Azure Stack HCI güvenlik konuları

  • Makale

Şunlar için geçerlidir: Azure Stack HCI, sürüm 22H2 ve 21H2; Windows Server 2022, Windows Server 2019

Bu konu, Azure Stack HCI işletim sistemiyle ilgili güvenlik konuları ve önerileri sağlar:

  • 1. Bölüm, işletim sistemini sağlamlaştırmaya ve kuruluşunuz için güvenli bir temel oluşturmak üzere verileri ve kimlikleri korumaya yönelik temel güvenlik araçlarını ve teknolojilerini kapsar.
  • 2. Bölüm, Bulut için Microsoft Defender aracılığıyla sağlanan kaynakları kapsar. Bkz. Buluta Giriş için Microsoft Defender.
  • 3. bölüm, kuruluşunuzun bu alanlardaki güvenlik duruşunu daha da güçlendirmek için daha gelişmiş güvenlik konularını kapsar.

Güvenlikle ilgili dikkat edilmesi gereken noktalar neden önemlidir?

Güvenlik, üst düzey yönetimden bilgi çalışanına kadar kuruluşunuzdaki herkesi etkiler. Güvenlik ihlali tüm normal işleri kesintiye uğratabileceği ve kuruluşunuzun durmasına neden olabileceğinden, yetersiz güvenlik kuruluşlar için gerçek bir risktir. Olası bir saldırıyı ne kadar erken algılayabilirseniz, güvenlik güvenliğinin tehlikeye girdiğini de o kadar hızlı azaltabilirsiniz.

Bir ortamın zayıf noktalarını araştırıp bunlardan yararlandıktan sonra, saldırgan genellikle ilk güvenliğin aşılmasından sonraki 24-48 saat içinde ağdaki sistemlerin denetimini ele geçirme ayrıcalıklarını yükseltebilir. İyi güvenlik önlemleri ortamdaki sistemleri güçlendirerek saldırganın hareketlerini engelleyerek bir saldırganın saatlerden haftalara ve hatta aylara kadar denetimi alması için gereken süreyi uzatır. Bu konudaki güvenlik önerilerini uygulamak, kuruluşunuzu bu tür saldırıları mümkün olan en hızlı şekilde algılayıp yanıt verecek şekilde konumlandırabilir.

1. Bölüm: Güvenli bir temel oluşturma

Aşağıdaki bölümlerde, ortamınızda Azure Stack HCI işletim sistemini çalıştıran sunucular için güvenli bir temel oluşturmaya yönelik güvenlik araçları ve teknolojileri önerilir.

Ortamı sağlamlaştırma

Bu bölümde, işletim sisteminde çalışan hizmetlerin ve sanal makinelerin (VM) nasıl korunacakları açıklanır:

  • Azure Stack HCI sertifikalı donanım , kullanıma sunulan tutarlı Güvenli Önyükleme, UEFI ve TPM ayarları sağlar. Sanallaştırma tabanlı güvenlik ve sertifikalı donanımların birleştirilmesi, güvenliğe duyarlı iş yüklerinin korunmasına yardımcı olur. Ayrıca, hızla değişen iş yüklerini ve tehditleri hesaba eklemek üzere davranış analizini ve raporlamayı etkinleştirmek için bu güvenilir altyapıyı Bulut için Microsoft Defender bağlayabilirsiniz.

    • Güvenli önyükleme , bir cihazın yalnızca Özgün Donanım Üreticisi (OEM) tarafından güvenilen yazılım kullanılarak önyüklenmesini sağlamaya yardımcı olmak için bilgisayar sektörü tarafından geliştirilen bir güvenlik standardıdır. Daha fazla bilgi edinmek için bkz . Güvenli önyükleme.
    • Birleşik Genişletilebilir Bellenim Arabirimi (UEFI), sunucunun önyükleme işlemini denetler ve ardından denetimi Windows'a veya başka bir işletim sistemine geçirir. Daha fazla bilgi edinmek için bkz. UEFI üretici yazılımı gereksinimleri.
    • Güvenilir Platform Modülü (TPM) teknolojisi donanım tabanlı, güvenlikle ilgili işlevler sağlar. TPM yongası, şifreleme anahtarlarının kullanımını oluşturan, depolayan ve sınırlayan güvenli bir şifreleme işlemcisidir. Daha fazla bilgi edinmek için bkz . Güvenilir Platform Modülü Teknolojisine Genel Bakış.

    Azure Stack HCI sertifikalı donanım sağlayıcıları hakkında daha fazla bilgi edinmek için Bkz. Azure Stack HCI çözümleri web sitesi.

  • Güvenlik aracı, güvenlik yönetimini ve denetimini kolaylaştırmak için hem tek sunucu hem de Azure Stack HCI kümeleri için Windows Admin Center yerel olarak kullanılabilir. Araç, sunucuların ve kümelerin güvenli çekirdek durumunu görüntüleme özelliği de dahil olmak üzere bazı temel güvenlik ayarlarını merkezileştirir.

    Daha fazla bilgi edinmek için bkz . Güvenli çekirdek sunucu.

  • Device Guard ve Credential Guard. Device Guard, gizli bilgileri yakalamak veya sisteme zarar vermek için çekirdeğe erişim sağlayan bilinen imza, imzalanmamış kod ve kötü amaçlı yazılım içermeyen kötü amaçlı yazılımlara karşı koruma sağlar. Windows Defender Credential Guard, gizli dizileri yalnızca ayrıcalıklı sistem yazılımlarının erişebilmesi için yalıtmak için sanallaştırma tabanlı güvenlik kullanır.

    Daha fazla bilgi edinmek için bkz. Credential Guard Windows Defender yönetme ve Device Guard ve Credential Guard donanım hazırlığı aracını indirme.

  • Windows ve üretici yazılımı güncelleştirmeleri, hem işletim sisteminin hem de sistem donanımının saldırganlardan korunmasına yardımcı olmak için kümeler, sunucular (konuk VM'ler dahil) ve bilgisayarlar için önemlidir. Güncelleştirmeleri tek tek sistemlere uygulamak için Windows Admin Center Güncelleştirmeler aracını kullanabilirsiniz. Donanım sağlayıcınız sürücü, üretici yazılımı ve çözüm güncelleştirmelerini almak için Windows Admin Center destek içeriyorsa, bu güncelleştirmeleri Windows güncelleştirmeleri ile aynı anda alabilirsiniz; aksi takdirde, bunları doğrudan satıcınızdan alabilirsiniz.

    Daha fazla bilgi için bkz. Kümeyi güncelleştirme.

    Aynı anda birden çok küme ve sunucudaki güncelleştirmeleri yönetmek için, Windows Admin Center ile tümleşik isteğe bağlı Azure Güncelleştirme Yönetimi hizmetine abone olun. Daha fazla bilgi için bkz. Windows Admin Center kullanarak Azure Güncelleştirme Yönetimi.

Veri koruma

Bu bölümde, işletim sistemindeki verileri ve iş yüklerini korumak için Windows Admin Center nasıl kullanılacağı açıklanır:

  • Depolama Alanları için BitLocker bekleyen verileri korur. İşletim sistemindeki Depolama Alanları veri birimlerinin içeriğini şifrelemek için BitLocker kullanabilirsiniz. Verileri korumak için BitLocker kullanmak, kuruluşların FIPS 140-2 ve HIPAA gibi kamu, bölgesel ve sektöre özgü standartlarla uyumlu kalmasına yardımcı olabilir.

    Windows Admin Center'de BitLocker kullanma hakkında daha fazla bilgi edinmek için bkz. Birim şifrelemesini, yinelenenleri kaldırmayı ve sıkıştırmayı etkinleştirme

  • Windows ağı için SMB şifrelemesi aktarımdaki verileri korur. Sunucu İleti Bloğu (SMB), bir bilgisayardaki uygulamaların dosyaları okuyup yazmasına ve bir bilgisayar ağındaki sunucu programlarından hizmet istemesine olanak tanıyan bir ağ dosya paylaşım protokolüdür.

    SMB şifrelemesini etkinleştirmek için bkz. SMB güvenlik geliştirmeleri.

  • Windows Defender Virüsten Koruma, istemcilerdeki ve sunuculardaki işletim sistemini virüslere, kötü amaçlı yazılımlara, casus yazılımlara ve diğer tehditlere karşı korur. Daha fazla bilgi için bkz. Microsoft Defender Windows Server'da Virüsten Koruma.

Kimlikleri koruma

Bu bölümde ayrıcalıklı kimlikleri korumak için Windows Admin Center nasıl kullanılacağı açıklanır:

  • Erişim denetimi , yönetim ortamınızın güvenliğini artırabilir. Windows Admin Center sunucusu kullanıyorsanız (Windows 10 bilgisayarda çalışan sunucuya karşı), Windows Admin Center iki erişim düzeyini denetleyebilirsiniz: ağ geçidi kullanıcıları ve ağ geçidi yöneticileri. Ağ geçidi yöneticisi kimlik sağlayıcısı seçenekleri şunlardır:

    • Akıllı kart kimlik doğrulamasını zorunlu kılmak için Active Directory veya yerel makine grupları.
    • Koşullu erişimi ve çok faktörlü kimlik doğrulamasını zorunlu kılmak için kimlik Microsoft Entra.

    Daha fazla bilgi edinmek için bkz. Windows Admin Center ile kullanıcı erişimi seçenekleri ve Kullanıcı Access Control ve İzinleri Yapılandırma.

  • Windows Admin Center'a gelen tarayıcı trafiği HTTPS kullanır. Windows Admin Center'dan yönetilen sunuculara gelen trafik, Windows Uzaktan Yönetimi (WinRM) üzerinden standart PowerShell ve Windows Yönetim Araçları'ndan (WMI) kullanılır. Windows Admin Center, Yerel Yönetici Parolası Çözümünü (LAPS), kaynak tabanlı kısıtlanmış temsili, Active Directory (AD) veya Microsoft Entra kimliğini kullanarak ağ geçidi erişim denetimini ve Windows Admin Center ağ geçidini yönetmek için rol tabanlı erişim denetimini (RBAC) destekler.

    Windows Admin Center, Windows 10 üzerinde Microsoft Edge (Windows 10, sürüm 1709 veya üzeri), Google Chrome ve Microsoft Edge Insider'ı destekler. Windows 10 bilgisayara veya Windows sunucusuna Windows Admin Center yükleyebilirsiniz.

    Windows Admin Center bir sunucuya yüklerseniz, konak sunucusunda kullanıcı arabirimi olmadan ağ geçidi olarak çalışır. Bu senaryoda yöneticiler, konakta otomatik olarak imzalanan bir güvenlik sertifikasıyla güvenliği sağlanan bir HTTPS oturumu aracılığıyla sunucuda oturum açabilir. Ancak, desteklenen tarayıcılar otomatik olarak imzalanan bir bağlantıyı güvenilir bir VPN üzerinden yerel IP adresine olsa bile güvenli olmayan olarak değerlendirdiğinden, oturum açma işlemi için güvenilir bir sertifika yetkilisinden uygun bir SSL sertifikası kullanmak daha iyidir.

    Kuruluşunuza yönelik yükleme seçenekleri hakkında daha fazla bilgi edinmek için bkz . Size uygun yükleme türü nedir?.

  • CredSSP, Windows Admin Center kimlik bilgilerini yönetmek istediğiniz sunucunun ötesindeki makinelere geçirmek için birkaç durumda kullanan bir kimlik doğrulama sağlayıcısıdır. Windows Admin Center şu anda CredSSP'nin şu şekilde olmasını gerektirir:

    • Yeni bir küme oluşturun.
    • Yük Devretme kümelemesi veya Cluster-Aware Güncelleştirme özelliklerini kullanmak için Güncelleştirmeler aracına erişin.
    • VM'lerde ayrılmış SMB depolama alanını yönetme.

    Daha fazla bilgi edinmek için bkz. Windows Admin Center CredSSP kullanıyor mu?

  • Windows Admin Center kimlikleri yönetmek ve korumak için kullanabileceğiniz güvenlik araçları Active Directory, Sertifikalar, Güvenlik Duvarı, Yerel Kullanıcılar ve Gruplar ve daha fazlasıdır.

    Daha fazla bilgi edinmek için bkz. Windows Admin Center ile Sunucuları Yönetme.

Bölüm 2: Bulut için Microsoft Defender kullanma (MDC)

Bulut için Microsoft Defender, veri merkezlerinizin güvenlik duruşunu güçlendiren ve buluttaki ve şirket içindeki hibrit iş yükleriniz genelinde gelişmiş tehdit koruması sağlayan birleşik bir altyapı güvenlik yönetim sistemidir. Bulut için Defender ağınızın güvenlik durumunu değerlendirmenize, iş yüklerini korumanıza, güvenlik uyarıları oluşturmanıza ve saldırıları düzeltmek ve gelecekteki tehditleri gidermek için belirli önerileri izlemenize yönelik araçlar sağlar. Bulut için Defender, Azure hizmetleriyle otomatik sağlama ve koruma aracılığıyla dağıtım yükü olmadan bu hizmetlerin tümünü bulutta yüksek hızda gerçekleştirir.

Bulut için Defender, bu kaynaklara Log Analytics aracısını yükleyerek hem Windows sunucuları hem de Linux sunucuları için VM'leri korur. Azure, aracıların topladığı olayları, iş yüklerinizi güvenli hale getirmek için gerçekleştirdiğiniz önerilerle (sağlamlaştırma görevleri) ilişkilendirir. En iyi güvenlik uygulamalarına dayalı sağlamlaştırma görevleri, güvenlik ilkelerini yönetmeyi ve zorunlu kılmayı içerir. Ardından Bulut için Defender izleme aracılığıyla sonuçları izleyebilir ve zaman içinde uyumluluk ve idareyi yönetebilir ve tüm kaynaklarınızın saldırı yüzeyini azaltabilirsiniz.

Azure kaynaklarınıza ve aboneliklerinize kimlerin erişebileceğini yönetmek, Azure yönetim stratejinizin önemli bir parçasını oluşturur. Azure RBAC, Azure'da erişimi yönetmenin birincil yöntemidir. Daha fazla bilgi edinmek için bkz. Rol tabanlı erişim denetimiyle Azure ortamınıza erişimi yönetme.

Windows Admin Center aracılığıyla Bulut için Defender ile çalışmak için Azure aboneliği gerekir. Başlamak için bkz. Bulut için Microsoft Defender ile Windows Admin Center Kaynaklarını Koruma. Başlamak için bkz. Sunucu Dağıtımı için Defender'ınızı planlama. Sunucular için Defender'ın (sunucu planları) lisanslaması için bkz. Sunucular için Defender Planı Seçme.

Kaydettikten sonra Windows Admin Center'de MDC'ye erişin: Tüm Bağlantılar sayfasında, bir sunucu veya VM seçin, Araçlar'ın altında Bulut için Microsoft Defender'ı seçin ve ardından Azure'da oturum aç'ı seçin.

Daha fazla bilgi için bkz. Bulut için Microsoft Defender nedir?.

Bölüm 3: Gelişmiş güvenlik ekleme

Aşağıdaki bölümlerde, ortamınızda Azure Stack HCI işletim sistemini çalıştıran sunucuları daha da sağlamlaştırmak için gelişmiş güvenlik araçları ve teknolojileri önerilir.

Ortamı sağlamlaştırma

  • Microsoft güvenlik temelleri , Microsoft'un ticari kuruluşlarla ve Savunma Bakanlığı gibi ABD hükümetiyle ortaklık yoluyla elde ettiği güvenlik önerilerine dayanır. Güvenlik temelleri Windows Güvenlik Duvarı, Windows Defender ve diğerleri için önerilen güvenlik ayarlarını içerir.

    Güvenlik temelleri, Active Directory Domain Services (AD DS) içine aktarabileceğiniz ve ardından ortamı sağlamlaştırmak için etki alanına katılmış sunuculara dağıtabileceğiniz grup ilkesi Nesne (GPO) yedeklemeleri olarak sağlanır. Güvenlik temelleri olan tek başına (etki alanına katılmamış) sunucuları yapılandırmak için Yerel Betik araçlarını da kullanabilirsiniz. Güvenlik temellerini kullanmaya başlamak için Microsoft Güvenlik Uyumluluğu Araç Seti 1.0'ı indirin.

    Daha fazla bilgi edinmek için bkz. Microsoft Güvenlik Temelleri.

Veri koruma

  • Hyper-V ortamını sağlamlaştırmak , aynı fiziksel sunucuda çalışan işletim sistemini sağlamlaştırdığınız gibi vm üzerinde çalışan Windows Server'ın sağlamlaştırmasını gerektirir. Sanal ortamlarda genellikle aynı fiziksel konağı paylaşan birden çok VM olduğundan, hem fiziksel konağı hem de üzerinde çalışan VM'leri korumak zorunludur. Konağın güvenliğini tehlikeye atan bir saldırgan, birden çok VM'yi etkileyebilir ve iş yükleri ve hizmetler üzerinde daha fazla etki oluşturabilir. Bu bölümde, Bir Hyper-V ortamında Windows Server'ı sağlamlaştırmak için kullanabileceğiniz aşağıdaki yöntemler açıklanmıştır:

    • Windows Server'daki Sanal Güvenilir Platform Modülü (vTPM), VM'lerde BitLocker gibi gelişmiş güvenlik teknolojilerini kullanmanıza olanak tanıyan VM'ler için TPM'yi destekler. Hyper-V Yöneticisi'ni veya Windows PowerShell cmdlet'ini kullanarak herhangi bir 2. Nesil Hyper-V VM'sinde Enable-VMTPM TPM desteğini etkinleştirebilirsiniz.

      Not

      vTPM'nin etkinleştirilmesi VM hareketliliğini etkiler: VM'nin başlangıçta vTPM'yi etkinleştirdiğiniz konaktan farklı bir Konakta başlatılmasına izin vermek için el ile eylemler gerekir.

      Daha fazla bilgi edinmek için bkz . Enable-VMTPM.

    • Azure Stack HCI ve Windows Server'da Yazılım Tanımlı Ağ (SDN), altyapınızdaki yazılım yük dengeleyici, veri merkezi güvenlik duvarı, ağ geçitleri ve sanal anahtarlar gibi sanal ağ cihazlarını merkezi olarak yapılandırıp yönetir. Hyper-V Sanal Anahtarı, Hyper-V Ağ Sanallaştırma ve RAS Ağ Geçidi gibi sanal ağ öğeleri, SDN altyapınızın ayrılmaz öğeleri olacak şekilde tasarlanmıştır.

      Daha fazla bilgi edinmek için bkz . Yazılım Tanımlı Ağ (SDN).

      Not

      Konak Koruyucu Hizmeti tarafından korunan korumalı VM'ler Azure Stack HCI'de desteklenmez.

Kimlikleri koruma

  • Yerel Yönetici Parola Çözümü (LAPS), her bilgisayarın yerel yönetici hesabı parolasını düzenli aralıklarla yeni bir rastgele ve benzersiz değere ayarlayan, Active Directory etki alanına katılmış sistemler için basit bir mekanizmadır. Parolalar, Active Directory'deki ilgili bilgisayar nesnesinde güvenli bir gizli öznitelikte depolanır ve burada yalnızca özel olarak yetkili kullanıcılar bunları alabilir. LAPS, uzak bilgisayar yönetimi için yerel hesapları etki alanı hesaplarını kullanmaya göre bazı avantajlar sağlayacak şekilde kullanır. Daha fazla bilgi edinmek için bkz . Yerel Hesapların Uzaktan Kullanımı: LAPS Her Şeyi Değiştirir.

    LAPS'yi kullanmaya başlamak için Yerel Yönetici Parola Çözümü'ne (LAPS) indirin.

  • Microsoft Advanced Threat Analytics (ATA), ayrıcalıklı kimliklerin güvenliğini aşmaya çalışan saldırganları algılamaya yardımcı olmak için kullanabileceğiniz bir şirket içi üründür. ATA kimlik doğrulaması, yetkilendirme ve Kerberos ve DNS gibi bilgi toplama protokolleri için ağ trafiğini ayrıştırıyor. ATA, anomalileri ve bilinen saldırı düzenlerini algılamak üzere ağdaki kullanıcıların ve diğer varlıkların davranış profillerini oluşturmak için verileri kullanır.

    Daha fazla bilgi edinmek için bkz. Advanced Threat Analytics nedir?

  • Windows Defender Remote Credential Guard, Kerberos isteklerini bağlantıyı isteyen cihaza yeniden yönlendirerek Uzak Masaüstü bağlantısı üzerinden kimlik bilgilerini korur. Ayrıca Uzak Masaüstü oturumları için çoklu oturum açma (SSO) sağlar. Uzak Masaüstü oturumu sırasında hedef cihazın güvenliği aşılırsa, hem kimlik bilgileri hem de kimlik bilgisi türevleri hiçbir zaman ağ üzerinden hedef cihaza geçirilmediğinden kimlik bilgileriniz açığa çıkarılmaz.

    Daha fazla bilgi için bkz. Windows Defender Credential Guard'ı yönetme.

  • kimlikler için Microsoft Defender, kullanıcı davranışını ve etkinliklerini izleyerek, saldırı yüzeyini azaltarak, karma bir ortamda Active Directory Federal Hizmeti'ni (AD FS) koruyarak ve siber saldırı sonlandırma zinciri genelinde şüpheli etkinlikleri ve gelişmiş saldırıları belirleyerek ayrıcalıklı kimlikleri korumanıza yardımcı olur.

    Daha fazla bilgi edinmek için bkz. Kimlik için Microsoft Defender nedir?.

Sonraki adımlar

Güvenlik ve mevzuat uyumluluğu hakkında daha fazla bilgi için bkz: