Aracılığıyla paylaş

Azure'da görev açısından kritik iş yükleri için güvenlikle ilgili dikkat edilmesi gerekenler

  • Makale

Güvenlik, temel tasarım ilkelerinden biridir ve aynı zamanda görev açısından kritik mimari sürecinde birinci sınıf bir konu olarak ele alınması gereken önemli bir tasarım alanıdır.

Görev açısından kritik bir tasarımın birincil odak noktasının güvenilirliği en üst düzeye çıkarmak olduğu ve böylece uygulamanın yüksek performanslı ve kullanılabilir olduğu düşünüldüğünde, bu tasarım alanında uygulanan güvenlik konuları ve önerileri, kullanılabilirliği etkileme ve genel güvenilirliği engelleme kapasitesiyle tehditleri azaltmaya odaklanacaktır. Örneğin, başarılı Hizmet Reddi (DDoS) saldırılarının kullanılabilirlik ve performans üzerinde yıkıcı bir etkisi olduğu bilinmektedir. Bir uygulamanın SlowLoris gibi saldırı vektörlerini nasıl azaltacağı genel güvenilirliği etkiler. Bu nedenle, uygulamanın doğası gereği gerçekten kritik olması için uygulama güvenilirliğini doğrudan veya dolaylı olarak tehlikeye atmayı amaçlayan tehditlere karşı tam olarak korunması gerekir.

Özellikle performans, operasyonel çeviklik ve bazı durumlarda güvenilirlik açısından sağlamlaştırılmış bir güvenlik duruşuyla ilişkili önemli dengelerin olduğunu da unutmayın. Örneğin, derin paket incelemesi gibi Yeni Nesil Güvenlik Duvarı (NGFW) özellikleri için satır içi Ağ Sanal Gereçlerinin (NVA) eklenmesi, önemli bir performans cezası, ek işlem karmaşıklığı ve ölçeklenebilirlik ve kurtarma işlemleri uygulamanınkiyle yakından uyumlu değilse güvenilirlik riski sağlar. Bu nedenle, temel tehdit vektörlerini azaltmaya yönelik ek güvenlik bileşenlerinin ve uygulamalarının, bir uygulamanın güvenilirlik hedefini destekleyecek şekilde tasarlanıp bu bölümde sunulan önerilerin ve dikkat edilmesi gereken noktaların önemli bir yönünü oluşturması önemlidir.

Önemli

Bu makale, Azure Well-Architected görev açısından kritik iş yükü serisinin bir parçasıdır. Bu seriyi bilmiyorsanız görev açısından kritik iş yükü nedir?

GitHub logosuGörev Açısından Kritik açık kaynak projesi

Başvuru uygulamaları GitHub'da bulunan bir açık kaynak projesinin parçasıdır. Kod varlıkları, güvenlik tasarımı ve uygulama yaklaşımını yapılandırmak ve yönlendirmek için bir Sıfır Güven modeli benimser.

Sıfır Güven modeliyle hizalama

Microsoft Sıfır Güven modeli, bir uygulamanın tüm katmanlarına güvenlik uygulamak için proaktif ve tümleşik bir yaklaşım sağlar. Sıfır Güven yol gösteren ilkeleri, tehditlere neredeyse gerçek zamanlı olarak yanıt vermek için her işlemi açıkça ve sürekli doğrulamaya, en az ayrıcalık onaylamaya, zekayı kullanmaya ve gelişmiş algılamaya çalışır. Sonuçta uygulama çevrelerinin içindeki ve dışındaki güveni ortadan kaldırarak sisteme bağlanmaya çalışan her şey için doğrulamayı zorunlu kılmaya odaklanmış olur.

Tasarım konusunda dikkat edilmesi gerekenler

Uygulamanın güvenlik duruşunu değerlendirirken, her bir değerlendirmenin temeli olarak bu sorularla başlayın.

  • Önemli güvenlik açıklarına yönelik azaltmaları doğrulamak için sürekli güvenlik testi.

    • Güvenlik testi otomatik CI/CD işlemlerinin bir parçası olarak mı gerçekleştirilir?
    • Aksi takdirde, belirli bir güvenlik testi ne sıklıkta gerçekleştirilir?
    • Test sonuçları istenen güvenlik duruşu ve tehdit modeliyle ölçülür mü?

  • Tüm alt ortamlarda güvenlik düzeyi.

    • Geliştirme yaşam döngüsü içindeki tüm ortamlar üretim ortamıyla aynı güvenlik duruşuna sahip mi?

  • Bir hata durumunda kimlik doğrulaması ve yetkilendirme sürekliliği.

    • Kimlik doğrulama veya yetkilendirme hizmetleri geçici olarak kullanılamıyorsa uygulama çalışmaya devam edebilecek mi?

  • Otomatik güvenlik uyumluluğu ve düzeltme.

    • Anahtar güvenlik ayarlarında yapılan değişiklikler algılanabilir mi?
    • Uyumlu olmayan değişiklikleri düzeltme yanıtları otomatik mi?

  • Kaynak kod depoları aracılığıyla gizli dizi sızıntılarını önlemek için kod işlenmeden önce gizli dizileri algılamak için gizli dizi taraması.

    • Kimlik bilgileri kodun bir parçası olmadan hizmetler için kimlik doğrulaması mümkün mü?

  • Yazılım tedarik zincirinin güvenliğini sağlama.

    • Kullanılan paket bağımlılıkları içinde Ortak Güvenlik Açıklarını ve Etkilenmeleri (CVE) izlemek mümkün mü?
    • Paket bağımlılıklarını güncelleştirmek için otomatik bir işlem var mı?

  • Veri koruma anahtarı yaşam döngüleri.

    • Hizmet tarafından yönetilen anahtarlar veri bütünlüğü koruması için kullanılabilir mi?
    • Müşteri tarafından yönetilen anahtarlar gerekiyorsa, güvenli ve güvenilir anahtar yaşam döngüsü nasıldır?

  • CI/CD araçları, azure kaynak dağıtımlarının tüm dikkate alınan ortam aboneliklerine denetim düzlemi erişimini kolaylaştırmak için yeterli abonelik düzeyinde erişime sahip Microsoft Entra hizmet sorumluları gerektirir.

    • Uygulama kaynakları özel ağlar içinde kilitlendiğinde, CI/CD araçlarının uygulama düzeyinde dağıtımlar ve bakımlar yapabilmesi için özel bir veri düzlemi bağlantı yolu var mı?
      • Bu ek karmaşıklık getirir ve gerekli özel derleme aracıları aracılığıyla dağıtım işlemi içinde bir dizi gerektirir.

Tasarım önerileri

  • Tüm hizmetlerde güvenlik ve güvenilirlik yapılandırmalarını zorunlu kılmak için Azure İlkesi kullanın. Bu, tüm sapmaların yapılandırma zamanında denetim düzlemi tarafından düzeltildiğinden veya yasaklandığından emin olarak 'kötü amaçlı yönetici' senaryolarıyla ilişkili tehditlerin azaltılmasına yardımcı olur.

  • Üretim ortamlarına sürekli denetim düzlemi erişimini iptal etmek için üretim abonelikleri içinde Microsoft Entra Privileged Identity Management (PIM) kullanın. Bu, ek 'denetimler ve bakiyeler' aracılığıyla 'kötü amaçlı yönetici' senaryolarından kaynaklanan riski önemli ölçüde azaltır.

  • Kimlik bilgilerinin uygulama kodundan kaldırılmasını kolaylaştırdığından ve hizmetten hizmete iletişim için kimlik yönetiminin operasyonel yükünü kaldırdığından, bu özelliği destekleyen tüm hizmetler için Azure Yönetilen Kimlikler'i kullanın.

  • Özelliği destekleyen tüm hizmetlerle veri düzlemi yetkilendirmesi için Microsoft Entra rol tabanlı erişim denetimi (RBAC) kullanın.

  • Microsoft Entra ID ile tümleştirmek için uygulama kodundaki birinci taraf Microsoft kimlik platformu kimlik doğrulama kitaplıklarını kullanın.

  • Seçilen kimlik platformu kullanılamıyorsa veya uygulama yetkilendirmesi için yalnızca kısmen kullanılabiliyorsa, düzeyi düşürülmüş ancak kullanılabilir bir deneyim sağlamak için güvenli belirteç önbelleğe almayı göz önünde bulundurun.

    • Sağlayıcı yeni erişim belirteçleri veremediyse ancak mevcut belirteçleri yine de doğrularsa, uygulama ve bağımlı hizmetler belirteçlerinin süresi dolana kadar sorunsuz çalışabilir.
    • Belirteç önbelleğe alma işlemi genellikle kimlik doğrulama kitaplıkları (MSAL gibi) tarafından otomatik olarak işlenir.

  • Hata durumları da dahil olmak üzere tüm uygulama bileşenlerine güncelleştirmeleri yönlendirmek için Kod Olarak Altyapı (IaC) ve otomatik CI/CD işlem hatlarını kullanın.

    • CI/CD araç hizmeti bağlantılarının kritik hassas bilgiler olarak korundığından ve herhangi bir hizmet ekibinin doğrudan kullanılabilir olmaması gerektiğinden emin olun.
    • 'Kötü amaçlı yönetici' risklerini azaltmak için üretim CD işlem hatlarına ayrıntılı RBAC uygulayın.
    • 'Kötü amaçlı yönetici' risklerini daha da azaltmak ve tüm üretim değişiklikleri için ek teknik güvence sağlamak için üretim dağıtım işlem hatlarında el ile onay geçitleri kullanmayı göz önünde bulundurun.
      • Çeviklik açısından ek güvenlik kapıları dengelenebilir ve el ile kapılarla bile çeviklik nasıl korunabileceği göz önünde bulundurularak dikkatli bir şekilde değerlendirilmelidir.

  • Önemli güvenlik açıklarının azaltılmasını sağlamak için tüm düşük ortamlar için uygun bir güvenlik duruşu tanımlayın.

    • Özellikle veri sızdırmayla ilgili olarak üretimle aynı güvenlik duruşunu uygulamayın. Yasal gereksinimler bunu yapma gereksinimini belirlemedikçe, bu durum geliştirici çevikliğini önemli ölçüde tehlikeye atacaktır.

  • Görev açısından kritik bir iş yükünün kaynaklarını içeren tüm abonelikler için Bulut için Microsoft Defender (eski adıyla Azure Güvenlik Merkezi) etkinleştirin.

    • Uyumluluğu zorlamak için Azure İlkesi kullanın.
    • Özelliği destekleyen tüm hizmetler için Azure Defender'i etkinleştirin.

  • DevSecOps'u benimseyin ve CI/CD işlem hatlarında güvenlik testi uygulayın.

    • Test sonuçları, otomatik veya el ile yayın onaylarını bilgilendirmek için uyumlu bir güvenlik duruşuyla ölçülmelidir.
    • Her sürüm için CD üretim işleminin bir parçası olarak güvenlik testi uygulayın.
      • Güvenlik testlerinin her bir sürümün operasyonel çevikliği tehlikeye atması durumunda uygun bir güvenlik testi tempos un uygulandığını doğrulayın.

  • Kaynak kod deposunda gizli dizi taramasını ve bağımlılık taramasını etkinleştirin.

Tehdit modelleme

Tehdit modellemesi, güvenlik tasarımına yönelik risk tabanlı bir yaklaşım sağlar ve uygun güvenlik azaltmaları geliştirmek için tanımlanan olası tehditleri kullanır. Farklı oluşum olasılıklarına sahip birçok olası tehdit vardır ve çoğu durumda tehditler beklenmedik, öngörülemeyen ve hatta kaotik yollarla zincirlenebilir. Bu karmaşıklık ve belirsizlik, geleneksel teknoloji gereksinimi tabanlı güvenlik yaklaşımlarının görev açısından kritik bulut uygulamaları için büyük ölçüde uygun olmadığını gösterir. Görev açısından kritik bir uygulama için tehdit modelleme sürecinin karmaşık ve iyi olmayan olmasını bekleyin.

Bu zorluklarda gezinmeye yardımcı olmak için, aşağıdaki savunma katmanlarını dikkate alarak modellenen tehditler için telafi azaltmaları tanımlamak ve uygulamak için katmanlı bir derinlemesine savunma yaklaşımı uygulanmalıdır.

  1. Temel güvenlik özelliklerine ve denetimlerine sahip Azure platformu.
  2. Uygulama mimarisi ve güvenlik tasarımı.
  3. Güvenli Azure kaynaklarına yerleşik, etkin ve dağıtılabilir güvenlik özellikleri uygulanır.
  4. Uygulama kodu ve güvenlik mantığı.
  5. İşletimsel işlemler ve DevSecOps.

Not

Azure giriş bölgesi içinde dağıtım yaparken, giriş bölgesi uygulaması tarafından merkezi güvenlik özelliklerinin sağlanması aracılığıyla ek bir tehdit azaltma katmanının sağlandığını unutmayın.

Tasarım konusunda dikkat edilmesi gerekenler

STRIDE , anahtar tehdit vektörlerinde güvenlik tehditlerini değerlendirmek için basit bir risk çerçevesi sağlar.

  • Kimlik Sahtekarlığı: Yetkiye sahip kişilerin kimliğine bürünme. Örneğin, bir saldırgan başka bir kullanıcının kimliğine bürünerek
    • Kimlik
    • Kimlik Doğrulaması
  • Kurcalama Girişi: Uygulamaya gönderilen girişin değiştirilmesi veya uygulama kodunu değiştirmek için güven sınırlarının ihlali. Örneğin, veritabanı tablosundaki verileri silmek için SQL Ekleme kullanan bir saldırgan.
    • Veri bütünlüğü
    • Doğrulama
    • Blok listesi/izin verilenler listesi
  • Eylemin İnkarı: Zaten gerçekleştirilen eylemlerin reddedilebilmesi ve uygulamanın kanıt toplama ve sorumluluk alma becerisi. Örneğin, kötü amaçlı bir yöneticiyi izleme olanağı olmadan kritik verilerin silinmesi.
    • Denetim/günlüğe kaydetme
    • İmzalama
  • Bilgilerin Açığa Çıkması: Kısıtlı bilgilere erişim sağlama. Kısıtlanmış bir dosyaya erişim elde eden bir saldırgan buna örnek olabilir.
    • Şifreleme
    • Veri sızdırma
    • Ortadaki adam saldırıları
  • Hizmet Reddi: Kullanıcı deneyimini düşürmek için kötü amaçlı uygulama kesintisi. Örneğin, Slowloris gibi bir DDoS botnet saldırısı.
    • DDoS
    • Botnets
    • CDN ve WAF özellikleri
  • AyrıcalıkLarın Yükseltilmesi: Yetkilendirme açıklarından yararlanarak ayrıcalıklı uygulama erişimi elde etme. Örneğin, bir saldırgan hassas bilgilere erişmek için URL dizesini düzenler.
    • Uzaktan kod yürütme
    • Yetkilendirme
    • Yalıtım

Tasarım önerileri

  • Olası yeni tehditleri değerlendirmek ve risk azaltmaları uygulamak için her sprint içinde mühendislik bütçesi ayırın.

  • Güvenlik azaltmalarının tüm uygulama hizmeti ekiplerinde tutarlılığı sağlamak için ortak bir mühendislik ölçütleri içinde yakalanmasını sağlamak için bilinçli çalışma uygulanmalıdır.

  • Hizmet düzeyi tehdit modellemesine göre bir hizmetle başlayın ve iş parçacığı modelini uygulama düzeyinde birleştirerek modeli birleştirin.

Ağ yetkisiz erişim koruması

Görev açısından kritik bir uygulamaya ve kapsamış verilere yetkisiz erişimi önlemek, kullanılabilirliği korumak ve veri bütünlüğünü korumak için çok önemlidir.

Tasarım konusunda dikkat edilmesi gerekenler

  • Sıfır Güven ihlal edilmiş bir durum olduğunu varsayar ve her isteği kontrolsüz bir ağdan kaynaklanmış gibi doğrular.

    • Gelişmiş bir sıfır güven ağ uygulaması, mikro segmentlere ayırma ve dağıtılmış giriş/çıkış mikro çevrelerini devreye alır.

  • Azure PaaS hizmetlerine genellikle genel uç noktalar üzerinden erişilir. Azure, genel uç noktaların güvenliğini sağlamak ve hatta tamamen özel hale getirmek için özellikler sağlar.

    • Azure Özel Bağlantı/Özel Uç Noktalar, özel IP adreslerini ve özel ağ bağlantısını kullanarak bir Azure PaaS kaynağına ayrılmış erişim sağlar.
    • Sanal Ağ Hizmet Uç Noktaları, seçilen alt ağlardan seçilen PaaS hizmetlerine hizmet düzeyinde erişim sağlar.
    • Sanal Ağ Ekleme, App Service Ortamı aracılığıyla App Service gibi desteklenen hizmetler için ayrılmış özel dağıtımlar sağlar.
      • Yönetim düzlemi trafiği hala genel IP adresleri üzerinden akar.

  • Desteklenen hizmetler için Azure Özel Uç Noktaları'nın kullanılması Azure Özel Bağlantı, kötü amaçlı bir yöneticinin dış kaynağa veri yazması gibi Hizmet Uç Noktalarıyla ilişkili veri sızdırma risklerini ele alır.

  • Özel Uç Noktaları veya Hizmet Uç Noktalarını kullanarak Azure PaaS hizmetlerine ağ erişimini kısıtlarken, dağıtım işlem hatlarının uygulamayı dağıtmak ve yönetmek için Azure kaynaklarının hem Azure denetim düzlemine hem de veri düzlemine erişmesi için güvenli bir ağ kanalı gerekir.

    • Azure kaynağı olarak özel bir ağa dağıtılan şirket içinde barındırılan özel derleme aracıları, özel bir bağlantı üzerinden CI/CD işlevlerini yürütmek için ara sunucu olarak kullanılabilir. Derleme aracıları için ayrı bir sanal ağ kullanılmalıdır.
      • CI/CD araçlarından özel derleme aracılarına bağlantı gereklidir.
    • Alternatif bir yaklaşım, işlem hattı içindeki kaynağın güvenlik duvarı kurallarını, görev tamamlandıktan sonra güvenlik duvarının daha sonra kaldırıldığı Azure DevOps aracısı genel IP adresinden bağlantıya izin verecek şekilde değiştirmektir.
      • Ancak bu yaklaşım yalnızca Azure hizmetlerinin bir alt kümesi için geçerlidir. Örneğin, bu özel AKS kümeleri için uygun değildir.
    • Uygulama hizmeti atlama kutularında geliştirici ve yönetim görevlerini gerçekleştirmek için kullanılabilir.

  • Yönetim ve bakım görevlerinin tamamlanması, Azure kaynaklarının veri düzlemine bağlantı gerektiren başka bir senaryodur.

  • RBAC'yi Microsoft Entra ID aracılığıyla uygulamak için Azure DevOps içinde karşılık gelen Microsoft Entra hizmet sorumlusuna sahip hizmet Connections kullanılabilir.

  • Hizmet Etiketleri, Azure PaaS hizmetleriyle bağlantıyı kolaylaştırmak için Ağ Güvenlik Gruplarına uygulanabilir.

  • Uygulama Güvenlik Grupları birden çok sanal ağa yayılmaz.

  • Azure Ağ İzleyicisi'da paket yakalama işlemi en fazla beş saatlik bir süreyle sınırlıdır.

Tasarım önerileri

  • Dış saldırı yüzeyini azaltmak için uygulamanın iş amacını yerine getirmesi için gereken mutlak minimum ağ erişimini sınırlayın.

  • Özel derleme aracılarıyla çalışırken, hiçbir zaman bir RDP veya SSH bağlantı noktasını doğrudan İnternet'e açmayın.

    • Azure Sanal Makineler'a güvenli erişim sağlamak ve İnternet üzerinden Azure PaaS'te yönetim görevlerini gerçekleştirmek için Azure Bastion'ı kullanın.

  • Uygulama içindeki tüm genel IP adreslerinin güvenliğini sağlamak için DDoS standart koruma planı kullanın.

  • Birden çok Azure bölgesine yayılan genel HTTP/S uygulamalarını teslim etmek ve korumaya yardımcı olmak için Web uygulaması güvenlik duvarı ilkeleriyle Azure Front Door'u kullanın.

    • Genel uygulama uç noktalarını yalnızca Azure Front Door örneğinden kaynaklanan trafiği kabul etmek üzere kilitlemek için Üst Bilgi Kimliği doğrulamasını kullanın.

  • Derin paket incelemesi veya TLS incelemesi gibi ek satır içi ağ güvenlik gereksinimleri varsa, Premium veya Ağ Sanal Gereci (NVA) Azure Güvenlik Duvarı kullanılmasını zorunlu kılın; maksimum yüksek kullanılabilirlik ve yedeklilik için yapılandırıldığından emin olun.

  • Paket yakalama gereksinimleri varsa, sınırlı yakalama penceresine rağmen yakalamak için Ağ İzleyicisi paketleri kullanın.

  • Uygulama trafiğini mikro segmentlere ayırmak için Ağ Güvenlik Gruplarını ve Uygulama Güvenlik Gruplarını kullanın.

    • Uygulama içi trafik akışlarını filtrelemek için güvenlik gereci kullanmaktan kaçının.
    • Belirli NSG kurallarının her zaman uygulama alt ağlarıyla ilişkili olmasını zorunlu kılmak için Azure İlkesi kullanımını göz önünde bulundurun.

  • NSG akış günlüklerini etkinleştirin ve iç ve dış trafik akışlarıyla ilgili içgörüler elde etmek için bunları Trafik Analizi'ne besleyin.

  • Uygulama tasarımında Azure PaaS hizmetlerine erişimin güvenliğini sağlamak için Azure Özel Bağlantı/Özel Uç Noktaları kullanın. Özel Bağlantı destekleyen Azure hizmetleri hakkında bilgi için bkz. Azure Özel Bağlantı kullanılabilirlik.

  • Özel Uç Nokta kullanılamıyorsa ve veri sızdırma riskleri kabul edilebilirse, sanal ağ içinden Azure PaaS hizmetlerine erişimin güvenliğini sağlamak için Sanal Ağ Hizmet Uç Noktalarını kullanın.

    • Önemli veri sızdırma kanallarına neden olacağı için tüm alt ağlarda sanal ağ hizmet uç noktalarını varsayılan olarak etkinleştirmeyin.

  • Karma uygulama senaryoları için özel eşleme ile ExpressRoute aracılığıyla şirket içinden Azure PaaS hizmetlerine erişin.

Not

Azure giriş bölgesi içinde dağıtım yaparken, şirket içi veri merkezlerine ağ bağlantısının giriş bölgesi uygulaması tarafından sağlandığını unutmayın. Yaklaşımlardan biri, özel eşleme ile yapılandırılmış ExpressRoute kullanmaktır.

Veri bütünlüğü koruması

Şifreleme, veri bütünlüğünü sağlamaya yönelik önemli bir adımdır ve sonuçta çok çeşitli tehditleri azaltmak için uygulanabilecek en önemli güvenlik özelliklerinden biridir. Bu nedenle bu bölüm, uygulama güvenilirliğinden ödün vermeden verileri korumak için şifreleme ve anahtar yönetimiyle ilgili önemli noktalar ve öneriler sağlar.

Tasarım konusunda dikkat edilmesi gerekenler

  • Azure Key Vault anahtarlar ve gizli diziler için işlem sınırlarına sahiptir ve belirli bir süre içinde kasa başına azaltma uygulanır.

  • Anahtarlar, gizli diziler ve sertifikalar için erişim izinleri kasa düzeyinde uygulandığından Azure Key Vault bir güvenlik sınırı sağlar.

    • Key Vault erişim ilkesi atamaları anahtarlara, gizli dizilere veya sertifikalara ayrı izinler verir.
      • Belirli bir anahtara, gizli diziye veya sertifikaya yönelik ayrıntılı nesne düzeyi izinleri artık mümkündür.

  • Rol ataması değiştirildikten sonra, rolün uygulanması için en fazla 10 dakika (600 saniye) gecikme süresi olur.

    • Abonelik başına 2.000 Azure rol ataması sınırı vardır.

  • Azure Key Vault temel alınan donanım güvenlik modüllerinin (HSM) FIPS 140 doğrulaması vardır.

  • Azure Key Vault, kullanılabilirliği korumaya ve veri kaybını önlemeye yardımcı olmak için yüksek kullanılabilirlik ve yedeklilik sağlar.

  • Bölge yük devretmesi sırasında, Key Vault hizmetinin yük devretmesi birkaç dakika sürebilir.

    • Yük devretme sırasında Key Vault salt okunur modda olacaktır, bu nedenle güvenlik duvarı yapılandırmaları ve ayarları gibi anahtar kasası özelliklerini değiştirmek mümkün olmayacaktır.

  • Azure Key Vault'a bağlanmak için özel bağlantı kullanılıyorsa, bölgesel yük devretme sırasında bağlantının yeniden kurulması 20 dakika kadar sürebilir.

  • Yedekleme, Azure dışında şifresi çözülemez şifrelenmiş bir blob olarak gizli dizi, anahtar veya sertifikanın belirli bir noktaya anlık görüntüsünü oluşturur. Blobdan kullanılabilir veriler almak için blob aynı Azure aboneliği ve Azure coğrafyası içindeki bir Key Vault geri yüklenmelidir.

    • Gizli diziler yedekleme sırasında yenilenebilir ve bu da uyuşmazlıklara neden olabilir.

  • Hizmet tarafından yönetilen anahtarlarla Azure, döndürme gibi anahtar yönetimi işlevlerini gerçekleştirerek uygulama işlemlerinin kapsamını azaltır.

  • Mevzuat denetimleri, hizmet şifreleme işlevselliği için müşteri tarafından yönetilen anahtarların kullanılmasını zorunlu kılabilir.

  • Trafik Azure veri merkezleri arasında hareket ettiğinde, Microsoft tarafından veya Microsoft adına denetlenmeyen fiziksel sınırların dışında aktarımdaki verilerin güvenliğini sağlamak için temel ağ donanımında MACsec veri bağlantısı katmanı şifrelemesi kullanılır.

Tasarım önerileri

  • Mümkün olduğunca veri koruması için hizmet tarafından yönetilen anahtarları kullanarak şifreleme anahtarlarını yönetme ve anahtar döndürme gibi işlem görevlerini işleme gereksinimini ortadan kaldırır.

    • Müşteri tarafından yönetilen anahtarları yalnızca net bir mevzuat gereksinimi olduğunda kullanın.

  • Ek şifreleme mekanizmalarının veya müşteri tarafından yönetilen anahtarların dikkate alınması gerekiyorsa Azure Key Vault tüm gizli diziler, sertifikalar ve anahtarlar için güvenli bir depo olarak kullanın.

    • Silinen nesneler için bekletme koruması sağlamak için Azure Key Vault geçici silme ve temizleme ilkeleri etkinleştirildi.
    • Uygulama üretim ortamları için HSM destekli Azure Key Vault SKU'yu kullanın.

  • Her bölgesel dağıtım damgası içinde ayrı bir Azure Key Vault örneği dağıtarak yerelleştirme aracılığıyla hata yalıtımı ve performans avantajlarının yanı sıra tek bir Key Vault örneği tarafından uygulanan ölçek sınırlarına da göz atın.

    • Uygulama genel kaynakları için ayrılmış bir Azure Key Vault örneği kullanın.

  • Gizli dizileri, anahtarları ve sertifikaları kalıcı olarak silmek için yetkilendirmeyi özel özel Microsoft Entra rolleriyle sınırlayarak en düşük ayrıcalık modelini izleyin.

  • Şifreleme anahtarlarının ve Key Vault içinde depolanan sertifikaların yedeklenmiş olduğundan emin olun; bu sayede olası olmayan olayda çevrimdışı bir kopya sağlanır Key Vault kullanılamaz duruma gelir.

  • Sertifika tedarikini ve imzalamayı yönetmek için Key Vault sertifikaları kullanın.

  • Anahtar ve sertifika döndürme için otomatik bir işlem oluşturun.

    • Yönetimi kolaylaştırmak için genel sertifika yetkilileriyle sertifika yönetimi ve yenileme işlemini otomatikleştirin.
      • Otomatik sertifika yenilemelerini desteklemek için uyarı ve bildirimler ayarlayın.

  • Anahtar, sertifika ve gizli dizi kullanımını izleme.

İlke odaklı idare

Güvenlik kuralları nihai olarak yalnızca tüm uygulama hizmetlerinde ve ekiplerde tutarlı ve bütünsel olarak uygulandığında etkili olur. Azure İlkesi, görev açısından kritik bir uygulama için ortak mühendislik ölçütleriyle uyumluluğun devam etmesi için güvenlik ve güvenilirlik temellerini zorunlu kılmaya yönelik bir çerçeve sağlar. Daha açık belirtmek gerekirse, Azure İlkesi Azure Resource Manager (ARM) denetim düzleminin önemli bir parçasını oluşturur ve yetkili kullanıcıların gerçekleştirebileceği eylemleri kısıtlayarak RBAC'yi destekler ve kullanılan platform hizmetlerinde önemli güvenlik ve güvenilirlik kurallarını zorunlu kılmak için kullanılabilir.

Bu nedenle bu bölümde, görev açısından kritik bir uygulama için Azure İlkesi odaklı idare kullanımıyla ilgili önemli noktalar ve öneriler incelenir ve güvenlik ve güvenilirlik kurallarının sürekli olarak uygulanması sağlanır.

Tasarım konusunda dikkat edilmesi gerekenler

  • Azure İlkesi, Özel Uç Noktaların kullanımı veya Kullanılabilirlik Alanları kullanımı gibi güvenlik ve güvenilirlik kurallarını zorunlu kılarak uyumluluğu sağlamaya yönelik bir mekanizma sağlar.

Not

Azure giriş bölgesi içinde dağıtım yaparken, giriş bölgesi yönetim grupları ve abonelikleri için uygulamada merkezi temel ilke atamalarının zorunlu hale getirilmesinin büyük olasılıkla uygulanacağını unutmayın.

  • Azure İlkesi sağlama ve yapılandırma gibi otomatik yönetim etkinliklerini yönlendirmek için kullanılabilir.

    • Kaynak Sağlayıcısı kaydı.
    • Tek tek Azure kaynak yapılandırmalarının doğrulanması ve onaylanması.

  • Azure İlkesi atama kapsamı kapsamı belirler ve Azure İlkesi tanımların konumu özel ilkelerin yeniden kullanılabilirliğini bildirir.

  • Azure İlkesi, belirli bir kapsamdaki tanım sayısı gibi çeşitli sınırlara sahiptir.

  • Mevcut Değilse Dağıt (DINE) ilkelerinin yürütülmesi birkaç dakika sürebilir.

  • Azure İlkesi, uyumluluk raporlama ve güvenlik denetimi için kritik bir giriş sağlar.

Tasarım önerileri

  • Mevzuat ve uyumluluk gereksinimlerini Azure İlkesi tanımlarla eşleyin.

    • Örneğin, veri yerleşimi gereksinimleri varsa, kullanılabilir dağıtım bölgelerini kısıtlamak için bir ilke uygulanmalıdır.

  • Kullanılan tüm Azure hizmetleri için güvenli ve güvenilir yapılandırma tanımlarını yakalamak için ortak bir mühendislik ölçütü tanımlayın ve bu ölçütlerin uyumluluğu zorlamak için Azure İlkesi atamalarla eşlendiğinden emin olun.

    • Örneğin, tüm ilgili hizmetler için Kullanılabilirlik Alanları kullanımını zorunlu kılmak ve güvenilir bölge içi dağıtım yapılandırmaları sağlamak için bir Azure İlkesi uygulayın.

Görev Açısından Kritik başvuru uygulaması, örnek bir ortak mühendislik ölçütünü tanımlamak ve uygulamak için çok çeşitli güvenlik ve güvenilirlik odaklı ilkeler içerir.

  • Azure İlkesi kullanarak ortak mühendislik ölçütlerine göre hizmet yapılandırması kayma durumunu izleyin.

Ayrılmış bir yönetim grubu altında birden çok üretim aboneliğine sahip görev açısından kritik senaryolar için, yönetim grubu kapsamında atamalara öncelik verin.

  • Özel ilke tanımlarını korumanın operasyonel yükünü en aza indirmek için mümkün olduğunda yerleşik ilkeler kullanın.

  • Özel ilke tanımlarının gerekli olduğu durumlarda, tanımların uygun yönetim grubu kapsamında dağıtıldığından emin olun ve bu sayede kapsamı kapsamış ortam aboneliklerinde yeniden kullanıma olanak tanıyarak ilkenin üretim ve düşük ortamlarda yeniden kullanılmasına olanak tanıyabilirsiniz.

    • Uygulama yol haritasını Azure yol haritalarıyla hizalarken, kritik özel tanımların yerleşik tanımlar olarak birleştirilip birleştirilebileceğini keşfetmek için kullanılabilir Microsoft kaynaklarını kullanın.

Not

Azure giriş bölgesi içinde dağıtım yaparken, daha geniş Azure varlığındaki tüm uygulamalarda yeniden kullanımı etkinleştirmek için ara şirket kök yönetim grubu kapsamında özel Azure İlkesi Tanımları dağıtmayı göz önünde bulundurun. Giriş bölgesi ortamında, azure varlığının tamamında güvenlik uyumluluğunu zorunlu kılmak için belirli merkezi güvenlik ilkeleri varsayılan olarak daha yüksek yönetim grubu kapsamlarında uygulanır. Örneğin, yazılım yapılandırmalarını VM uzantıları aracılığıyla otomatik olarak dağıtmak ve uyumlu bir temel VM yapılandırması uygulamak için Azure ilkeleri uygulanmalıdır.

  • Uygulama genelinde tutarlı bir etiketleme şemasını zorlamak için Azure İlkesi kullanın.
    • Gerekli Azure etiketlerini belirleyin ve kullanımı zorlamak için ekleme ilkesi modunu kullanın.

Uygulama Microsoft Mission-Critical Desteği'ne aboneyse, uygulanan etiketleme şemasının ayrıntılı uygulama anlayışıyla destek deneyimini zenginleştirmek için anlamlı bir bağlam sağladığından emin olun.

  • Microsoft Entra etkinlik günlüklerini uygulama tarafından kullanılan genel Log Analytics Çalışma Alanına aktarın.
    • Azure etkinlik günlüklerinin uzun süreli saklama için operasyonel verilerle birlikte genel Depolama Hesabı içinde arşivlenmiş olduğundan emin olun.

Azure giriş bölgesinde Microsoft Entra etkinlik günlükleri merkezi platform Log Analytics çalışma alanına da aktarılır. Genel Log Analytics çalışma alanında hala Microsoft Entra ID gerekiyorsa bu durumda değerlendirilmelidir.

  • Güvenlik bilgilerini ve olay yönetimini Bulut için Microsoft Defender (eski adıyla Azure Güvenlik Merkezi) ile tümleştirme.

Sanal Makineler kullanırken IaaS'ye özgü dikkat edilmesi gerekenler

IaaS Sanal Makineler kullanımının gerekli olduğu senaryolarda bazı özelliklerin dikkate alınması gerekir.

Tasarım konusunda dikkat edilmesi gerekenler

  • Görüntüler dağıtıldıktan sonra otomatik olarak güncelleştirilmez.
  • Güncelleştirmeler çalışan VM'lere otomatik olarak yüklenmez.
  • Görüntüler ve tek tek VM'ler genellikle kullanıma yönelik olarak sağlamlaştırılmaz.

Tasarım önerileri

  • SSH, RDP veya diğer protokollere erişim sağlayarak genel İnternet üzerinden Sanal Makineler doğrudan erişime izin verme. Azure Bastion'ı ve küçük bir kullanıcı grubuna sınırlı erişime sahip sıçrama kutularını her zaman kullanın.
  • Çıkış trafiğini filtrelemek ve kısıtlamak için Ağ Güvenlik Gruplarını, (Azure) Güvenlik Duvarı'nı veya Application Gateway'leri (Düzey 7) kullanarak doğrudan İnternet bağlantısını kısıtlayın.
  • Çok katmanlı uygulamalar için farklı alt ağlar kullanmayı göz önünde bulundurun ve aradaki erişimi kısıtlamak için Ağ Güvenlik Gruplarını kullanın.
  • Mümkün olduğunda Ortak Anahtar kimlik doğrulamasının kullanımına öncelik verin. Gizli dizileri Azure Key Vault gibi güvenli bir yerde depolayın.
  • Kimlik doğrulaması ve erişim denetimini kullanarak VM'leri koruyun.
  • Görev açısından kritik uygulama senaryolarında açıklandığı gibi aynı güvenlik uygulamalarını uygulayın.

Yukarıda açıklandığı gibi görev açısından kritik uygulama senaryoları için uygun olduğunda güvenlik uygulamalarını ve Azure'daki IaaS iş yükleri için en iyi güvenlik uygulamalarını izleyin ve uygulayın.

Sonraki adım

Görev açısından kritik uygulama senaryoları için operasyonel yordamlar için en iyi yöntemleri gözden geçirin.

operasyonel yordamlar