Amazon Web Services'da IaaS uygulamalarına Sıfır Güven ilkeleri uygulama

Not

Yaklaşan Canlı Akış Bu makaleyi tartışan Azure FastTrack ekibine katılın. 16 Ekim 2024 | 10:00 - 11:30 (UTC-07:00) Pasifik Saati (ABD ve Kanada). Buradan kaydolun.

Bu makalede, Sıfır Güven ilkelerini Amazon Web Services'teki (AWS) IaaS uygulamalarına uygulama adımları sağlanır:

Sıfır Güven İlkesi Tanım Met by
Açıkça doğrula Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. DevOps'ta (DevSecOps) güvenlik; GitHub gelişmiş güvenliği ve DevOps kullanarak altyapınızı kod olarak tarar ve güvenli bir şekilde korur.
En az ayrıcalıklı erişimi kullanma Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
  • Microsoft Entra İzin Yönetimi kullanılmayan ve aşırı izinleri algılar, doğru boyutlar ve izler.
  • Microsoft Entra ID P2'deki bir hizmet olan Privileged Identity Management (PIM), kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak tanır.
  • Kullanıcılara depo düzeyinde, ekip düzeyinde veya kuruluş düzeyindeki kaynaklara rol tabanlı erişim denetimi (RBAC) atayın.
İhlal varsay Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.
  • Bulut için Microsoft Defender ve Uç Nokta için Microsoft Defender (Microsoft 365) tehditler ve güvenlik açıkları için ortamı sürekli olarak tarar.
  • Microsoft Sentinel, şüpheli etkinlikleri algılamak için toplanan verileri, varlıkların davranış eğilimini, anomalileri ve çok aşamalı tehditleri analiz eder ve otomasyonla yanıt verebilir.

Azure IaaS ortamında Sıfır Güven ilkelerini uygulama hakkında daha fazla bilgi için bkz. Azure IaaS'ye Sıfır Güven ilkeleri uygulama genel bakış.

AWS ve AWS bileşenleri

AWS, Microsoft Azure, Google Cloud Platform ve diğerleriyle birlikte piyasada kullanılabilen genel bulut sağlayıcılarından biridir. Şirketlerin birden fazla bulut sağlayıcısından oluşan çok bulutlu bir mimariye sahip olması yaygın bir durumdır. Bu makalede, aşağıdakilerin yer aldığı çoklu bulut mimarisine odaklanacağız:

  • Azure ve AWS, iş yüklerini ve BT iş çözümlerini çalıştırmak için tümleşiktir.
  • Microsoft ürünlerini kullanarak bir AWS IaaS iş yükünün güvenliğini sağlarsınız.

Amazon Elastic Compute Cloud (Amazon EC2) olarak adlandırılan AWS sanal makineleri, Amazon Virtual Private Cloud (Amazon VPC) adlı bir AWS sanal ağının üzerinde çalışır. Kullanıcılar ve bulut yöneticileri AWS ortamlarında bir Amazon VPC ayarlar ve Amazon EC2 sanal makineleri ekler.

AWS CloudTrail, AWS ortamında AWS hesabı etkinliğini günlüğe kaydeder. Amazon EC2, Amazon VPC ve AWS CloudTrail, AWS ortamlarında yaygındır. Bu hizmetlerden günlükleri toplamak, AWS ortamınızda neler olup bittiğini ve saldırıları önlemek veya azaltmak için yapılması gerekenleri anlamak için gereklidir.

Amazon GuardDuty, AWS ortamını kötü amaçlı etkinlikler ve yetkisiz davranışlara karşı izleyerek AWS iş yüklerinin korunmasına yardımcı olan bir tehdit algılama hizmetidir.

Bu makalede, bu AWS kaynaklarının ve hizmetlerinin izlenmesini ve günlüğe kaydedilmesini Azure'ın izleme çözümleri ve Microsoft güvenlik yığınıyla tümleştirmeyi öğreneceksiniz.

Başvuru Mimarisi

Aşağıdaki mimari diyagramında, AWS ortamında IaaS iş yükünü çalıştırmak için gereken ortak hizmetler ve kaynaklar gösterilmektedir. Diyagramda ayrıca AWS ortamından Azure'a günlükleri ve verileri almak ve tehdit izleme ve koruma sağlamak için gereken Azure hizmetleri de gösterilir.

Amazon Web Services'te (AWS) IaaS uygulamalarının güvenliğini sağlamaya yönelik başvuru mimarisinin diyagramı.

Diyagramda, AWS ortamındaki aşağıdaki kaynaklar ve hizmetler için günlüklerin Azure'a alımı gösterilmektedir:

  • Amazon Elastic Compute Cloud (Amazon EC2)
  • Amazon Virtual Private Cloud (Amazon VPC)
  • Amazon Web Services CloudTrail (AWS CloudTrail)
  • Amazon GuardDuty

AWS ortamındaki kaynaklar ve hizmetler için günlükleri Azure'a almak için Amazon Simple Storage Service (Amazon S3) ve Amazon Simple Queue Service (SQS) tanımlanmış olmalıdır.

Günlükler ve veriler Azure İzleyici'de Log Analytics'e alınır.

Aşağıdaki Microsoft ürünleri, alınan verileri izlemek için kullanır:

  • Bulut için Microsoft Defender
  • Microsoft Sentinel
  • Uç nokta için Microsoft Defender

Not

AWS kaynaklarınızı ve hizmetlerinizi izlemek için günlükleri listelenen tüm Microsoft ürünlerine almak zorunda değilsiniz. Ancak tüm Microsoft ürünlerini birlikte kullanmak AWS günlüğünden ve Azure'a veri alımından daha fazla fayda sağlar.

Bu makale, mimari diyagramını izler ve şunların nasıl yapılacağını açıklar:

  • AWS kaynaklarınızdan günlükleri almak için Microsoft ürünlerini yükleyin ve yapılandırın.
  • İzlemek istediğiniz güvenlik verileri için ölçümleri yapılandırın.
  • Genel güvenlik duruşunuzu geliştirin ve AWS iş yükünün güvenliğini sağlayın.
  • Kod olarak güvenli altyapı.

1. Adım: Günlükleri ve verileri almak için Microsoft ürünlerini yükleme ve bağlama

Bu bölümde, AWS ve Amazon hizmetlerinizden ve kaynaklarınızdan günlük almak için başvuruda bulunan mimarideki Microsoft ürünlerini yükleme ve bağlama adımları anlatılmıştır. Sıfır Güven açıkça doğrulama ilkesine uymak için, bir saldırıdan önce proaktif eylemler gerçekleştirmek için Microsoft ürünlerini yüklemeniz ve AWS ortamınıza bağlanmanız gerekir.

Adımlar Görev
A İşletim sistemi verilerini ve günlüklerini Azure'a almak için Azure Connected Machine aracısını Amazon Elastic Compute Cloud (Amazon EC2) sanal makinelerinize yükleyin.
K Günlükleri Log Analytics çalışma alanınıza göndermek için Azure İzleyici Aracısını Amazon EC2 sanal makinelerine yükleyin.
C AWS hesabını Bulut için Microsoft Defender bağlayın.
D AWS günlük verilerini almak için Microsoft Sentinel'i AWS'ye bağlayın.
E AWS hizmet günlüklerini Microsoft Sentinel'e çekmek için AWS bağlayıcılarını kullanın.

A. İşletim sistemi verilerini ve günlüklerini Azure'a almak için Amazon EC2 sanal makinelerinize Azure Connected Machine aracısını yükleyin

Azure Arc özellikli sunucular , Azure dışında, şirket ağınızda veya başka bir bulut sağlayıcısında barındırılan Windows ve Linux fiziksel sunucularını ve sanal makineleri yönetmenize olanak tanır. Azure Arc'ın amaçları doğrultusunda, Azure dışında barındırılan makineler hibrit makineler olarak kabul edilir. Amazon EC2 sanal makinelerinizi (karma makineler olarak da bilinir) Azure'a bağlamak için her makineye Azure Connected Machine aracısını yüklersiniz.

Daha fazla bilgi için bkz . Hibrit makineleri Azure'a bağlama.

B. Günlükleri Log Analytics çalışma alanınıza göndermek için Azure İzleyici Aracısını Amazon EC2 sanal makinelerine yükleyin

Azure İzleyici , Azure'da ve AWS de dahil olmak üzere diğer bulutlarda çalışan kaynaklarınız ve uygulamalarınız için tam izleme sağlar. Azure İzleyici, bulut ve şirket içi ortamlarınızdan telemetri toplar, analiz eder ve üzerinde işlem yapar. Azure İzleyici'deki VM içgörüleri , hem Azure sanal makineleriniz hem de Amazon EC2 sanal makineleriniz arasında tutarlı bir deneyim sağlamak için Azure Arc özellikli sunucuları kullanır. Amazon EC2 sanal makinelerinizi Doğrudan Azure sanal makinelerinizin yanında görüntüleyebilirsiniz. Amazon EC2 sanal makinelerinizi aynı yöntemleri kullanarak ekleyebilirsiniz. Bu, Azure İlkesi gibi standart Azure yapılarını kullanmayı ve etiketleri uygulamayı içerir.

Bir makine için VM içgörülerini etkinleştirdiğinizde Azure İzleyici Aracısı (AMA) yüklenir. AMA, Amazon EC2 sanal makinelerinden izleme verilerini toplar ve Microsoft Sentinel ve Bulut için Microsoft Defender gibi özellikler, içgörüler ve diğer hizmetler tarafından kullanılmak üzere Azure İzleyici'ye sunar.

Önemli

Log Analytics, Azure portalında Azure İzleyici Günlükleri deposundaki verilere karşı günlük sorgularını düzenlemek ve çalıştırmak için kullandığınız bir araçtır. Log Analytics otomatik olarak yüklenir.

Amazon EC2 sanal makinelerinde eski Log Analytics aracısı yüklü olabilir. Bu aracı Eylül 2024'te kullanımdan kaldırılacaktır. Microsoft, yeni Azure İzleyici Aracısı'nın yüklenmesini önerir.

Log Analytics aracısı veya Windows ve Linux için Azure İzleyici Aracısı aşağıdakileri yapmak için gereklidir:

  • Makinede çalışan işletim sistemini ve iş yüklerini proaktif olarak izleyin.
  • Otomasyon runbook'larını veya Güncelleştirme Yönetimi gibi çözümleri kullanarak makineyi yönetin.
  • Bulut için Microsoft Defender gibi diğer Azure hizmetlerini kullanın.

Günlükleri ve verileri topladığınızda, bilgiler bir Log Analytics çalışma alanında depolanır. Aboneliğinizdeki Azure kaynaklarından veri topluyorsanız Log Analytics çalışma alanına ihtiyacınız vardır.

Azure İzleyici çalışma kitapları, Azure portalında kullanılabilen bir görselleştirme aracıdır. Çalışma kitapları metinleri, günlük sorgularını, ölçümleri ve parametreleri zengin etkileşimli raporlarda birleştirir. Çalışma kitaplarını ayarlamak, ihlal ilkesini Sıfır Güven bağlı kalmak için analizi kullanmanıza yardımcı olur.

Çalışma kitapları, Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail ve Amazon GuardDuty'dan Microsoft Sentinel günlüklerinde izleme bölümünde ele alınıyor.

Daha fazla bilgi için bkz.

C. AWS hesabını Bulut için Microsoft Defender bağlama

Bulut için Microsoft Defender, AWS dahil olmak üzere tüm Azure, şirket içi ve çok bulutlu kaynaklarınız için bir Bulut Güvenliği Duruş Yönetimi (CSPM) ve Bulut İş Yükü Koruma Platformu (CWPP) hizmetidir. Defender for Cloud, bulutta ve şirket içine kaynaklarınızın ve iş yüklerinizin güvenliğini yönetirken bu üç hayati gereksinimi karşılar:

Sunucular için Microsoft Defender, Bulut için Microsoft Defender tarafından sağlanan ücretli planlardan biridir. Sunucular için Defender, korumayı Azure, AWS, Google Cloud Platform ve şirket içinde çalışan Windows ve Linux makinelerinize genişletir. Sunucular için Defender, uç noktada algılama ve yanıtlama (EDR) ve diğer tehdit koruması özelliklerini sağlamak için Uç Nokta için Microsoft Defender ile tümleştirilir.

Daha fazla bilgi için bkz.

Not

Henüz sunucularınızda AMA dağıtmadıysanız, Sunucular için Defender'ı etkinleştirdiğinizde sunucularınıza Azure İzleyici Aracısı'nı dağıtabilirsiniz.

D. AWS günlük verilerini almak için Microsoft Sentinel'i AWS'ye bağlama

Microsoft Sentinel, aşağıdaki hizmetleri sağlayan ölçeklenebilir, bulutta yerel bir çözümdür:

  • Güvenlik bilgileri ve olay yönetimi (SIEM)
  • Güvenlik düzenleme, otomasyon ve yanıt (SOAR)

Microsoft Sentinel, kuruluş genelinde güvenlik analizi ve tehdit bilgileri sunar. Microsoft Sentinel ile saldırı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm elde edersiniz.

Kurulum yönergeleri için bkz . Microsoft Sentinel'i ekleme.

E. AWS hizmet günlüklerini Microsoft Sentinel'e çekmek için AWS bağlayıcılarını kullanma

AWS hizmet günlüklerini Microsoft Sentinel'e çekmek için bir Microsoft Sentinel AWS bağlayıcısı kullanmanız gerekir. Bağlayıcı, Microsoft Sentinel'e AWS kaynak günlüklerinize erişim vererek çalışır. Bağlayıcıyı ayarlamak AWS ile Microsoft Sentinel arasında bir güven ilişkisi oluşturur. AWS'de, Microsoft Sentinel'e AWS günlüklerinize erişme izni veren bir rol oluşturulur.

AWS bağlayıcısı iki sürümde kullanılabilir: Günlükleri bir Amazon S3 demetinden çekerek alan yeni Amazon Simple Storage Service (Amazon S3) bağlayıcısı ve CloudTrail yönetimi ve veri günlükleri için eski bağlayıcı. Amazon S3 bağlayıcısı Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail ve Amazon GuardDuty'dan günlükleri alabilir. Amazon S3 bağlayıcısı önizleme aşamasındadır. Amazon S3 bağlayıcısını kullanmanızı öneririz.

Amazon S3 bağlayıcısını kullanarak Amazon VPC, AWS CloudTrail ve Amazon GuardDuty günlüklerini almak için bkz . Microsoft Sentinel'i AWS'ye bağlama.

Not

Microsoft, Amazon S3 bağlayıcısını dağıtmak için otomatik kurulum betiğini kullanmanızı önerir. Her adımı el ile gerçekleştirmeyi tercih ediyorsanız Microsoft Sentinel'i AWS'ye bağlamak için el ile kurulumu izleyin.

2. Adım: Güvenlik verileriniz için ölçümleri yapılandırma

Azure artık AWS kaynaklarınızdan günlükleri alıyor, ortamınızda tehdit algılama kuralları oluşturabilir ve uyarıları izleyebilirsiniz. Bu makale, günlükleri ve verileri toplama ve şüpheli etkinlikleri izleme adımlarını gösterir. Sıfır Güven ihlal ilkesinin ortamınızı tehditlere ve güvenlik açıklarına karşı izleyerek gerçekleştirdiği varsayılır.

Adımlar Görev
A Azure İzleyici'de Amazon Elastic Compute Cloud (Amazon EC2) günlüklerini toplayın.
K Amazon EC2 için Bulut için Microsoft Defender güvenlik uyarılarını ve önerilerini görüntüleyin ve yönetin.
C Uç Nokta için Microsoft Defender Bulut için Defender ile tümleştirin.
D Microsoft Sentinel'de Amazon EC2 verilerini izleyin.
E Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail ve Amazon GuardDuty'dan Microsoft Sentinel günlüklerini izleyin.
F Ortamınızda tehdit algılama kuralları oluşturmak ve araştırmak için Microsoft Sentinel yerleşik algılama kurallarını kullanın.

A. Azure İzleyici'de Amazon Elastic Compute Cloud (Amazon EC2) günlüklerini toplama

Amazon EC2 VM'lerinize yüklenen Azure Connected Machine aracısı, AWS kaynaklarınızı Azure kaynakları gibi izlemenizi sağlar. Örneğin, Amazon EC2 VM'lerinizdeki güncelleştirmeleri yönetmek ve yönetmek için Azure ilkelerini kullanabilirsiniz.

Amazon EC2 VM'lerinizde yüklü olan Azure İzleyici Aracısı (AMA), izleme verilerini toplar ve Azure İzleyici'ye teslim eder. Bu günlükler Microsoft Sentinel ve Bulut için Defender için giriş haline gelir.

Amazon EC2 VM'lerinizden günlükleri toplamak için bkz . Veri toplama kuralları oluşturma.

B. Amazon EC2 için Bulut için Microsoft Defender güvenlik uyarılarını ve önerilerini görüntüleme ve yönetme

Bulut için Microsoft Defender, güvenlik uyarıları ve öneriler oluşturmak için kaynak günlüklerini kullanır. Bulut için Defender, Amazon EC2 VM'lerinizdeki olası tehditler hakkında sizi uyarmak için uyarılar sağlayabilir. Uyarılar önem derecelerine göre önceliklendirilir. Her uyarı, etkilenen kaynakların, sorunların ve düzeltme önerilerinin ayrıntılarını sağlar.

Azure portalında önerileri görüntülemenin iki yolu vardır. Bulut için Defender genel bakış sayfasında, geliştirmek istediğiniz ortama yönelik önerileri görüntülersiniz. Bulut için Defender varlık envanteri sayfasında, etkilenen kaynağa göre öneriler gösterilir.

Amazon EC2 uyarılarını ve önerilerini görüntülemek ve yönetmek için:

Not

Microsoft bulut güvenliği Karşılaştırması (MCSB), bulut hizmetlerinizin tek veya çoklu bulut ortamında güvenliğini sağlamaya yardımcı olmak için kullanabileceğiniz yüksek etkili güvenlik önerilerinden oluşan bir koleksiyon içerir. Microsoft, bulut dağıtımlarının güvenliğini hızlı bir şekilde sağlamanıza yardımcı olmak için güvenlik karşılaştırmalarını kullanmanızı önerir. MCSB hakkında daha fazla bilgi edinin.

C. Uç Nokta için Microsoft Defender Bulut için Defender ile tümleştirme

Bulut için Defender tümleşik uç noktada algılama ve yanıtlama çözümüyle uç noktalarınızı koruyun Uç Nokta için Microsoft Defender. Uç Nokta için Microsoft Defender, Windows ve Linux makinelerinizi Azure'da, şirket içinde veya çoklu bulut ortamında barındırıldığında korur. Uç Nokta için Microsoft Defender bütünsel, bulut tabanlı bir uç nokta güvenlik çözümüdür. Ana özellikler şunlardır:

  • Risk tabanlı güvenlik açığı yönetimi ve değerlendirme
  • Saldırı yüzeyini azaltma
  • Davranış tabanlı ve bulut destekli koruma
  • Uç nokta algılama ve yanıt (EDR)
  • Otomatik araştırma ve düzeltme
  • Yönetilen tehdit avcılığı hizmetleri

Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender tümleştirmesini etkinleştirme.

D. Microsoft Sentinel'de Amazon EC2 verilerini izleme

Azure Connected Machine aracısını ve AMA'yı yükledikten sonra, Amazon EC2 işletim sistemleri Microsoft Sentinel tarafından otomatik olarak kullanılabilen Azure Log Analytics tablolarına günlük göndermeye başlar.

Aşağıdaki görüntüde Amazon EC2 işletim sistemi günlüklerinin Microsoft Sentinel tarafından nasıl alındığı gösterilmektedir. Azure Connected Machine aracısı, Amazon EC2 VM'lerinizi Azure'ın bir parçası haline getirir. AMA veri bağlayıcısı aracılığıyla Windows Güvenliği Olayları Amazon EC2 VM'lerinizden veri toplar.

Microsoft Sentinel tarafından alınan işletim sistemi günlüklerinin diyagramı.

Not

Amazon EC2'den günlükleri almak için Microsoft Sentinel'e ihtiyacınız yoktur, ancak önceden ayarlanmış bir Log Analytics çalışma alanına ihtiyacınız vardır.

Adım adım yönergeler için bkz . GitHub'daki bir belge olan Arc ve AMA kullanarak Amazon EC2 Sentinel Alımı. GitHub belgesinde, bu çözüm kılavuzunun önceki bölümlerinde AMA'yı yüklediğiniz için atlayabileceğiniz AMA yükleme işlemleri ele alınıyor.

E. Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail ve Amazon GuardDuty'dan Microsoft Sentinel günlüklerinde izleme

Daha önce Amazon Simple Storage Service (Amazon S3) bağlayıcısını kullanarak Microsoft Sentinel'i AWS'ye bağlamıştınız. Amazon S3 demet, günlükleri sorgulamak için kullanılan temel araç olan Log Analytics çalışma alanınıza gönderir. Çalışma alanında aşağıdaki tablolar oluşturulur:

  • AWSCloudTrail - AWS CloudTrail günlükleri, AWS hesabınızın tüm veri ve yönetim olaylarını tutar.
  • AWSGuardDuty - Amazon GuardDuty Bulguları ağınızda algılanan olası bir güvenlik sorununu gösterir. Amazon GuardDuty, AWS ortamınızda beklenmeyen ve potansiyel olarak kötü amaçlı etkinlik algılasa bir bulgu oluşturur.
  • AWSVPCFlow - Amazon Virtual Private Cloud (Amazon VPC) Akış Günlükleri, Amazon VPC ağ arabirimlerinize giden ve giden IP trafiğini yakalamanıza olanak tanır.

Microsoft Sentinel'de Amazon VPC Akış Günlükleri, AWS CloudTrail ve Amazon GuardDuty sorgulayabilirsiniz. Aşağıda Log Analytics'teki her hizmet ve ilgili tablo için sorgu örnekleri verilmiştir:

Amazon GuardDuty günlükleri için:

AWSGuardDuty | burada Önem Derecesi > 7 | Summarize count() by ActivityType

Amazon VPC Flow günlükleri için:

AWSVPCFlow | where Action == "REJECT" | where Type == "Ipv4" | 10'a alın

AWS CloudTrail günlükleri için:

AWSCloudTrail | where EventName == "CreateUser" | summarize count() by AWSRegion

Microsoft Sentinel'de, daha fazla ayrıntıyı analiz etmek için Amazon S3 çalışma kitabını kullanırsınız.

AWS CloudTrail için aşağıdakileri analiz edebilirsiniz:

  • Zaman içindeki veri akışı
  • Hesap Kimlikleri
  • Olay Kaynağı listesi

Amazon GuardDuty için şunları analiz edebilirsiniz:

  • Haritaya göre Amazon GuardDuty
  • Bölgeye göre Amazon GuardDuty
  • IP'ye göre Amazon GuardDuty

F. Ortamınızda tehdit algılama kuralları oluşturmak ve araştırmak için Microsoft Sentinel yerleşik algılama kurallarını kullanma

Veri kaynaklarınızı Microsoft Sentinel'e bağladığınıza göre, ortamınızda tehdit algılama kuralları oluşturmanıza ve araştırmanıza yardımcı olması için Microsoft Sentinels yerleşik algılama kuralı şablonlarını kullanın. Microsoft Sentinel, tehdit algılama kuralları oluşturmanıza yardımcı olmak için kullanıma hazır, yerleşik şablonlar sağlar.

Microsoft'un güvenlik uzmanları ve analistlerinden oluşan ekibi bilinen tehditlere, yaygın saldırı vektörlerine ve şüpheli etkinlik yükseltme zincirlerine dayalı kural şablonları tasarlar. Bu şablonlardan oluşturulan kurallar, ortamınızda şüpheli görünen tüm etkinlikleri otomatik olarak arar. Şablonların çoğu etkinlikleri aramak veya gereksinimlerinize göre filtrelemek için özelleştirilebilir. Bu kurallar tarafından oluşturulan uyarılar, ortamınızda atayabileceğiniz ve araştırabileceğiniz olaylar oluşturur.

Daha fazla bilgi için bkz . Microsoft Sentinel'de yerleşik analiz kurallarıyla tehditleri algılama.

3. Adım: Genel güvenlik duruşunuzu geliştirme

Bu bölümde, Microsoft Entra İzin Yönetimi kullanılmayan ve aşırı izinleri izlemenize nasıl yardımcı olduğunu öğreneceksiniz. Anahtar verilerini yapılandırma, ekleme ve görüntüleme adımlarını atlarsınız. En az ayrıcalıklı erişim ilkesini kullanma Sıfır Güven, kaynaklarınıza erişimi yönetme, denetleme ve izleme yoluyla elde edilir.

Adımlar Görev
A İzin Yönetimi ve Privileged Identity Management'ı yapılandırın.
K AWS hesabı ekleme.
C Önemli istatistikleri ve verileri görüntüleyin.

İzin Yönetimini Yapılandırma

İzin Yönetimi, çoklu bulut altyapınızda kullanılmayan ve aşırı izinleri algılayan, otomatik olarak doğru boyutları algılayan ve sürekli olarak izleyen bir bulut altyapısı yetkilendirme yönetimi (CIEM) çözümüdür.

İzin Yönetimi, en az ayrıcalıklı erişim ilkesini geliştirerek Sıfır Güven güvenlik stratejilerini derinleştirir ve müşterilerin şunları sağlamasına olanak sağlar:

  • Kapsamlı görünürlük elde edin: Hangi kimliğin ne, nerede ve ne zaman yaptığını keşfedin.
  • En az ayrıcalıklı erişimi otomatikleştirme: Kimliklerin doğru zamanda doğru izinlere sahip olduğundan emin olmak için erişim analizini kullanın.
  • IaaS platformlarında erişim ilkelerini birleştirme: Bulut altyapınızda tutarlı güvenlik ilkeleri uygulayın.

İzin Yönetimi, AWS ve Azure için önemli istatistiklerin ve verilerin özetini sağlar. Veriler, önlenebilir riskle ilgili ölçümleri içerir. Bu ölçümler, İzin Yönetimi yöneticisinin Sıfır Güven en az ayrıcalıklı erişim ilkesini kullanmayla ilgili risklerin azaltılabildiği alanları belirlemesine olanak sağlar.

Veriler daha fazla analiz ve otomasyon için Microsoft Sentinel'e aktarılabilir.

Görevleri uygulamak için bkz:

4. Adım: Kod olarak altyapının güvenliğini sağlama

Bu bölüm DevSecOps'un temel yapı taşını kapsar ve altyapınızı kod olarak tarar ve güvenliğini sağlar. Kod olarak altyapı için, güvenlik ve DevOps ekipleri altyapı dağıtımlarınızda güvenlik açıklarına yol açabilecek yanlış yapılandırmaları izlemelidir.

Azure Resource Manager (ARM), Bicep veya Terraform şablonlarında sürekli denetimler uygulayarak, geliştirmenin erken aşamalarında düzeltmesi daha az maliyetli olduğunda ihlalleri ve açıklardan yararlanmayı önlersiniz. Ayrıca, Microsoft Entra Id ve DevOps aracınız genelinde yöneticiler ve hizmet hesabı grupları üzerinde sıkı denetime sahip olmak istiyorsunuz.

Sıfır Güven en az ayrıcalıklı erişim ilkesini şu şekilde kullanırsınız:

  • En az ayrıcalıklı kimlik erişimi ve ağ kurulumu ile altyapı yapılandırmalarınızın sağlam gözden geçirmelerini gerçekleştirme.
  • Kullanıcılara depo düzeyinde, ekip düzeyinde veya kuruluş düzeyinde kaynaklara rol tabanlı erişim denetimi (RBAC) atama.

Ön koşullar:

  • Kod depoları Azure DevOps veya GitHub'dadır
  • İşlem hatları Azure DevOps veya GitHub'da barındırılır
Adımlar Görev
A Kod olarak altyapı (IaC) için DevSecOps'ı etkinleştirin.
K DevOps araçları için RBAC uygulayın.
C GitHub Gelişmiş Güvenlik'i etkinleştirin.
D Kod ve gizli dizi tarama sonuçlarını görüntüleyin.

A. IaC için DevSecOps'ı etkinleştirme

DevOps için Defender, kodunuzun ve işlem hatlarınızın Azure DevOps veya GitHub'da olup olmadığına bakılmaksızın çok işlem hattı ortamınızın güvenlik duruşu hakkında görünürlük sağlar. Güvenlik ve DevOps ekiplerinin tüm depolarının tarama sonuçlarını tek bir panoda görebileceği ve sorunları gidermek için bir çekme isteği işlemi ayarlayabildiği tek bir cam bölmesi uygulama avantajına sahiptir.

Daha fazla bilgi için bkz.

B. DevOps araçları için RBAC uygulama

Ekibiniz için rol tabanlı erişim denetimi izinleri gibi sağlam idare uygulamalarını yönetmeniz ve uygulamanız gerekir. Bu model DevOps otomasyonu için yansıtılmıyorsa, kuruluşunuz güvenlik arka kapısını açık bırakabilir. Bir geliştiricinin ARM şablonları aracılığıyla erişimi olmadığı bir örnek düşünün. Geliştirici yine de uygulama kodunu veya altyapıyı kod olarak değiştirmek ve otomasyon iş akışını tetiklemek için yeterli izinlere sahip olabilir. Geliştirici, dolaylı olarak DevOps aracılığıyla ARM şablonlarınıza erişebilir ve bu şablonlarınızda yıkıcı değişiklikler yapabilir.

Altyapı dağıtımlarınız için bulut tabanlı çözümler dağıttığınızda, güvenlik her zaman en önemli endişeniz olmalıdır. Microsoft, temel alınan bulut altyapısını güvenli tutar. Azure DevOps veya GitHub'da güvenliği yapılandırabilirsiniz.

Güvenliği yapılandırmak için:

  • Azure DevOps'ta kuruluş/koleksiyon, proje veya nesne düzeyinde güvenlik gruplarını, ilkeleri ve ayarları kullanabilirsiniz.
  • GitHub'da kullanıcılara depo düzeyinde, ekip düzeyinde veya kuruluş düzeyinde roller vererek kaynaklara erişim atayabilirsiniz.

C. GitHub Gelişmiş Güvenliğini Etkinleştirme

Ortamların proaktif olarak güvenliğini sağlamak için DevOps güvenliğini sürekli izlemek ve güçlendirmek önemlidir. GitHub Advanced Security, kullanıma sunulan gizli dizileri, bağımlılık güvenlik açıklarını ve daha fazlasını aramak için işlem hattınızdaki denetimleri otomatikleştirir. GitHub, Gelişmiş Güvenlik lisansı altında müşterilerin kullanımına sunulan ek güvenlik özellikleri sunar.

GitHub Advanced Security, genel depolar için varsayılan olarak etkindir. Özel depolarınız için GitHub Advanced Security lisanslamasını kullanmanız gerekir. Etkinleştirildikten sonra GitHub Advanced Security paketiyle birlikte gelen birçok özelliği kullanmaya başlayabilirsiniz:

  • Kod tarama
  • Bağımlılık taraması
  • Gizli dizi taraması
  • Erişim denetimi
  • Güvenlik açığı uyarıları
  • Denetim günlüğü
  • Dal koruma kuralları
  • Çekme isteği gözden geçirmeleri

Bu özelliklerle kodunuzun güvenli ve endüstri standartlarıyla uyumlu olduğundan emin olabilirsiniz. Ayrıca kodunuzdaki güvenlik sorunlarını hızla algılamanıza ve çözmenize yardımcı olmak için otomatik iş akışları oluşturabilirsiniz. Ayrıca, kod tabanınızda yetkisiz değişiklikleri önlemek için dal koruma kurallarını kullanabilirsiniz.

Daha fazla bilgi için bkz . GitHub Gelişmiş Güvenliğini Etkinleştirme.

D. Kod ve gizli dizi tarama sonuçlarını görüntüleme

Bulut için Defender'de kullanılabilen bir hizmet olan DevOps için Defender, güvenlik ekiplerinin çok işlem hattılı ortamlarda DevOps güvenliğini yönetmesine olanak tanır. DevOps için Defender, güvenlik ekiplerine GitHub ve Azure DevOps gibi birden çok işlem hattı olan ortamlarda uygulamaları ve kaynakları koddan buluta kadar koruma olanağı sağlamak için merkezi bir konsol kullanır.

DevOps için Defender, çekme isteklerinde (PR) ek açıklama olarak güvenlik bulgularını kullanıma sunar. Güvenlik işleçleri Bulut için Microsoft Defender çekme isteği ek açıklamalarını etkinleştirebilir. Kullanıma sunulan sorunlar geliştiriciler tarafından düzeltilebilir. Bu işlem, olası güvenlik açıklarını ve yanlış yapılandırmaları üretim aşamasına girmeden önce önleyebilir ve düzeltebilir. Çekme isteği ek açıklamalarını Azure DevOps'ta yapılandırabilirsiniz. GitHub Gelişmiş Güvenlik müşterisiyseniz GitHub'da çekme isteği ek açıklamaları alabilirsiniz.

Daha fazla bilgi için bkz.

Sonraki adımlar

Bu makalede ele alınan Azure hizmetleri hakkında daha fazla bilgi edinin:

Bu makalede ele alınan AWS ve Amazon hizmetleri ve kaynakları hakkında daha fazla bilgi edinin: