Aracılığıyla paylaş

Güvenli genel bakış

  • Makale

Azure Secure metodolojisi için Bulut Benimseme Çerçevesi, Azure bulut varlıklarınızın güvenliğini sağlamaya yönelik yapılandırılmış bir yaklaşım sağlar.

Bu makale serisindeki yönergeler, güvenlik bulut benimseme yolculuğunuzun her aşamasının ayrılmaz bir parçası olması gerektiğinden, Bulut Benimseme Çerçevesi içindeki tüm yöntemlerle ilgili öneriler sağlar. Bu nedenle, bulut benimseme yolculuğunuzun her aşamasında ilerledikçe dikkate almanız için dikkate almanız gereken güvenlik önerileri sağlayan her metodolojiyle uyumlu makaleler bulabilirsiniz.

Bulut benimsemeye dahil olan yöntemleri gösteren diyagram. Diyagramda her aşama için kutular bulunur: ekipler ve roller, strateji, plan, hazır, benimseme, idare ve yönetme.

Bu kılavuzdaki önerilerin tümü güvenlik stratejinize, mimarinize ve uygulamanıza yol göstermesi gereken Sıfır Güven güvenlik ihlali (veya ihlal varsayma), en az ayrıcalık ve güven doğrulaması ilkelerine uyar.

Bütünsel güvenlik kılavuzu

Güvenlik, bulut ve teknoloji ortamlarınızın neredeyse tüm yönleriyle dikkate almanız gereken karmaşık ve zorlu bir disiplindir. Aşağıdaki önemli noktaları göz önünde bulundurun:

  • Her şey olası bir hedef veya saldırı vektördür: Günümüzde saldırganlar, kötü amaçlı hedeflerine ulaşmak için kuruluşun kişi, süreç ve teknolojilerindeki zayıflıklardan yararlanabilir.

  • Güvenlik bir takım sporudur: Bu saldırılara karşı savunmak için iş, teknoloji ve güvenlik ekipleri arasında eşgüdümlü bir yaklaşım gerekir. Her ekip, güvenlik çalışmalarına katkıda bulunmalı ve etkili bir şekilde işbirliği yapmalıdır. Azure kaynaklarının güvenliğini sağlamak için gereken çeşitli roller hakkında bilgi için bkz . Teams ve roller.

Bu Bulut Benimseme Çerçevesi Güvenli kılavuzu, çeşitli ekiplerin güvenlik sorumluluklarını anlamasına ve gerçekleştirmesine yardımcı olmak için tasarlanmış daha büyük bir bütünsel Microsoft güvenlik kılavuzu kümesinin bileşenlerinden biridir. Tam küme aşağıdaki yönergeleri içerir:

  • Bulut Benimseme Çerçevesi Güvenli metodolojisi, Azure'da barındırılan tüm iş yükü geliştirme ve işlemlerini destekleyen teknoloji altyapısını yöneten ekipler için güvenlik yönergeleri sağlar.

  • Azure İyi Tasarlanmış Çerçeve güvenlik kılavuzu , tek tek iş yükü sahiplerine uygulama geliştirme ve DevOps ve DevSecOps işlemlerine en iyi güvenlik uygulamalarının nasıl uygulanacağı konusunda rehberlik sağlar. Microsoft, güvenlik geliştirme yaşam döngüsünde güvenlik uygulamalarının ve DevSecOps denetimlerinin nasıl uygulanacağıyla ilgili bu belgeleri tamamlayan yönergeler sağlar.

  • Microsoft Bulut Güvenliği Karşılaştırması , sağlam bulut güvenliği sağlamak için proje katılımcıları için en iyi uygulama kılavuzlarını sağlar. Bu kılavuz, kullanılabilir güvenlik özelliklerini açıklayan güvenlik temellerini ve Azure hizmetleri için önerilen en iyi yapılandırmaları içerir.

  • Sıfır Güven kılavuzu , güvenlik ekiplerinin Sıfır Güven bir modernizasyon girişimini desteklemek için teknik özellikler uygulamasına yönelik rehberlik sağlar.

Her makale, uyumlu metodolojisiyle ilgili çeşitli konuları kapsar:

  • Güvenlik duruşu modernleştirmesi
  • Olay hazırlığı ve yanıtı
  • Gizlilik, Bütünlük ve Kullanılabilirlik (CIA) Triad
  • Güvenlik duruşu sürekliliği

Güvenlik duruşu modernleştirmesi

Bulut benimseme yolculuğunuz boyunca, modernleştirme aracılığıyla genel güvenlik duruşunuzu geliştirme fırsatları arayın. Bu metodolojideki yönergeler Microsoft Sıfır Güven benimseme çerçevesiyle uyumludur. Bu çerçeve, güvenlik duruşunuzu modernleştirmeye yönelik ayrıntılı, adım adım bir yaklaşım sağlar. Bulut Benimseme Çerçevesi metodolojisinin her aşamasına yönelik önerileri gözden geçirirken, Sıfır Güven benimseme çerçevesinde sağlanan yönergeleri kullanarak bunları geliştirin.

Olay hazırlığı ve yanıtı

Olay hazırlığı ve yanıtı, genel güvenlik duruşunuzun temel öğeleridir. Olaylara hazırlanma ve olaylara yanıt verme beceriniz, bulut içinde çalışma başarınızı önemli ölçüde etkileyebilir. İyi tasarlanmış hazırlık mekanizmaları ve operasyonel uygulamalar, daha hızlı tehdit algılamaya olanak tanır ve olayların patlama yarıçapını en aza indirmeye yardımcı olur. Bu yaklaşım daha hızlı kurtarmayı kolaylaştırır. Benzer şekilde, iyi yapılandırılmış yanıt mekanizmaları ve operasyonel uygulamalar kurtarma etkinliklerinde verimli gezinti sağlar ve süreç boyunca sürekli iyileştirme için net fırsatlar sağlar. Bu öğelere odaklanarak, bulutta dayanıklılık ve operasyonel süreklilik sağlayan genel güvenlik stratejinizi geliştirebilirsiniz.

The CIA Triad

CIA Triad, bilgi güvenliğinde üç temel ilkeyi temsil eden temel bir modeldir. Bu ilkeler gizlilik, bütünlük ve kullanılabilirlik ilkeleridir.

  • Gizlilik , hassas bilgilere yalnızca yetkili kişilerin erişebilmesini sağlar. Bu ilke, verileri yetkisiz erişimden korumaya yönelik şifreleme ve erişim denetimleri gibi ölçüleri içerir.

  • Bütünlük , verilerin doğruluğunu ve eksiksizliğini korur. Bu ilke, verilerin yetkisiz kullanıcılar tarafından yapılan değişikliklere veya kurcalamalara karşı korunması anlamına gelir ve bu da bilgilerin güvenilir kalmasını sağlar.

  • Kullanılabilirlik , bilgi ve kaynakların gerektiğinde yetkili kullanıcılar tarafından erişilebilir olmasını sağlar. Bu görev, kapalı kalma süresini önlemek ve verilere sürekli erişim sağlamak için sistemlerin ve ağların bakımını içerir.

İş teknolojinizin güvenilir ve güvenli kalmasını sağlamak için CIA Triad'i benimseyin. İyi tanımlanmış, sıkı bir şekilde izlenen ve kanıtlanmış uygulamalar aracılığıyla operasyonlarınızda güvenilirliği ve güvenliği zorunlu kılmak için bunu kullanın. Triad ilkelerinin güvenlik ve güvenilirlik sağlamaya yardımcı olabileceği bazı yollar şunlardır:

  • Veri koruma: Gizlilik ve düzenlemelere uyum sağlayan CIA Triad'dan yararlanarak hassas verileri ihlallerden koruyun.

  • İş sürekliliği: İş operasyonlarını sürdürmek ve kapalı kalma süresini önlemek için veri bütünlüğünü ve kullanılabilirliğini sağlayın.

  • Müşteri güveni: Veri güvenliği taahhüdünü göstererek müşteriler ve paydaşlarla güven oluşturmak için CIA Triad'i uygulayın.

Metodolojiye uygun her makale, CIA Triad ilkeleri için öneriler sağlar. Bu yaklaşım gizlilik, bütünlük ve kullanılabilirlik konularını ele almanızı sağlar. Bu kılavuz, bulut benimseme yolculuğunuzun her aşamasında bu yönleri ayrıntılı olarak değerlendirmenize yardımcı olur.

Güvenlik duruşu sürekliliği

Siber tehditler sürekli geliştiği ve daha karmaşık hale geldiği için bulutta sağlam bir güvenlik duruşu sağlamak için sürekli iyileştirme çok önemlidir. Sürekli değişen bu risklere karşı koruma sağlamak için sürekli iyileştirmeler gerçekleştirin. Bu bölümlerdeki yönergeler, sürekli iyileştirme fırsatlarını belirleyerek kuruluşunuzu uzun vadeli başarı için ayarlamanıza yardımcı olabilir. Bulut ortamınızı zaman içinde oluşturup geliştirdikçe bu stratejilere odaklanın.

Bulut güvenliği denetim listesi

Her bulut güvenliği adımına yönelik tüm görevleri görmek için bulut güvenliği denetim listesini kullanın. İhtiyacınız olan rehberliğe hızla gidin.

  Bulut güvenliği adımı Bulut güvenliği görevleri
Güvenlik ekiplerini ve rollerini anlama. Bulut hizmeti sağlayıcısının rolünü anlama.
Altyapı ve Platform ekiplerinin rollerini anlama.
Güvenlik mimarisi, mühendislik, duruş yönetimi ekiplerinin rollerini anlama.
Güvenlik İşlemleri (SecOps ve SOC) ekiplerinin rollerini anlama.
Güvenlik İdaresi, Risk ve Uyumluluk (GRC) ekiplerinin rollerini anlama.
Güvenlik eğitimi ve ilkesi hakkında bilgi edinin.
Güvenliği bulut benimseme stratejinizle tümleştirin. Güvenlik duruşu modernleştirme stratejisi.
Olay hazırlığı ve yanıt stratejisi.
Gizlilik stratejisi.
Bütünlük stratejisi.
Kullanılabilirlik stratejisi.
Güvenlik duruşu sürdürülebilirlik stratejisi
Güvenli bir bulut benimseme planı. Giriş bölgesi benimsemeyi planlayın.
Güvenlik duruşu modernleştirme planlaması.
Olay hazırlığı ve yanıt planlaması.
Gizlilik planlaması.
Bütünlük planlaması
Kullanılabilirlik planlaması
Güvenlik duruşu sürdürülebilirliği planlaması
Güvenli bulut varlığınızı hazırlayın. Güvenlik duruşu modernizasyonu için hazır.
Olay hazırlığı ve yanıtı için hazır.
Gizlilik için hazır.
Bütünlük için hazır.
Kullanılabilirlik için hazır
Güvenlik duruşu sürdürülebilirliği için hazır
Bulut benimsemenizi güvenli bir şekilde gerçekleştirin. Güvenlik duruşu modernleştirme benimsemesi.
Olay hazırlığı ve yanıtı benimseyin.
Gizliliği benimseyin.
Bütünlüğü benimseyin.
Kullanılabilirliği benimseyin.
Güvenlik duruşu sürdürülebilirliğini benimseme
Bulut varlığınızı güvenli bir şekilde idare edin. Güvenlik duruşu modernleştirmesi.
Olay hazırlığı ve yanıt idaresi
Gizlilik idaresi.
Bütünlük idaresi.
Kullanılabilirlik idaresi.
Güvenlik idaresini sürdürme
Bulut varlığınızı güvenli bir şekilde yönetin. Güvenlik duruşu modernleştirmesi.
Olay hazırlığını ve yanıtlarını yönetme
Gizliliği yönetme.
Bütünlüğü yönetme.
Kullanılabilirliği yönetme.
Güvenlik sürdürülebilirliğini yönetme

Sonraki adım

Güvenlik ekipleri, roller ve işlevler