Güvenlik Denetimi v3: Ağ güvenliği
Ağ Güvenliği; sanal ağların güvenliğini sağlama, özel bağlantılar kurma, dış saldırıları önleme ve azaltma ve DNS güvenliğini sağlama dahil olmak üzere Azure ağlarının güvenliğini sağlamaya ve korumaya yönelik denetimleri kapsar.
NS-1: Ağ segmentasyon sınırları oluşturma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Sanal ağ dağıtımınızın GS-2 güvenlik denetiminde tanımlanan kurumsal segmentasyon stratejinize uygun olduğundan emin olun. Kuruluş için daha yüksek risk doğurabilecek tüm iş yükleri yalıtılmış sanal ağlarda olmalıdır. Yüksek riskli iş yükü örnekleri şunlardır:
- Son derece hassas verileri depoluyor veya işliyor.
- Genel veya kuruluşunuzun dışındaki kullanıcılar tarafından erişilebilen bir dış ağa yönelik uygulama.
- Güvenli olmayan mimari kullanan veya kolayca düzeltilemeyen güvenlik açıkları içeren bir uygulama.
Kurumsal segmentasyon stratejinizi geliştirmek için ağ denetimlerini kullanarak iç kaynaklar arasındaki trafiği kısıtlayın veya izleyin. Belirli, iyi tanımlanmış uygulamalar (3 katmanlı uygulama gibi) için bu, ağ trafiğinin bağlantı noktalarını, protokollerini, kaynağını ve hedef IP'lerini kısıtlayarak yüksek oranda güvenli bir "varsayılan olarak reddet, özel durum tarafından izin ver" yaklaşımı olabilir. Birbiriyle etkileşim kuran çok sayıda uygulamanız ve uç noktanız varsa trafiği engellemek iyi ölçeklendirilmeyebilir ve yalnızca trafiği izleyebilirsiniz.
Azure Kılavuzu: Azure ağınızda temel bir segmentasyon yaklaşımı olarak bir sanal ağ (VNet) oluşturun; böylece VM'ler gibi kaynaklar bir ağ sınırı içindeki sanal ağa dağıtılabilir. Ağı daha fazla segmentlere ayırmak için, daha küçük alt ağlar için sanal ağ içinde alt ağlar oluşturabilirsiniz.
Trafiği bağlantı noktasına, protokole, kaynak IP adresine veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) ağ katmanı denetimi olarak kullanın.
Karmaşık yapılandırmayı basitleştirmek için uygulama güvenlik gruplarını (ASG' ler) de kullanabilirsiniz. ASG'ler, ağ güvenlik gruplarındaki açık IP adreslerine göre ilke tanımlamak yerine, ağ güvenliğini bir uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza olanak tanıyarak sanal makineleri gruplandırmanıza ve bu gruplara göre ağ güvenlik ilkeleri tanımlamanıza olanak tanır.
Uygulama ve ek bağlam:
- Azure Sanal Ağ kavramları ve en iyi yöntemleri
- Sanal ağ alt ağını ekleme, değiştirme veya silme
- Güvenlik kurallarıyla bir ağ güvenlik grubu oluşturma
- Uygulama güvenlik gruplarını anlama ve kullanma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Kaynaklar için özel bir erişim noktası oluşturarak bulut hizmetlerinin güvenliğini sağlayın. Ayrıca mümkün olduğunda genel ağ erişimini devre dışı bırakmanız veya kısıtlamanız gerekir.
Azure Kılavuzu: Kaynaklar için özel erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın. Ayrıca mümkün olduğunda hizmetlere genel ağ erişimini devre dışı bırakmanız veya kısıtlamanız gerekir.
Belirli hizmetler için, hizmet için sanal ağı hizmet için özel erişim noktası oluşturmak üzere kısıtlayabileceğiniz sanal ağ tümleştirmesini dağıtma seçeneğiniz de vardır.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-3: Kurumsal ağın kenarında güvenlik duvarı dağıtma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Dış ağlardan gelen ve bu ağlardan gelen ağ trafiğinde gelişmiş filtreleme gerçekleştirmek için bir güvenlik duvarı dağıtın. Segmentasyon stratejisini desteklemek için iç segmentler arasında güvenlik duvarlarını da kullanabilirsiniz. Gerekirse, ağ trafiğini güvenlik denetimi amacıyla bir ağ aletinden geçmeye zorlamanız gerektiğinde sistem yolunu geçersiz kılmak için alt ağınız için özel yollar kullanın.
En azından, uzaktan yönetim (örneğin, RDP ve SSH) ve intranet protokolleri (örneğin, SMB ve Kerberos) gibi bilinen hatalı IP adreslerini ve yüksek riskli protokolleri engelleyin.
Azure Kılavuzu: Çok sayıda kurumsal segment veya uç üzerinde (merkez/uç topolojisinde) tam durum bilgisi olan uygulama katmanı trafik kısıtlaması (URL filtreleme gibi) ve/veya merkezi yönetim sağlamak için Azure Güvenlik Duvarı kullanın.
Merkez/uç kurulumu gibi karmaşık bir ağ topolojiniz varsa trafiğin istenen yoldan geçtiğinden emin olmak için kullanıcı tanımlı yollar (UDR) oluşturmanız gerekebilir. Örneğin, çıkış internet trafiğini belirli bir Azure Güvenlik Duvarı veya ağ sanal gereci aracılığıyla yeniden yönlendirmek için UDR kullanma seçeneğiniz vardır.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-4: İzinsiz giriş algılama/yetkisiz erişim önleme sistemlerini (IDS/IPS) dağıtma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Güvenlik İlkesi: Ağı incelemek ve iş yükünüzden gelen veya iş yükünden gelen trafiği yüklemek için ağ yetkisiz erişim algılama ve yetkisiz erişim önleme sistemlerini (IDS/IPS) kullanın. IDS/IPS'nin SIEM çözümünüz için her zaman yüksek kaliteli uyarılar sağlayacak şekilde ayarlandığından emin olun.
Daha ayrıntılı konak düzeyi algılama ve önleme özelliği için, ağ IDS/IPS ile birlikte konak tabanlı IDS/IPS veya konak tabanlı bir uç noktada algılama ve yanıtlama (EDR) çözümü kullanın.
Azure Kılavuzu: Bilinen kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği uyarmak ve/veya engellemek için ağınızdaki Azure Güvenlik Duvarı IDPS özelliğini kullanın.
Daha ayrıntılı konak düzeyi algılama ve önleme özelliği için, ağ IDS/IPS ile birlikte VM düzeyinde konak tabanlı IDS/IPS veya Uç Nokta için Microsoft Defender gibi konak tabanlı bir uç noktada algılama ve yanıtlama (EDR) çözümü dağıtın.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-5: DDOS korumasını dağıtma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Güvenlik İlkesi: Ağınızı ve uygulamalarınızı saldırılara karşı korumak için dağıtılmış hizmet engelleme (DDoS) koruması dağıtın.
Azure Kılavuzu: Genel ağlara sunulan kaynakları korumak için sanal ağınızda DDoS standart koruma planını etkinleştirin.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-6: Web uygulaması güvenlik duvarı dağıtma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Web uygulaması güvenlik duvarı (WAF) dağıtın ve web uygulamalarınızı ve API'lerinizi uygulamaya özgü saldırılara karşı korumak için uygun kuralları yapılandırın.
Azure Kılavuzu: Uygulamalarınızı, hizmetlerinizi ve API'lerinizi ağınızın kenarındaki uygulama katmanı saldırılarına karşı korumak için Azure Application Gateway, Azure Front Door ve Azure Content Delivery Network 'de (CDN) web uygulaması güvenlik duvarı (WAF) özelliklerini kullanın. İhtiyaçlarınıza ve tehdit ortamınıza bağlı olarak WAF'nizi "algılama" veya "önleme modunda" ayarlayın. OWASP İlk 10 güvenlik açıkları gibi yerleşik bir kural kümesi seçin ve bunu uygulamanıza ayarlayın.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-7: Ağ güvenliği yapılandırmasını basitleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Güvenlik İlkesi: Karmaşık bir ağ ortamını yönetirken, ağ güvenlik yönetimini basitleştirmek, merkezileştirmek ve geliştirmek için araçları kullanın.
Azure Kılavuzu: NSG ve Azure Güvenlik Duvarı kurallarının uygulanmasını ve yönetimini basitleştirmek için aşağıdaki özellikleri kullanın:
- Tehdit analizi ve trafik analizi sonucuna göre bağlantı noktalarını, protokolleri ve kaynak IP'leri daha fazla sınırlayan NSG sağlamlaştırma kuralları önermek için Bulut için Microsoft Defender Uyarlamalı Ağ Sağlamlaştırma'yı kullanın.
- Sanal ağın güvenlik duvarı ilkesini ve yol yönetimini merkezileştirmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Güvenlik duvarı kurallarının ve ağ güvenlik gruplarının uygulanmasını basitleştirmek için Azure Güvenlik Duvarı Yöneticisi ARM (Azure Resource Manager) şablonunu da kullanabilirsiniz.
Uygulama ve ek bağlam:
- Bulut için Microsoft Defender'de Uyarlamalı Ağ Sağlamlaştırma
- Azure Güvenlik Duvarı Yöneticisi
- Azure Güvenlik Duvarı ve güvenlik duvarı ilkesi oluşturma - ARM şablonu
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-8: Güvenli olmayan hizmetleri ve protokolleri algılama ve devre dışı bırakma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Güvenlik İlkesi: İşletim sistemi, uygulama veya yazılım paketi katmanında güvenli olmayan hizmetleri ve protokolleri algılayın ve devre dışı bırakın. Güvenli olmayan hizmetleri ve protokolleri devre dışı bırakmak mümkün değilse telafi denetimleri dağıtın.
Azure Kılavuzu: Ssl/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, İmzasız LDAP Bağlamaları ve Kerberos'taki zayıf şifrelemeler gibi güvenli olmayan hizmet ve protokollerin kullanımını keşfetmek için Azure Sentinel'in yerleşik Güvenli Olmayan Protokol Çalışma Kitabını kullanın. Uygun güvenlik standardına uymayan güvenli olmayan hizmetleri ve protokolleri devre dışı bırakın.
Not: Güvenli olmayan hizmetleri veya protokolleri devre dışı bırakmak mümkün değilse, saldırı yüzeyini azaltmak için ağ güvenlik grubu, Azure Güvenlik Duvarı veya Azure Web Uygulaması Güvenlik Duvarı aracılığıyla kaynaklara erişimi engelleme gibi telafi denetimlerini kullanın.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-9: Şirket içi veya bulut ağını özel olarak Bağlan
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | Yok |
Güvenlik İlkesi: Bulut hizmeti sağlayıcısı veri merkezleri ve ortak konum ortamındaki şirket içi altyapı gibi farklı ağlar arasında güvenli iletişim için özel bağlantılar kullanın.
Azure Kılavuzu: Bulut hizmeti sağlayıcısı veri merkezleri ve ortak konum ortamındaki şirket içi altyapı gibi farklı ağlar arasında güvenli iletişim için özel bağlantılar kullanın.
Siteden siteye veya noktadan siteye arasında basit bağlantı için, şirket içi siteniz veya son kullanıcı cihazınız ile Azure sanal ağı arasında güvenli bir bağlantı oluşturmak için Azure sanal özel ağını (VPN) kullanın.
Kurumsal düzeyde yüksek performanslı bağlantı için Azure veri merkezlerini ve şirket içi altyapıyı bir ortak konum ortamında bağlamak için Azure ExpressRoute'u (veya Sanal WAN) kullanın.
İki veya daha fazla Azure sanal ağını birbirine bağlarken sanal ağ eşlemesini kullanın. Eşlenen sanal ağlar arasındaki ağ trafiği özeldir ve Azure omurga ağında tutulur.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-10: Etki Alanı Adı Sistemi (DNS) güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | Yok |
Güvenlik İlkesi: Etki Alanı Adı Sistemi (DNS) güvenlik yapılandırmasının bilinen risklere karşı koruduğuna emin olun:
- İstemcinin (işletim sistemleri ve uygulamalar gibi) doğru çözüm sonucunu aldığından emin olmak için bulut ortamınızda güvenilen yetkili ve özyinelemeli DNS hizmetlerini kullanın.
- Özel ağ için DNS çözümleme işleminin genel ağdan yalıtılabilmesi için genel ve özel DNS çözümlemesini ayırın.
- DNS güvenlik stratejinizin DNS'yi sallama, DNS amplifikasyon saldırıları, DNS zehirlenmesi ve kimlik sahtekarlığı gibi yaygın saldırılara karşı risk azaltmaları da içerdiğini doğrulayın.
Azure Kılavuzu: İş yükü özyinelemeli DNS kurulumunuzda( örneğin VM'nin işletim sisteminde veya uygulamada) Azure özyinelemeli DNS veya güvenilen bir dış DNS sunucusu kullanın.
DNS çözümleme işleminin sanal ağdan ayrılmadığı özel DNS bölgesi kurulumu için Azure Özel DNS kullanın. Dns çözümlemesini kısıtlamak için özel bir DNS kullanın ve bu da yalnızca istemciniz için güvenilir çözüme izin verir.
İş yükünüz veya DNS hizmetiniz için aşağıdaki güvenlik tehditlerine karşı gelişmiş koruma için DNS için Azure Defender'ı kullanın:
- DNS tünelini kullanarak Azure kaynaklarınızdan veri sızdırma
- Komut ve denetim sunucusuyla iletişim kurarak kötü amaçlı yazılım
- Kimlik avı ve kripto madenciliği olarak kötü amaçlı etki alanlarıyla iletişim
- Kötü amaçlı DNS çözümleyicileriyle iletişimde DNS saldırıları
Ayrıca, bir App Service web sitesinin özel etki alanını DNS kayıt şirketinizden kaldırmadan yetkisini alırsanız, App Service için Azure Defender'ı kullanarak sarkan DNS kayıtlarını algılayabilirsiniz.
Uygulama ve ek bağlam:
- Azure DNS'ye genel bakış
- Güvenli Etki Alanı Adı Sistemi (DNS) Dağıtım Kılavuzu:
- Azure Özel DNS
- DNS için Azure Defender
- Sarkan DNS girdilerini önleyin ve alt etki alanı devralmayı önleyin:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):