Sıfır Güven ile ağların güvenliğini sağlama

Büyük veri, yeni içgörüler elde etmek ve rekabet avantajı elde etmek için yeni fırsatlar sunar. Ağların açıkça tanımlandığı ve genellikle belirli bir konuma özgü olduğu bir çağdan uzaklaşıyoruz. Bulut, mobil cihazlar ve diğer uç noktalar sınırları genişletir ve paradigması değiştirir. Artık güvenli olması için kapsanmış/tanımlanmış bir ağ olması şart değildir. Bunun yerine, tümü bulutla bağlantılı çok sayıda cihaz ve ağ portföyü vardır.

Kurumsal güvenlik duvarının arkasındaki her şeyin güvenli olduğuna inanmak yerine, uçtan uca bir Sıfır Güven stratejisi ihlallerin kaçınılmaz olduğunu varsayar. Bu, her isteğin kontrolsüz bir ağdan geldiğini doğrulamanız gerektiği anlamına gelir; kimlik yönetimi bu konuda önemli bir rol oynar.

Sıfır Güven modelinde ağlarınızın güvenliğini sağlama konusunda üç temel hedef vardır:

  • Saldırılar gerçekleşmeden önce işlemeye hazır olun.

  • Hasarın kapsamını ve ne kadar hızlı yayıldığını en aza indirin.

  • Bulut ayak izinizi tehlikeye atma zorluğunu artırın.

Bunun gerçekleşmesi için üç Sıfır Güven ilkeye uyarız:

  • Açıkça doğrulayın. Kullanıcı kimliği, konum, cihaz durumu, hizmet veya iş yükü, veri sınıflandırması ve anomaliler dahil olmak üzere tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması yapın ve yetki verin.

  • En az ayrıcalıklı erişim kullanın. Hem verileri hem de üretkenliği korumak için Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.

  • İhlal olduğunu varsayalım. İhlaller için patlama yarıçapını en aza indirin ve erişimi ağa, kullanıcıya, cihazlara ve uygulama farkındalığına göre segmentlere ayırma yoluyla yanal hareketi önleyin. Tüm oturumların uçtan uca şifrelendiğini doğrulayın. Görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analizi kullanın.

Ağ Sıfır Güven dağıtım hedefleri

Çoğu kuruluş Sıfır Güven yolculuğuna başlamadan önce aşağıdakiler ile karakterize edilen ağ güvenliğine sahiptir:

  • Az sayıda ağ güvenlik çevresi ve açık, düz ağlar.

  • En düşük tehdit koruması ve statik trafik filtreleme.

  • Şifrelenmemiş iç trafik.

Ağların güvenliğini sağlamak için uçtan uca bir Sıfır Güven çerçevesi uygularken öncelikle şu ilk dağıtım hedeflerine odaklanmanızı öneririz:

Bir onay işareti olan liste simgesi.

I. Ağ segmentasyonu: Bazı mikro segmentasyonlarla birçok giriş/çıkış bulutu mikro çevresi.

II. Tehdit koruması: Bulutta yerel filtreleme ve bilinen tehditlere karşı koruma.

III. Şifreleme: Kullanıcıdan uygulamaya iç trafik şifrelenir.

Bunlar tamamlandıktan sonra şu ek dağıtım hedeflerine odaklanın:

İki onay işareti olan liste simgesi.

IV. Ağ segmentasyonu: Tam dağıtılmış giriş/çıkış bulutu mikro çevreleri ve daha derin mikro segmentasyon.

V. Tehdit koruması: Makine öğrenmesi tabanlı tehdit koruması ve bağlam tabanlı sinyallerle filtreleme.

VI. Şifreleme: Tüm trafik şifrelenir.

VII. Eski ağ güvenlik teknolojisini sonlandır.

Ağ Sıfır Güven dağıtım kılavuzu

Bu kılavuz, Sıfır Güven bir güvenlik çerçevesinin ilkelerini izleyerek ağlarınızın güvenliğini sağlamak için gereken adımlarda size yol gösterir.




Bir onay işareti olan denetim listesi simgesi.

İlk dağıtım hedefleri

I. Ağ segmentasyonu: Bazı mikro segmentasyonlarla birçok giriş/çıkış bulutu mikro çevresi

Kuruluşların ağlarında tek bir büyük boru olması gerekmez. Sıfır Güven bir yaklaşımda, ağlar bunun yerine belirli iş yüklerinin bulunduğu daha küçük adalara ayrılır. Her kesimin, verilere yetkisiz erişimin "patlama yarıçapını" en aza indirmek için kendi giriş ve çıkış denetimleri vardır. Ayrıntılı denetimlerle yazılım tanımlı çevreler uygulayarak, yetkisiz aktörlerin ağınız genelinde yayılma zorluğunu artırırsınız ve bu nedenle tehditlerin yanal hareketini azaltırsınız.

Tüm kuruluşların ihtiyaçlarına uygun bir mimari tasarımı yoktur. Ağınızı Sıfır Güven modeline göre segmentlere ayırmak için birkaç yaygın tasarım deseni arasında bir seçeneğiniz vardır.

Bu dağıtım kılavuzunda, şu tasarımlardan birini gerçekleştirme adımlarında size yol göstereceğiz: Mikro segmentasyon.

Mikro segmentasyon sayesinde kuruluşlar, yazılım tanımlı mikro çevreleri kullanarak basit merkezi ağ tabanlı çevrelerin ötesine geçerek kapsamlı ve dağıtılmış segmentasyona geçebilir.

Uygulamalar farklı Azure Sanal Ağ 'lerine (VNet) bölümlenir ve merkez-uç modeli kullanılarak bağlanır

Merkez-uç modelinde bağlı iki sanal ağın diyagramı.

Şu adımları izleyin:

  1. Farklı uygulamalar ve/veya uygulama bileşenleri için ayrılmış sanal ağlar oluşturun.

  2. Uygulamalar arası bağlantı için güvenlik duruşunu ayarlamak ve uygulama sanal ağlarını merkez-uç mimarisine bağlamak için merkezi bir sanal ağ oluşturun.

  3. Sanal ağlar arasındaki trafiği incelemek ve yönetmek için hub sanal akında Azure Güvenlik Duvarı dağıtın.

II. Tehdit koruması: Bulutta yerel filtreleme ve bilinen tehditlere karşı koruma

Uç noktaları İnternet veya şirket içi ayak iziniz gibi dış ortamlara açan bulut uygulamaları, bu ortamlardan gelen saldırı riski altındadır. Bu nedenle trafiği kötü amaçlı yük veya mantık açısından taramanız zorunludur.

Bu tür tehditler iki geniş kategoriye ayrılır:

  • Bilinen saldırılar. Yazılım sağlayıcınız veya daha büyük topluluk tarafından keşfedilen tehditler. Böyle durumlarda, saldırı imzası kullanılabilir ve her isteğin bu imzalara karşı denetlendiğinden emin olmanız gerekir. Önemli olan, algılama altyapınızı yeni tanımlanan tüm saldırılarla hızla güncelleştirebilmektir.

  • Bilinmeyen saldırılar. Bunlar bilinen herhangi bir imzayla tam olarak eşleşmeyen tehditlerdir. Bu tür tehditler, sıfır günlük güvenlik açıklarını ve istek trafiğindeki olağan dışı desenleri içerir. Bu tür saldırıları algılama özelliği, savunmanızın nelerin normal ve ne olmadığını ne kadar iyi bilmelerine bağlıdır. Savunmanız sürekli olarak öğrenilmeli ve işletmeniz (ve ilişkili trafik) gibi desenlerin güncelleştirilmesi gerekir.

Bilinen tehditlere karşı koruma sağlamak için şu adımları uygulayın:

  1. HTTP/S trafiğine sahip uç noktalar için azure Web Uygulaması Güvenlik Duvarı (WAF) kullanarak koruma için:

    1. Bilinen web katmanı saldırılarına karşı koruma sağlamak için varsayılan kural kümesini veya OWASP ilk 10 koruma kural kümesini açma

    2. Kötü amaçlı botların bilgileri kazımasını, kimlik bilgilerini doldurmasını vb. engellemek için bot koruma kural kümesini açma.

    3. İşletmenize özgü tehditlere karşı koruma sağlamak için özel kurallar ekleme.

    İki seçeneknden birini kullanabilirsiniz:

  2. Tüm uç noktalar (HTTP veya değil) için, Katman 4'te tehdit bilgileri tabanlı filtreleme için Azure Güvenlik Duvarı ile ön:

    1. Azure portalı kullanarak Azure Güvenlik Duvarı'nı dağıtma ve yapılandırma.

    2. Trafiğiniz için tehdit bilgileri tabanlı filtrelemeyi etkinleştirin.

    İpucu

    Uç noktalar için uçtan uca Sıfır Güven stratejisi uygulama hakkında bilgi edinin.

III. Şifreleme: Kullanıcıdan uygulamaya iç trafik şifrelenir

Odaklanmak istediğiniz üçüncü ilk amaç, kullanıcıdan uygulamaya iç trafiğin şifrelendiğinden emin olmak için şifreleme eklemektir.

Şu adımları izleyin:

  1. Azure Front Door kullanarak HTTP trafiğini HTTPS'ye yönlendirerek İnternet'e yönelik web uygulamalarınız için yalnızca HTTPS iletişimi uygulayın.

  2. Azure VPN Gateway'i kullanarak uzak çalışanları/iş ortaklarını Microsoft Azure'a bağlayın.

    1. Azure VPN Gateway hizmetinde noktadan siteye trafik için şifrelemeyi açın.
  3. Azure Bastion aracılığıyla şifrelenmiş iletişimi kullanarak Azure sanal makinelerinize güvenli bir şekilde erişin.

    1. Linux sanal makinesine SSH kullanarak bağlanma.

    2. RDP kullanarak bir Windows sanal makinesine bağlanın.

İpucu

Uygulamalar için uçtan uca Sıfır Güven stratejisi uygulama hakkında bilgi edinin.




İki onay işareti içeren denetim listesi simgesi.

Ek dağıtım hedefleri

IV. Ağ segmentasyonu: Tam dağıtılmış giriş/çıkış bulutu mikro çevreleri ve daha derin mikro segmentasyon

İlk üç hedefinizi tamamladıktan sonra, sonraki adım ağınızı daha fazla segmentlere ayırmaktır.

Uygulama bileşenlerini farklı alt ağlara bölümleme

Azure bölgesindeki sunuculardan oluşan sanal ağın diyagramı.

Şu adımları izleyin:

  1. Sanal ağ içinde, bir uygulamanın ayrık bileşenlerinin kendi çevrelerine sahip olabilmesi için sanal ağ alt ağları ekleyin.

  2. Ağ güvenlik grubu kurallarını uygulayarak yalnızca geçerli bir iletişim karşıtlığı olarak tanımlanan bir uygulama alt bileşenine sahip alt ağlardan gelen trafiğe izin verin.

Dış sınırları segmentlere ayırma ve zorunlu kılma

Sınırlar arasında bağlantıları olan bir sunucu ve cihaz diyagramı.

Sınırın türüne bağlı olarak şu adımları izleyin:

İnternet sınırı
  1. Hub sanal ağı üzerinden yönlendirilmesi gereken uygulamanız için İnternet bağlantısı gerekiyorsa, İnternet bağlantısına izin vermek için hub sanal ağındaki ağ güvenlik grubu kurallarını güncelleştirin.

  2. Hub sanal ağını hacimli ağ katmanı saldırılarına karşı korumak için Azure DDoS Koruması Standart'ı açın.

  3. Uygulamanız HTTP/S protokolleri kullanıyorsa Katman 7 tehditlerine karşı koruma sağlamak için Azure Web Uygulaması Güvenlik Duvarı'ı açın.

Şirket içi sınır
  1. Uygulamanızın şirket içi veri merkezinize bağlanması gerekiyorsa hub sanal ağınıza bağlantı için Azure VPN'nin Azure ExpressRoute'ını kullanın.

  2. Trafiği incelemek ve yönetmek için hub sanal ağındaki Azure Güvenlik Duvarı yapılandırın.

PaaS hizmetleri sınırı
  • Azure tarafından sağlanan PaaS hizmetlerini (örneğin, Azure Depolama, Azure Cosmos DB veya Azure Web App) kullanırken, tüm veri alışverişlerinin özel IP alanı üzerinden yapıldığından ve trafiğin Microsoft ağından hiç ayrılmadığından emin olmak için PrivateLink bağlantı seçeneğini kullanın.

İpucu

Veriler için uçtan uca Sıfır Güven stratejisi uygulama hakkında bilgi edinin.

V. Tehdit koruması: Makine öğrenmesi tabanlı tehdit koruması ve bağlam tabanlı sinyallerle filtreleme

Daha fazla tehdit koruması için Azure'da barındırılan uygulama trafiğinizi sürekli izlemek için Azure DDoS Koruması Standart'ı açın, toplu trafik taşmalarını temel almak ve algılamak için ML tabanlı çerçeveler kullanın ve otomatik azaltmalar uygulayın.

Şu adımları izleyin:

  1. Azure DDoS Koruması Standard'ı yapılandırın ve yönetin .

  2. DDoS koruma ölçümleri için uyarıları yapılandırın.

VI. Şifreleme: Tüm trafik şifrelenir

Son olarak, tüm trafiğin şifrelendiğinden emin olarak ağ korumanızı tamamlayın.

Şu adımları izleyin:

  1. Sanal ağlar arasındaki uygulama arka uç trafiğini şifreleyin.

  2. Şirket içi ile bulut arasındaki trafiği şifreleyin:

    1. ExpressRoute Microsoft eşlemesi üzerinden siteden siteye VPN yapılandırın.

    2. ExpressRoute özel eşlemesi için IPsec aktarım modunu yapılandırın.

VII. Eski ağ güvenlik teknolojisini sonlandır

İmza tabanlı Ağ İzinsiz Giriş Algılama/Ağ İzinsiz Giriş Önleme (NIDS/NIPS) Sistemleri ve Ağ Veri Sızıntısı/Kaybı Önleme (DLP) kullanımını sonlandırın.

Büyük bulut hizmeti sağlayıcıları hatalı biçimlendirilmiş paketleri ve yaygın ağ katmanı saldırılarını zaten filtrelemektedir, bu nedenle bunları algılamak için nids/NIPS çözümüne gerek yoktur. Buna ek olarak, geleneksel NIDS/NIPS çözümleri genellikle imza tabanlı yaklaşımlar (eski olarak kabul edilir) tarafından yönlendirilir ve saldırganlar tarafından kolayca kaçınılır ve genellikle yüksek oranda hatalı pozitif sonuç üretir.

Ağ tabanlı DLP, hem yanlışlıkla hem de kasıtlı veri kaybını belirlemede azalarak etkilidir. Bunun nedeni, çoğu modern protokol ve saldırganların gelen ve giden iletişimler için ağ düzeyinde şifreleme kullanmasıdır. Bunun için tek uygun geçici çözüm, şifrelenmiş ağ bağlantılarını sonlandıran ve sonra yeniden başlatan bir "yetkili ortadaki adam" sağlayan "SSL köprüleme" çözümüdür. ÇÖZÜMÜ çalıştıran iş ortağı ve kullanılmakta olan teknolojiler için gereken güven düzeyi nedeniyle SSL köprü oluşturma yaklaşımı gözden kaçmıştır.

Bu rasyonaliteye dayanarak, bu eski ağ güvenlik teknolojilerinin kullanımını sona erdirdiğinize ilişkin bir öneri sunuyoruz. Ancak, kuruluş deneyiminiz bu teknolojilerin gerçek saldırıları önleme ve algılama üzerinde önemli bir etkisi varsa, bunları bulut ortamınıza taşımayı düşünebilirsiniz.

Bu kılavuzda ele alınan ürünler

Microsoft Azure

Azure Ağı

Sanal Ağ ve Alt Ağlar

Ağ Güvenlik Grupları ve Uygulama Güvenlik Grupları

Azure Güvenlik Duvarı

Azure DDoS Koruması

Azure Web Uygulaması Güvenlik Duvarı

Azure VPN Ağ Geçidi

Azure ExpressRoute

Azure Ağ İzleyicisi

Sonuç

Ağların güvenliğini sağlamak, başarılı bir Sıfır Güven stratejisinin merkezinde yer alır. Daha fazla bilgi edinmek veya uygulamayla ilgili yardım almak için lütfen Müşteri Başarısı ekibinize başvurun veya tüm Sıfır Güven yapı taşlarını kapsayan bu kılavuzun diğer bölümlerini okumaya devam edin.



Sıfır Güven dağıtım kılavuzu serisi

Giriş simgesi

Kimlik simgesi

Uç noktalar simgesi

Uygulamalar simgesi

Veri simgesi

Altyapı simgesi

Ağlar için simge

Görünürlük, otomasyon, düzenleme simgesi