Güvenlik için uygulama sınıflandırması

Azure, hizmet olarak altyapı (IaaS) sanal makineleri ve hizmet olarak platform (PaaS) aracılığıyla hem eski hem de modern uygulamaları barındırabilir. Eski uygulamalarla, işletim sistemi, ara yazılım ve diğer bileşenler dahil tüm bağımlılıkların güvenliğini sağlama sorumluluğu vardır. PaaS uygulamaları için, temel sunucu işletim sistemini yönetmeniz ve güvence altına almanız gerekmez. Uygulama yapılandırmasından siz sorumlusunuz.

Bu makalede, önemli uygulamaların tanımlanmasında barındırma modellerini ve güvenlik sorumluluğunu anlamak için dikkat edilmesi gereken noktalar açıklanmaktadır.

Sorumluluğu bir sahip olarak anlayın

Bir uygulamanın güvenliğini sağlamak, üç farklı şekilde güvenlik unsurları gerektirir:

• Uygulama kodu. Yazdığınız özel uygulamayı tanımlayan mantık. Bu kodun güvenliğini sağlamak, uygulamanın tasarımını ve uygulanmasını ve dahil edilen bileşenlerin tedarik zinciri riskini değerlendirmek için riskleri tanımlamayı ve uygulamanızı zorunlu kılar.

• Uygulama hizmetleri. Uygulamanın veritabanları, kimlik sağlayıcıları, Olay Hub 'ları, IoT cihaz yönetimi gibi kullandığı bulut hizmetleri. Bulut hizmetleri için güvenlik, paylaşılan bir sorumluluktur. Bulut sağlayıcısı, temeldeki hizmetin güvenliğini sağlar. Uygulama sahibi, hizmette depolanan ve işlenen tüm veriler de dahil olmak üzere uygulama tarafından kullanılan hizmet örneklerinin yapılandırma ve işleminin güvenlik etkilerine karşı sorumludur.

• Uygulama barındırma platformu. Uygulamanın çalıştığı bilgi işlem ortamı. Bu, güvenlikle sorumlu olan önemli çeşitlere sahip birçok form alabilir:

  • Eski uygulamalar. genellikle fiziksel veya sanallaştırılmış donanımda barındırılan tam bir işletim sistemi (ve tüm ara yazılımlar) gerektirir. Bu işletim sistemi ve yüklü ara yazılım/diğer bileşenler, uygulama sahibi veya altyapı takımlarıyla çalıştırılır ve güvenlik altına alınır. Fiziksel donanım ve işletim sistemi sanallaştırma bileşenleri (sanallaştırma konakları, işletim sistemleri ve Yönetim Hizmetleri) için güvenlik sorumluluğu şunları farklılık gösterir:

    • Şirket içi: Uygulama sahibi bakım ve güvenlikle sorumludur.
    • IaaS: Bulut sağlayıcısı temel altyapıdan sorumludur ve uygulama sahibinin organizasyonu, VM yapılandırması, işletim sistemi ve üzerinde yüklü bileşenlerden sorumludur.

  • Modern uygulamalar , Azure uygulama hizmeti gibi PaaS ortamlarında barındırılır. Temel alınan işletim sistemi, bulut sağlayıcısı tarafından korunmaktadır. Uygulama sahipleri, uygulama hizmeti yapılandırmalarının güveninden sorumludur.

  • Kapsayıcılar , uygulamaların çalıştıkları ortamdan soyutlandıkları bir uygulama paketleme mekanizmasıdır. Kapsayıcılı uygulamalar bulut sağlayıcısı (modern uygulamalar) tarafından veya şirket içinde ya da IaaS 'de yönetilen bir sunucu üzerinde bir kapsayıcı hizmetinde çalıştırılabilir.

Uygulamaları tanımla ve sınıflandır

Yüksek potansiyel bir etkisi olan uygulamaları veya yüksek riskli bir riski olan uygulamaları ve potansiyel olarak ortaya çıkmasını sağlar.

• İş açısından kritik veriler. Bilgileri işleyen veya depolayan uygulamalar gizlilik, bütünlük ve kullanılabilirlik güvencesine sahip olmalıdır.
• Düzenlenen veriler. Ödeme kartı endüstrisi (PCI), Genel Veri Koruma Yönetmeliği (GDPR) ve sağlık bilgileri taşınabilirlik ve Sorumluluk Yasası (HIPAA) gibi standartlara göre düzenlenen parasal gereçleri ve hassas kişisel bilgileri işleyen uygulamalar.
• İş açısından kritik kullanılabilirlik. İşlevselliği, iş için kritik öneme sahip olan ve gelir oluşturan üretim satırları, cihazlar veya hizmetler için yaşam ve güvenlik açısından kritik ve diğer kritik işlevler gibi önemli olan uygulamalardır.
• Önemli erişim. Teknik yollarla yüksek bir etkiye sahip sistemlere erişimi olan uygulamalar
  • Veri/hizmete erişim izni veren depolanan kimlik bilgileri veya anahtarlar/sertifikalar.
  • Erişim denetim listeleri veya diğer yöntemler aracılığıyla verilen izinler.
• Saldırılara yüksek ölçüde açıktır. Genel internet 'teki Web uygulamaları gibi saldırganlar tarafından kolayca erişilebilen uygulamalar. Eski uygulamalar, saldırganlar (ve sızma Sınayıcılar), bu eski uygulamaların genellikle düzeltilmesi zor olan güvenlik açıklarına sahip olduğu için sıklıkla hedefleyebilir.

Temel bileşenler için Azure hizmetlerini kullanma

Geliştiriciler, özel uygulamalar oluşturmak veya benimsemek ya da bulut sağlayıcısıyla tümleştirme gerektiren üçüncü taraf çözümleri yerine veritabanları, şifreleme, kimlik dizini ve kimlik doğrulaması gibi iyi belirlenen işlevler için bir bulut sağlayıcısından sunulan hizmetleri kullanmalıdır. Bu hizmetler daha iyi güvenlik, güvenilirlik ve verimlilik sağlar çünkü bulut sağlayıcıları bu alanlarda derin uzmanlığı olan adanmış ekiplerle çalışır ve bunları güvenli hale getirin.

Bu hizmetlerin kullanılması, geliştirici kaynaklarınızı, işletmenizin benzersiz gereksinimlerinize göre geliştirme süresini odaklanabilmeleri için proverbial tekerleğini yeniden ele alarak serbest bırakır. Yeni uygulama geliştirme sırasında riski ortadan kaldırmak ve planlı güncelleştirme sürecinde veya güvenlik odaklı bir uygulama güncelleştirmesiyle mevcut uygulamalardaki riski azaltmak için bu uygulamanın izlenmesi gerekir.

Bulut sağlayıcınızdan kimlik, veri koruma, anahtar yönetimi ve uygulama yapılandırmalarına yönelik bulut hizmetleri kullanmanızı öneririz:

• Kimlik: Kullanıcı dizinleri ve diğer kimlik doğrulama işlevleri, güvenlik açısından daha fazla geliştirme ve önemli öneme sahip olmak için karmaşıktır. Özel kimlik doğrulama çözümlerini kullanmaktan kaçının. bunun yerine, kullanıcılar, iş ortakları, müşteriler, uygulamalar, hizmetler ve diğer varlıklar için kimlik doğrulaması yapmak ve izin vermek üzere Azure Active Directory (Azure ad), Azure ad B2B, Azure AD B2Cveya üçüncü taraf çözümleri gibi yerel özellikleri seçin. Daha fazla bilgi için bkz. Azure 'da kimlik ve erişim yönetimi (IAM) Ile güvenlik.

• Veri koruma: Verileri şifrelemek ve korumak için bulut hizmetlerinde yerel şifreleme gibi bulut sağlayıcılarından sağlanan özellikleri kullanın. Şifrelemenin doğrudan kullanımı gerekliyse, iyi belirlenen şifreleme algoritmaları kullanın ve kendi kendine stok yapmayı denemeyin.

• Anahtar yönetimi: Şifreleme anahtarını işlemek yerine her zaman kimlik hizmetleriyle kimlik doğrulaması yapın. Anahtarlar için gereken durumlarda Azure Key Vaultgibi bir yönetilen anahtar deposu kullanın. Bu, anahtarların uygulama kodunda güvenli bir şekilde işlenmesini sağlayacak. CredScan gibi araçlar, uygulama kodunuzda açık olabilecek anahtarları bulabilir.

• Uygulama yapılandırması: Uygulamalar için tutarsız konfigürasyonlar güvenlik riskleri oluşturabilir. Uygulama yapılandırma bilgileri, uygulamanın kendisi veya tercihen Azure Uygulama yapılandırması veya Azure Key Vault gibi adanmış bir yapılandırma yönetimi sistemi kullanılarak depolanabilir. Uygulama yapılandırması, uygulama ayarlarını ve özellik bayraklarını merkezi olarak yönetmek için bir hizmet sağlar ve bu da bu riskin azaltılmasına yardımcı olur. Anahtar ve gizli dizileri uygulama yapılandırmasında depolamamayın.

Özel uygulamalar yerine bulut hizmetlerini kullanma hakkında daha fazla bilgi için, başvuru Uygulamaları ve Hizmetleri.

Yerel özellikleri kullan

Veri şifreleme, ağ trafiği filtrelemesi, tehdit algılama ve diğer işlevler gibi harici güvenlik bileşenleri eklemek yerine, bulut hizmetlerinde yerleşik olarak bulunan yerel güvenlik yeteneklerini kullanın.

Azure denetimleri Microsoft tarafından korunur ve desteklenir. Ek güvenlik araçları ile yatırım yapmanız gerekmez.

• Azure hizmetleri listesi
• Her hizmetin yerel güvenlik özellikleri

Sonraki adımlar

• Uygulamalar ve hizmetler
• Uygulama sınıflandırması
• Uygulama tehdit analizi
• Mevzuata uyumluluk