorunlu kılmaya yönelik görünürlüğü ve yeteneği artırarak üretime bir iş yükü dağıtırken son dakika güvenlik sürprizlerini önlemek için güvenlik korumalarını önceden ortama etkili bir şekilde dağıtır.
Kalan güvenlik denetimlerini dağıtım öncesi aşamalara kaydırırken, denetimlerin DevOps işleminiz boyunca dağıtıldığından ve uygulandığından emin olmak için güvenlik korumaları uygulayın. Bu teknoloji, IaC'de korumaları (kod olarak altyapı) tanımlamak için Azure ARM şablonlarını, kaynak sağlamayı ve ortamda hangi hizmetlerin veya yapılandırmaların sağlanabileceğini denetlemek ve kısıtlamak için Azure İlkesi içerebilir.
İş yükünüzün çalışma zamanı güvenlik denetimleri için Azure Güvenlik Karşılaştırması'nı izleyerek iş yükü uygulamalarınızda ve hizmetlerinizde kimlik ve ayrıcalıklı erişim, ağ güvenliği, uç nokta güvenliği ve veri koruması gibi etkili denetimleri tasarlayıp uygulayın.
Uygulama ve ek bağlam:
- Azure Güvenlik Karşılaştırması - DevOps güvenlik
- Güvenli DevOps
- Bulut Benimseme Çerçevesi - DevSecOps denetimleri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):