Azure Stack HCI güvenlik konuları

Şunlar için geçerlidir: Azure Stack HCI, sürüm 21H2 ve 20H2; Windows Server 2022, Windows Server 2019

Bu konu, Azure Stack HCI işletim sistemiyle ilgili güvenlik konuları ve önerileri sağlar:

  • 1. Bölüm, işletim sistemini sağlamlaştırmaya ve kuruluşunuz için güvenli bir temel oluşturmak üzere verileri ve kimlikleri korumaya yönelik temel güvenlik araçlarını ve teknolojilerini kapsar.
  • 2. Bölüm, Azure Güvenlik Merkezi aracılığıyla sağlanan kaynakları kapsar.
  • 3. bölüm, kuruluşunuzun bu alanlardaki güvenlik duruşunu daha da güçlendirmek için daha gelişmiş güvenlik konularını kapsar.

Güvenlikle ilgili dikkat edilmesi gereken noktalar neden önemlidir?

Güvenlik, üst düzey yönetimden bilgi çalışanına kadar kuruluşunuzdaki herkesi etkiler. Güvenlik ihlali tüm normal işleri kesintiye uğratabileceği ve kuruluşunuzun durmasına neden olabileceğinden, yetersiz güvenlik kuruluşlar için gerçek bir risktir. Olası bir saldırıyı ne kadar erken algılayabilirseniz, güvenlik güvenliğinin tehlikeye girdiğini de o kadar hızlı azaltabilirsiniz.

Bir ortamın zayıf noktalarını araştırıp bunlardan yararlandıktan sonra, saldırgan genellikle ilk güvenliğin aşılmasından sonraki 24-48 saat içinde ağdaki sistemlerin denetimini ele geçirme ayrıcalıklarını yükseltebilir. İyi güvenlik önlemleri ortamdaki sistemleri güçlendirerek saldırganın hareketlerini engelleyerek bir saldırganın saatlerden haftalara ve hatta aylara kadar denetimi alması için gereken süreyi uzatır. Bu konudaki güvenlik önerilerini uygulamak, kuruluşunuzu bu tür saldırıları mümkün olan en hızlı şekilde algılayıp yanıt verecek şekilde konumlandırabilir.

1. Bölüm: Güvenli bir temel oluşturma

Aşağıdaki bölümlerde, ortamınızda Azure Stack HCI işletim sistemini çalıştıran sunucular için güvenli bir temel oluşturmaya yönelik güvenlik araçları ve teknolojileri önerilir.

Ortamı sağlamlaştırma

Bu bölümde, işletim sisteminde çalışan hizmetlerin ve sanal makinelerin (VM) nasıl korunacakları açıklanır:

  • Azure Stack HCI sertifikalı donanım , kullanıma sunulan tutarlı Güvenli Önyükleme, UEFI ve TPM ayarları sağlar. Sanallaştırma tabanlı güvenlik ve sertifikalı donanımların birleştirilmesi, güvenliğe duyarlı iş yüklerinin korunmasına yardımcı olur. Ayrıca, hızla değişen iş yüklerini ve tehditleri hesaba eklemek üzere davranış analizini ve raporlamayı etkinleştirmek için bu güvenilen altyapıyı Azure Güvenlik Merkezi bağlayabilirsiniz.

    • Güvenli önyükleme , bir cihazın yalnızca Özgün Donanım Üreticisi (OEM) tarafından güvenilen yazılım kullanılarak önyüklenmesini sağlamaya yardımcı olmak için bilgisayar sektörü tarafından geliştirilen bir güvenlik standardıdır. Daha fazla bilgi edinmek için bkz . Güvenli önyükleme.
    • Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI), sunucunun önyükleme işlemini denetler ve denetimi Windows veya başka bir işletim sistemine geçirir. Daha fazla bilgi edinmek için bkz. UEFI üretici yazılımı gereksinimleri.
    • Güvenilir Platform Modülü (TPM) teknolojisi donanım tabanlı, güvenlikle ilgili işlevler sağlar. TPM yongası, şifreleme anahtarlarının kullanımını oluşturan, depolayan ve sınırlayan güvenli bir şifreleme işlemcisidir. Daha fazla bilgi edinmek için bkz . Güvenilir Platform Modülü Teknolojisine Genel Bakış.

    Azure Stack HCI sertifikalı donanım sağlayıcıları hakkında daha fazla bilgi edinmek için Bkz. Azure Stack HCI çözümleri web sitesi.

  • Güvenlik aracı, güvenlik yönetimini ve denetimini kolaylaştırmak için hem tek sunucu hem de Azure Stack HCI kümeleri için Windows Admin Center yerel olarak kullanılabilir. Araç, sunucuların ve kümelerin güvenli çekirdek durumunu görüntüleme özelliği de dahil olmak üzere bazı temel güvenlik ayarlarını merkezileştirir.

    Daha fazla bilgi edinmek için bkz . Güvenli çekirdek sunucu.

  • Device Guard ve Credential Guard. Device Guard, gizli bilgileri yakalamak veya sisteme zarar vermek için çekirdeğe erişim sağlayan bilinen imza, imzalanmamış kod ve kötü amaçlı yazılım içermeyen kötü amaçlı yazılımlara karşı koruma sağlar. Windows Defender Credential Guard, gizli dizileri yalnızca ayrıcalıklı sistem yazılımlarının erişebileceği şekilde yalıtmak için sanallaştırma tabanlı güvenlik kullanır.

    Daha fazla bilgi edinmek için bkz. Windows Defender Credential Guard yönetme ve Device Guard ve Credential Guard donanım hazırlığı aracını indirme.

  • Windows ve üretici yazılımı güncelleştirmeleri, hem işletim sisteminin hem de sistem donanımının saldırganlardan korunmasına yardımcı olmak için kümeler, sunucular (konuk VM'ler dahil) ve bilgisayarlar için önemlidir. Güncelleştirmeleri tek tek sistemlere uygulamak için Windows Admin Center Güncelleştirmeler aracını kullanabilirsiniz. Donanım sağlayıcınız sürücü, üretici yazılımı ve çözüm güncelleştirmelerini almak için Windows Admin Center destek içeriyorsa, bu güncelleştirmeleri Windows güncelleştirmeler ile aynı anda alabilir, aksi takdirde doğrudan satıcınızdan alabilirsiniz.

    Daha fazla bilgi için bkz. Kümeyi güncelleştirme.

    Aynı anda birden çok küme ve sunucudaki güncelleştirmeleri yönetmek için, Windows Admin Center ile tümleşik isteğe bağlı Azure Güncelleştirme Yönetimi hizmetine abone olun. Daha fazla bilgi için bkz. Windows Admin Center kullanarak Azure Güncelleştirme Yönetimi.

Veri koruma

Bu bölümde, işletim sistemindeki verileri ve iş yüklerini korumak için Windows Admin Center nasıl kullanılacağı açıklanır:

  • Depolama Alanları için BitLocker bekleyen verileri korur. İşletim sistemindeki Depolama Alanları veri birimlerinin içeriğini şifrelemek için BitLocker kullanabilirsiniz. Verileri korumak için BitLocker kullanmak, kuruluşların FIPS 140-2 ve HIPAA gibi kamu, bölgesel ve sektöre özgü standartlarla uyumlu kalmasına yardımcı olabilir.

    Windows Admin Center'de BitLocker kullanma hakkında daha fazla bilgi edinmek için bkz. Birim şifrelemesini, yinelenenleri kaldırmayı ve sıkıştırmayı etkinleştirme

  • Windows ağı için SMB şifrelemesi aktarımdaki verileri korur. Sunucu İleti Bloğu (SMB), bir bilgisayardaki uygulamaların dosyaları okuyup yazmasına ve bir bilgisayar ağındaki sunucu programlarından hizmet istemesine olanak tanıyan bir ağ dosya paylaşım protokolüdür.

    SMB şifrelemesini etkinleştirmek için bkz. SMB güvenlik geliştirmeleri.

  • Windows Admin Center'daki Windows Defender Virüsten Koruma, istemci ve sunuculardaki işletim sistemini virüslere, kötü amaçlı yazılımlara, casus yazılımlara ve diğer tehditlere karşı korur. Daha fazla bilgi edinmek için bkz. Windows Server 2016 ve 2019'da Microsoft Defender Virüsten Koruma.

Kimlikleri koruma

Bu bölümde ayrıcalıklı kimlikleri korumak için Windows Admin Center nasıl kullanılacağı açıklanır:

  • Erişim denetimi , yönetim ortamınızın güvenliğini artırabilir. Windows Admin Center sunucusu kullanıyorsanız (Windows 10 bilgisayarda çalışan sunucuya karşı), Windows Admin Center iki erişim düzeyini denetleyebilirsiniz: ağ geçidi kullanıcıları ve ağ geçidi yöneticileri. Ağ geçidi yöneticisi kimlik sağlayıcısı seçenekleri şunlardır:

    • Akıllı kart kimlik doğrulamasını zorunlu kılmak için Active Directory veya yerel makine grupları.
    • Koşullu erişimi ve çok faktörlü kimlik doğrulamasını zorunlu kılmak için Azure Active Directory.

    Daha fazla bilgi edinmek için bkz. Windows Admin Center ile kullanıcı erişimi seçenekleri ve Kullanıcı Access Control ve İzinleri Yapılandırma.

  • Windows Admin Center'a gelen tarayıcı trafiği HTTPS kullanır. Windows Admin Center'dan yönetilen sunuculara gelen trafik, Windows Uzaktan Yönetim (WinRM) üzerinden standart PowerShell ve Windows Yönetim Araçları'na (WMI) sahiptir. Windows Admin Center, yerel yönetici parola çözümünü (LAPS), kaynak tabanlı kısıtlanmış temsili, Active Directory (AD) veya Microsoft Azure Active Directory (Azure AD) kullanarak ağ geçidi erişim denetimini ve yönetmek için rol tabanlı erişim denetimini (RBAC) destekler ağ geçidini Windows Admin Center.

    Windows Admin Center, Windows 10'da Microsoft Edge (Windows 10, sürüm 1709 veya üzeri), Google Chrome ve Microsoft Edge Insider'ı destekler. Windows Admin Center bir Windows 10 bilgisayara veya Windows sunucusuna yükleyebilirsiniz.

    bir sunucuya Windows Admin Center yüklerseniz, konak sunucuda kullanıcı arabirimi olmadan ağ geçidi olarak çalışır. Bu senaryoda yöneticiler, konakta otomatik olarak imzalanan bir güvenlik sertifikasıyla güvenliği sağlanan bir HTTPS oturumu aracılığıyla sunucuda oturum açabilir. Ancak, desteklenen tarayıcılar otomatik olarak imzalanan bir bağlantıyı güvenilir bir VPN üzerinden yerel IP adresine olsa bile güvenli olmayan olarak değerlendirdiğinden, oturum açma işlemi için güvenilir bir sertifika yetkilisinden uygun bir SSL sertifikası kullanmak daha iyidir.

    Kuruluşunuza yönelik yükleme seçenekleri hakkında daha fazla bilgi edinmek için bkz . Size uygun yükleme türü nedir?.

  • CredSSP, Windows Admin Center kimlik bilgilerini yönetmek istediğiniz sunucunun ötesindeki makinelere geçirmek için birkaç durumda kullanan bir kimlik doğrulama sağlayıcısıdır. Windows Admin Center şu anda CredSSP'nin şu şekilde olmasını gerektirir:

    • Yeni bir küme oluşturun.
    • Yük Devretme kümelemesi veya Cluster-Aware Güncelleştirme özelliklerini kullanmak için Güncelleştirmeler aracına erişin.
    • VM'lerde ayrılmış SMB depolama alanını yönetme.

    Daha fazla bilgi edinmek için bkz. Windows Admin Center CredSSP kullanıyor mu?

  • Windows Admin Center kimlikleri yönetmek ve korumak için kullanabileceğiniz güvenlik araçları Active Directory, Sertifikalar, Güvenlik Duvarı, Yerel Kullanıcılar ve Gruplar ve daha fazlasıdır.

    Daha fazla bilgi edinmek için bkz. Windows Admin Center ile Sunucuları Yönetme.

Bölüm 2: Azure Güvenlik Merkezi kullanma

Azure Güvenlik Merkezi, veri merkezlerinizin güvenlik duruşunu güçlendiren ve buluttaki ve şirket içindeki hibrit iş yükleriniz genelinde gelişmiş tehdit koruması sağlayan birleşik bir altyapı güvenlik yönetim sistemidir. Güvenlik Merkezi ağınızın güvenlik durumunu değerlendirmek, iş yüklerini korumak, güvenlik uyarıları oluşturmak ve saldırıları düzeltmek ve gelecekteki tehditleri gidermek için belirli önerileri takip etmek için araçlar sağlar. Güvenlik Merkezi, Azure hizmetleriyle otomatik sağlama ve koruma aracılığıyla dağıtım yükü olmadan tüm bu hizmetleri bulutta yüksek hızda gerçekleştirir.

Güvenlik Merkezi, bu kaynaklara Log Analytics aracısını yükleyerek hem Windows sunucuları hem de Linux sunucuları için VM'leri korur. Azure, aracıların topladığı olayları, iş yüklerinizi güvenli hale getirmek için gerçekleştirdiğiniz önerilerle (sağlamlaştırma görevleri) ilişkilendirir. En iyi güvenlik uygulamalarına dayalı sağlamlaştırma görevleri, güvenlik ilkelerini yönetmeyi ve zorunlu kılmayı içerir. Ardından Güvenlik Merkezi izlemesi aracılığıyla sonuçları izleyebilir, uyumluluk ve idareyi yönetebilir ve tüm kaynaklarınızın saldırı yüzeyini azaltabilirsiniz.

Azure kaynaklarınıza ve aboneliklerinize kimlerin erişebileceğini yönetmek, Azure yönetim stratejinizin önemli bir parçasını oluşturur. Azure RBAC, Azure'da erişimi yönetmenin birincil yöntemidir. Daha fazla bilgi edinmek için bkz. Rol tabanlı erişim denetimiyle Azure ortamınıza erişimi yönetme.

Windows Admin Center aracılığıyla Güvenlik Merkezi ile çalışmak için Azure aboneliği gerekir. Başlamak için bkz. Azure Güvenlik Merkezi Windows Admin Center ile tümleştirme.

Kaydettikten sonra, Windows Admin Center'de Güvenlik Merkezi'ne erişin: Tüm Bağlantılar sayfasında, bir sunucu veya VM seçin, Araçlar'ın altında Azure Güvenlik Merkezi'ı ve ardından Azure'da oturum aç'ı seçin.

Daha fazla bilgi edinmek için bkz. Azure Güvenlik Merkezi nedir?

Bölüm 3: Gelişmiş güvenlik ekleme

Aşağıdaki bölümlerde, ortamınızda Azure Stack HCI işletim sistemini çalıştıran sunucuları daha da sağlamlaştırmak için gelişmiş güvenlik araçları ve teknolojileri önerilir.

Ortamı sağlamlaştırma

  • Microsoft güvenlik temelleri , Microsoft'un ticari kuruluşlar ve Savunma Bakanlığı gibi ABD hükümetiyle ortaklık yoluyla edindiği güvenlik önerilerine dayanır. Güvenlik temelleri Windows Güvenlik Duvarı, Windows Defender ve diğerleri için önerilen güvenlik ayarlarını içerir.

    Güvenlik temelleri, Active Directory Domain Services (AD DS) içine aktarabileceğiniz ve ardından ortamı sağlamlaştırmak için etki alanına katılmış sunuculara dağıtabileceğiniz grup ilkesi Nesne (GPO) yedeklemeleri olarak sağlanır. Tek başına (etki alanına katılmamış) sunucuları güvenlik temelleri ile yapılandırmak için Yerel Betik araçlarını da kullanabilirsiniz. Güvenlik temellerini kullanmaya başlamak için Microsoft Güvenlik Uyumluluğu Araç Seti 1.0'ı indirin.

    Daha fazla bilgi edinmek için bkz. Microsoft Güvenlik Temelleri.

Veri koruma

  • Hyper-V ortamını sağlamlaştırmak, tıpkı fiziksel sunucuda çalışan işletim sistemini güçlendirdiğiniz gibi vm üzerinde çalışan Windows Sunucusunu sağlamlaştırmayı gerektirir. Sanal ortamlar genellikle aynı fiziksel konağı paylaşan birden çok VM'ye sahip olduğundan, hem fiziksel konağı hem de üzerinde çalışan VM'leri korumak zorunludur. Konağın güvenliğini ihlal eden bir saldırgan, birden çok VM'yi etkileyebilir ve iş yükleri ve hizmetler üzerinde daha fazla etkiye sahip olabilir. Bu bölümde, bir Hyper-V ortamında Windows Sunucusunu sağlamlaştırmak için kullanabileceğiniz aşağıdaki yöntemler açıklanmıştır:

    • Windows Sunucusu'ndaki Sanal Güvenilen Platform Modülü (vTPM), VM'lerde BitLocker gibi gelişmiş güvenlik teknolojilerini kullanmanıza olanak tanıyan VM'ler için TPM'yi destekler. Hyper-V Yöneticisi'ni veya Windows PowerShell cmdlet'ini kullanarak herhangi bir 2. Nesil Hyper-V VM'sinde Enable-VMTPM TPM desteğini etkinleştirebilirsiniz.

      Daha fazla bilgi edinmek için bkz . Enable-VMTPM.

    • Azure Stack HCI ve Windows Server'da Yazılım Tanımlı Ağ (SDN), altyapınızdaki yazılım yük dengeleyici, veri merkezi güvenlik duvarı, ağ geçitleri ve sanal anahtarlar gibi sanal ağ cihazlarını merkezi olarak yapılandırıp yönetir. Hyper-V Sanal Anahtarı, Hyper-V Ağ Sanallaştırma ve RAS Ağ Geçidi gibi sanal ağ öğeleri, SDN altyapınızın ayrılmaz öğeleri olacak şekilde tasarlanmıştır.

      Daha fazla bilgi edinmek için bkz. Yazılım Tanımlı Ağ (SDN).

      Not

      Korumalı VM'ler Azure Stack HCI'de desteklenmez.

Kimlikleri koruma

  • Yerel Yönetici Parola Çözümü (LAPS), active directory etki alanına katılmış sistemler için her bilgisayarın yerel yönetici hesabı parolasını düzenli aralıklarla yeni rastgele ve benzersiz bir değere ayarlayan basit bir mekanizmadır. Parolalar, Active Directory'deki ilgili bilgisayar nesnesinde güvenli bir gizli öznitelikte depolanır ve burada yalnızca özel olarak yetkili kullanıcılar bunları alabilir. LAPS, etki alanı hesaplarını kullanmaya göre bazı avantajlar sunan bir şekilde uzak bilgisayar yönetimi için yerel hesapları kullanır. Daha fazla bilgi edinmek için bkz . Yerel Hesapların Uzaktan Kullanımı: LAPS Her Şeyi Değiştirir.

    LAPS'yi kullanmaya başlamak için Yerel Yönetici Parola Çözümü'ni (LAPS) indirin.

  • Microsoft Advanced Threat Analytics (ATA), ayrıcalıklı kimliklerin güvenliğini aşmaya çalışan saldırganları algılamaya yardımcı olmak için kullanabileceğiniz bir şirket içi üründür. ATA, kerberos ve DNS gibi kimlik doğrulaması, yetkilendirme ve bilgi toplama protokolleri için ağ trafiğini ayrıştırıyor. ATA, anomalileri ve bilinen saldırı düzenlerini algılamak üzere ağ üzerindeki kullanıcıların ve diğer varlıkların davranış profillerini oluşturmak için verileri kullanır.

    Daha fazla bilgi edinmek için bkz. Advanced Threat Analytics nedir?.

  • Windows Defender Remote Credential Guard, Kerberos isteklerini bağlantıyı isteyen cihaza geri yönlendirerek Uzak Masaüstü bağlantısı üzerinden kimlik bilgilerini korur. Ayrıca Uzak Masaüstü oturumları için çoklu oturum açma (SSO) sağlar. Uzak Masaüstü oturumu sırasında, hedef cihazın güvenliği aşılırsa, hem kimlik bilgileri hem de kimlik bilgisi türevleri hiçbir zaman ağ üzerinden hedef cihaza geçirilmediğinden kimlik bilgileriniz açığa çıkarılmaz.

    Daha fazla bilgi için bkz. Windows Defender Credential Guard yönetme.

Sonraki adımlar

Güvenlik ve mevzuat uyumluluğu hakkında daha fazla bilgi için ayrıca bkz: