Düzenle

Aracılığıyla paylaş

Azure Güvenlik hizmetleriyle ilk savunma katmanını oluşturma

Azure
Microsoft Entra ID

Çözüm fikirleri

Bu makalede bir çözüm fikri açıklanmaktadır. Bulut mimarınız bu mimarinin tipik bir uygulaması için ana bileşenleri görselleştirmeye yardımcı olmak için bu kılavuzu kullanabilir. İş yükünüzün özel gereksinimlerine uygun iyi tasarlanmış bir çözüm tasarlamak için bu makaleyi başlangıç noktası olarak kullanın.

Kuruluşunuz için eksiksiz bir BT altyapısı oluşturmak için çeşitli Azure hizmetlerini kullanabilirsiniz. Azure, altyapınızı korumanıza yardımcı olabilecek güvenlik hizmetleri de sağlar. Azure güvenlik çözümlerini kullanarak, Microsoft'un en iyi yöntemlerini temel alan iyi tasarlanmış bir çözüm aracılığıyla BT ortamınızın güvenlik duruşunu geliştirebilir, güvenlik açıklarını hafifletebilir ve ihlallere karşı koruma sağlayabilirsiniz.

Bazı güvenlik hizmetleri ilişkili maliyetler doğursa da, çoğu ek ücret ödemeden kullanılabilir. Ücretsiz hizmetler arasında ağ güvenlik grupları (NSG), depolama şifrelemesi, TLS/SSL, paylaşılan erişim imzası belirteçleri ve daha fazlası bulunur. Bu makale, bu ücretsiz hizmetlere odaklanır.

Bu makale beşlik serinin üçüncüsüdür. Bu serinin önceki iki makalesini gözden geçirmek için, giriş ve tehditleri bir BT ortamıyla nasıl eşleyebileceğinizi gözden geçirmek için aşağıdaki makalelere bakın:

Olası kullanım örnekleri

Bu makalede Azure güvenlik hizmetleri Azure kaynağına göre düzenlenir, böylece kullanıcıları ve parolaları tehlikeye atabilecek saldırılara ek olarak sanal makineler (VM), işletim sistemleri, Azure ağları veya uygulamalar gibi kaynakları hedefleyen belirli tehditlere odaklanabilirsiniz. Aşağıdaki diyagram, kaynakları ve kullanıcı kimliklerini bu tür tehditlere karşı korumaya yardımcı olan Azure güvenlik hizmetlerini belirlemenize yardımcı olabilir.

Mimari

MiTRE ATTACK matrisi tarafından sınıflandırılan şirket içi kaynaklar, Microsoft 365 ve Azure hizmetleri ve 16 tehdit türü diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

©2021 MITRE Corporation. Bu çalışma, MITRE Corporation'ın izniyle çoğaltılır ve dağıtılır.

Bu diyagramdaki Azure güvenlik katmanı, Azure ilkeleri aracılığıyla uygulanan bir dizi güvenlik kuralı olan Azure Güvenlik Karşılaştırması (ASB) v3'e dayanır. ASB, İNTERNET Güvenliği için CIS Merkezi ile Ulusal Standartlar ve Teknoloji Enstitüsü'nden gelen kuralların bir birleşimini temel alır. ASB hakkında daha fazla bilgi için bkz . Azure Güvenlik Karşılaştırması v3'e genel bakış.

Diyagram kullanılabilir tüm Azure güvenlik hizmetlerini içermez, ancak en yaygın olarak kullanılan hizmetleri vurgular. Mimari diyagramda gösterilen tüm güvenlik hizmetleri, BT ortamınızla ve kuruluşunuzun özel güvenlik gereksinimleriyle birlikte çalışacak şekilde birleştirilebilir ve yapılandırılabilir.

İş Akışı

Bu bölümde diyagramda görünen bileşenler ve hizmetler açıklanmaktadır. Bunların çoğu, kısaltılmış etiketlerine ek olarak ASB denetim kodlarıyla etiketlenir. Denetim kodları, Denetimler'de listelenen denetim etki alanlarına karşılık gelir.

  1. Azure Güvenlik Karşılaştırması

    Her güvenlik denetimi, belirli bir veya daha fazla Azure güvenlik hizmetini ifade eder. Bu makaledeki mimari başvurusu, ASB belgelerine göre bazılarını ve bunların denetim numaralarını gösterir. Denetimler şunlardır:

    • Ağ güvenliği
    • Kimlik yönetimi
    • Ayrıcalıklı erişim
    • Veri koruması
    • Varlık yönetimi
    • Günlüğe kaydetme ve tehdit algılama
    • Olay yanıtı
    • Duruş ve güvenlik açığı yönetimi
    • Uç nokta güvenliği
    • Yedekleme ve kurtarma
    • DevOps güvenliği
    • İdare ve strateji

    Güvenlik denetimleri hakkında daha fazla bilgi için bkz . Azure Güvenlik Karşılaştırması'na (v3) genel bakış.

  2. Aşağıdaki tabloda diyagramdaki ağ hizmetleri açıklanmaktadır.

    Etiket Açıklama Belgeler
    NSG Bir ağ arabirimine veya alt ağa eklediğiniz ücretsiz bir hizmet. NSG, gelen ve giden bağlantılar için IP adresi aralıklarını ve bağlantı noktalarını kullanarak TCP veya UDP protokol trafiğini filtrelemenize olanak tanır. Ağ güvenlik grupları
    VPN IPSEC (IKE v1/v2) korumasına sahip bir tünel sunan bir sanal özel ağ (VPN) ağ geçidi. VPN Gateway
    Azure Güvenlik Duvarı Katman 4'te koruma sağlayan ve sanal ağın tamamına bağlı olan hizmet olarak platform (PaaS). Azure Güvenlik Duvarı nedir?
    App GW + WAF Web Uygulaması Güvenlik Duvarı (WAF) ile Azure Uygulaması Lication Gateway. Application Gateway, 7. katmanda çalışan ve HTTP ve HTTPS kullanan uygulamaları korumak için WAF ekleyen web trafiği için bir yük dengeleyicidir. Azure Uygulaması lication Gateway nedir?
    NVA Ağ sanal gereci (NVA). Azure'da vm'lerde sağlanan marketten bir sanal güvenlik hizmeti. Ağ sanal gereçleri
    DDOS Farklı DDoS saldırılarını azaltmanıza yardımcı olmak için sanal ağda uygulanan DDoS koruması. Azure DDoS Ağ Korumasına genel bakış
    TLS/SSL TLS/SSL, Azure Depolama ve Web Apps gibi bilgi alışverişinde bulunan çoğu Azure hizmeti için aktarım sırasında şifreleme sağlar. PowerShell ile Application Gateway kullanarak uçtan uca TLS'yi yapılandırma
    Özel Bağlantı Başlangıçta İnternet'te kullanıma sunulan bir Azure hizmeti için özel ağ oluşturmanıza olanak tanıyan hizmet. Azure Özel Bağlantı nedir?
    Özel uç nokta Bir ağ arabirimi oluşturur ve bunu Azure hizmetine ekler. Özel Uç Nokta Özel Bağlantı bir parçasıdır. Bu yapılandırma, özel bir uç nokta kullanarak hizmetin sanal ağınızın bir parçası olmasını sağlar. Özel uç nokta nedir?

  3. Altyapı ve uç noktalar

    Aşağıdaki tabloda diyagramda gösterilen altyapı ve uç nokta hizmetleri açıklanmaktadır.

    Etiket Açıklama Belgeler
    Bastion Bastion, atlama sunucusu işlevselliği sağlar. Bu hizmet, vm'lerinizi İnternet'e göstermeden uzak masaüstü protokolü (RDP) veya SSH aracılığıyla VM'lerinize erişmenizi sağlar. Azure Bastion nedir?
    Kötü Amaçlı Yazılımdan Koruma Microsoft Defender kötü amaçlı yazılımdan koruma hizmeti sağlar ve Windows 10, Windows 11, Windows Server 2016 ve Windows Server 2019'un bir parçasıdır. Windows'da Microsoft Defender Virüsten Koruma
    Disk şifreleme Disk Şifrelemesi bir VM'nin diskini şifrelemenize olanak tanır. Windows VM’leri için Azure Disk Şifrelemesi
    Anahtar Kasası Anahtar Kasası, FIPS 140-2 Düzey 2 veya 3 ile anahtarları, gizli dizileri ve sertifikaları depolamaya yönelik bir hizmettir. Azure Key Vault temel kavramları
    RDP Kısa Azure Sanal Masaüstü RDP Kısa Yolu. Bu özellik, uzak kullanıcıların özel bir ağdan Sanal Masaüstü hizmetine bağlanmasına olanak tanır. Yönetilen ağlar için Azure Sanal Masaüstü RDP Shortpath
    Ters bağlanma Azure Sanal Masaüstü'nden gelen yerleşik bir güvenlik özelliği. Ters bağlantı, uzak kullanıcıların yalnızca piksel akışları almasını ve konak VM'lere ulaşmamalarını garanti eder. Azure Sanal Masaüstü ağ bağlantısını anlama

  4. Uygulama ve veriler

    Aşağıdaki tabloda diyagramda gösterilen uygulama ve veri hizmetleri açıklanmaktadır.

    Etiket Açıklama Belgeler
    Frontdoor + WAF İçerik teslim ağı (CDN). Front Door, hizmete erişen ve WAF ekleyen kullanıcılar için daha iyi bir bağlantı sağlamak için birden çok iletişim noktası birleştirir. Azure Front Door nedir?
    API Management API çağrıları için güvenlik sağlayan ve ortamlar arasında API'leri yöneten bir hizmet. API Yönetimi hakkında
    PenTest Azure kaynakları da dahil olmak üzere ortamınızda sızma testi yürütmek için en iyi yöntemler kümesi. Sızma testi
    Depolama SAS belirteci Başkalarının Azure depolama hesabınıza erişmesine izin veren paylaşılan erişim belirteci. Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim izni verme
    Özel uç nokta Azure'da özel bir ağ içinde yapılandırmak için bir ağ arabirimi oluşturun ve depolama hesabınıza ekleyin. Azure Depolama için özel uç noktaları kullanma
    Depolama güvenlik duvarı Depolama hesabınıza erişebilecek bir dizi IP adresi ayarlamanıza olanak tanıyan güvenlik duvarı. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma
    Şifreleme
    (Azure Depolama)    		 Bekleyen şifreleme ile depolama hesabınızı korur. Bekleyen veri için Azure Depolama şifrelemesi
    SQL denetimi Veritabanı olaylarını izler ve Azure depolama hesabınızdaki bir denetim günlüğüne yazar. Azure SQL Veritabanı ve Azure Synapse Analytics için denetim
    Güvenlik açığı değerlendirmesi Olası veritabanı güvenlik açıklarını bulmanıza, izlemenize ve düzeltmenize yardımcı olan hizmet. SQL güvenlik açığı değerlendirmesi, veritabanı güvenlik açıklarını belirlemenize yardımcı olur
    Şifreleme
    (Azure SQL)    		 Saydam veri şifrelemesi (TDE), bekleyen verileri şifreleyerek Azure SQL veritabanı hizmetlerinin korunmasına yardımcı olur. SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi

  5. Kimlik

    Aşağıdaki tabloda diyagramda gösterilen kimlik hizmetleri açıklanmaktadır.

    Etiket Açıklama Belgeler
    RBAC Azure rol tabanlı erişim denetimi (Azure RBAC), kullanıcıların Microsoft Entra kimlik bilgilerini temel alan ayrıntılı izinleri kullanarak Azure hizmetlerine erişimi yönetmenize yardımcı olur. Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?
    MFA Çok faktörlü kimlik doğrulaması, kullanıcı adlarının ve parolaların ötesinde ek kimlik doğrulaması türleri sunar. Nasıl çalışır: Microsoft Entra çok faktörlü kimlik doğrulaması
    Kimlik koruması Microsoft Entra ID'nin bir güvenlik hizmeti olan Kimlik Koruması, kullanıcıları tanımlamak ve tehditlerden korumak için günde trilyonlarca sinyali analiz eder. Kimlik Koruması nedir?
    PIM Microsoft Entra Id'den bir güvenlik hizmeti olan Privileged Identity Management (PIM). Microsoft Entra Id (örneğin, Kullanıcı Yöneticisi) ve Azure abonelikleri (örneğin, Rol Tabanlı Erişim Denetimi Yöneticisi veya Key Vault Yöneticisi) için geçici olarak süper kullanıcı ayrıcalıkları sağlamanıza yardımcı olur. Microsoft Entra Privileged Identity Management nedir?
    Sabit Hesap Koşullu Erişim, kullanıcıları engellemek veya erişim vermek için çeşitli koşullar için tanımladığınız ilkeleri kullanan akıllı bir güvenlik hizmetidir. Koşullu Erişim Nedir?

Bileşenler

Bu makaledeki örnek mimaride aşağıdaki Azure bileşenleri kullanılır:

  • Microsoft Entra Id , bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Microsoft Entra Id, kullanıcılarınızın Microsoft 365, Azure portalı ve diğer binlerce SaaS uygulaması gibi dış kaynaklara erişmesine yardımcı olur. Ayrıca şirket intranet ağınızdaki uygulamalar gibi iç kaynaklara erişmelerine de yardımcı olur.

  • Azure Sanal Ağ, Azure'daki özel ağınız için temel yapı taşıdır. Sanal Ağ birçok Azure kaynağı türünün birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar. Sanal Ağ ölçek, kullanılabilirlik ve yalıtım gibi Azure altyapısından yararlanan bir sanal ağ sağlar.

  • Azure Load Balancer , tüm UDP ve TCP protokolleri için yüksek performanslı, düşük gecikme süreli katman 4 yük dengeleme hizmetidir (gelen ve giden). Çözümünüzün yüksek oranda kullanılabilir olmasını sağlarken saniyede milyonlarca isteği işleyecek şekilde derlenir. Azure Load Balancer alanlar arası yedeklidir ve Kullanılabilirlik Alanları genelinde yüksek kullanılabilirlik sağlar.

  • Sanal makineler , Azure'ın sunduğu çeşitli isteğe bağlı, ölçeklenebilir bilgi işlem kaynaklarından biridir. Azure sanal makinesi (VM), çalıştıran fiziksel donanımı satın almak ve bakımını yapmak zorunda kalmadan sanallaştırma esnekliği sağlar.

  • Azure Kubernetes hizmeti (AKS), kapsayıcılı uygulamaları dağıtmak ve yönetmek için tam olarak yönetilen bir Kubernetes hizmetidir. AKS sunucusuz Kubernetes, sürekli tümleştirme/sürekli teslim (CI/CD) ve kurumsal düzeyde güvenlik ve idare sağlar.

  • Azure Sanal Masaüstü , uzak kullanıcılara masaüstleri sağlamak üzere bulutta çalışan bir masaüstü ve uygulama sanallaştırma hizmetidir.

  • App Service Web Apps , web uygulamalarını, REST API'leri ve mobil arka uçları barındırmaya yönelik HTTP tabanlı bir hizmettir. En sevdiğiniz dilde geliştirme yapabilirsiniz ve uygulamalar hem Windows hem de Linux tabanlı ortamlarda kolayca çalışır ve ölçeklendirilir.

  • Azure Depolama , nesne, blob, dosya, disk, kuyruk ve tablo depolama gibi buluttaki çeşitli veri nesneleri için yüksek oranda kullanılabilir, yüksek oranda ölçeklenebilir, dayanıklı ve güvenli depolama alanıdır. Azure depolama hesabına yazılan tüm veriler hizmet tarafından şifrelenir. Azure Depolama, verilerinize erişmesi gereken kişiler üzerinde ayrıntılı denetime sahip olmanızı sağlar.

  • Azure SQL veritabanı , yükseltme, düzeltme eki uygulama, yedeklemeler ve izleme gibi veritabanı yönetimi işlevlerinin çoğunu işleyen tam olarak yönetilen bir PaaS veritabanı altyapısıdır. Bu işlevleri kullanıcı katılımı olmadan sağlar. SQL Veritabanı, uygulamanızın güvenlik ve uyumluluk gereksinimlerini karşılamasına yardımcı olmak için çeşitli yerleşik güvenlik ve uyumluluk özellikleri sağlar.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Diğer katkıda bulunanlar:

Sonraki adımlar

Microsoft,BT ortamınızı güvenli hale getiren daha fazla belgeye sahiptir ve aşağıdaki makaleler özellikle yararlı olabilir:

  • Azure için Microsoft Bulut Benimseme Çerçevesi'nde güvenlik. Bulut Benimseme Çerçevesi süreçleri, en iyi yöntemleri, modelleri ve deneyimi netleştirerek bulut yolculuğunuz için güvenlik yönergeleri sağlar.
  • Microsoft Azure İyi Tasarlanmış Çerçeve. Azure İyi Tasarlanmış Çerçeve, bir iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösterici ilkedir. Çerçeve beş yapıyı temel alır: güvenilirlik, güvenlik, maliyet iyileştirme, operasyonel mükemmellik ve performans verimliliği.
  • Microsoft Güvenlik en iyi yöntemleri. Microsoft Güvenlik en iyi yöntemleri (eski adıyla Azure Güvenlik Pusulası veya Microsoft Güvenlik Pusulası), güvenlikle ilgili kararlar için net, eyleme dönüştürülebilir yönergeler sağlayan en iyi yöntemler koleksiyonudur.
  • Microsoft Siber Güvenlik Başvuru Mimarileri (MCRA). MCRA, çeşitli Microsoft güvenlik başvuru mimarilerinden oluşan bir derlemedir.

Aşağıdaki kaynaklarda, bu makalede bahsedilen hizmetler, teknolojiler ve terminolojiler hakkında daha fazla bilgi bulabilirsiniz:

Bu başvuru mimarisi hakkında daha fazla ayrıntı için bu serideki diğer makalelere bakın: