Azure Güvenlik testi uygulamaları

  • Makale
  • Okumak için 2 dakika

Güvenlik açıklarını algılamak için tek seferlik bir saldırının benzetimini yapmanız önerilir. Pentesting bir sistemin güvenlik savunmasını doğrulamak için popüler bir metodolojisidir. Alıştırıcılar, kuruluşun BT veya uygulama ekiplerinin parçası olmayan güvenlik uzmanlarından oluşur. Bu nedenle, kötü amaçlı aktörlerin bir saldırı yüzeyi kapsamında olduğu şekilde sisteme bakar. Amaç, bilgi toplamak, güvenlik açıklarını analiz etmek ve raporlama yaparak güvenlik boşluklarını bulmaktır.

Sızma testleri, güvenlik savunmaları için bir zaman denetimi doğrulaması sağlar. Kırmızı takımlar, savunma çabalarınızın tasarlanan ve potansiyel olarak iş yüklerinizin içindeki farklı düzeylerde test edilmesine yönelik sürekli görünürlük ve güvence sağlanmasına yardımcı olabilir. Kırmızı takım programları, kuruluş kaynaklarını korumak için yerleştirilen savunmaları doğrulamak üzere bir kez veya bir kuruluşa yönelik kalıcı tehditleri taklit etmek için kullanılabilir.

Microsoft, iş yükünüz için güvenlik savunmalarını doğrulamak üzere sızma testi ve kırmızı takım alıştırmaları öneriyor.

Sızma testi yürütme standardı (PTES) , genel senaryolar ve temel kurmak için gereken etkinlikler hakkında yönergeler sağlar.

Azure, varlıklarınızı ve diğer müşterilere ait varlıkları barındırmak için paylaşılan altyapıyı kullanır. Bir pentesting alıştırmada, uygulamalar tüm kuruluşun hassas verilerine erişebilme gereksinimi olabilir. Erişimin ve amacın kötü amaçlı olmadığından emin olmak için katılım kurallarını izleyin. Sanal saldırıları planlama ve yürütme hakkında rehberlik için bkz. katılım Için sızma testi kuralları.

Daha fazla bilgi edinin

Saldırıların simülasyonunu oluşturma

Kullanıcıların bir sistemle etkileşme yöntemi, savunmanızı planlarken kritik öneme sahiptir. Bu riskler, yükseltilmiş izinlere sahip olduklarından ve daha fazla hasar verebildiğinden kritik etki hesapları için daha yüksektir.

Bu iş yükünün kullanıcıları üzerinde sanal saldırı gerçekleştirebilir mi?

Kırmızı bir ekip aracılığıyla ortamınızı hedefleyen kalıcı bir tehdit aktörün benzetimini yapın. Aşağıda bazı avantajlar verilmiştir:

  • Düzenli denetimler. İş yükü, savunın güncel ve etkili olduğundan emin olmak için gerçekçi bir saldırıya karşı denetlenir.
  • Eğitim amaçları. Dersleri temel alınarak bilgi ve beceri düzeyini yükseltin. Bu, kullanıcıların, bir saldırganın hesapları tehlikeye atabilir.

gerçekçi saldırı senaryolarının benzetimini yapmak için popüler bir seçenek Office 365 saldırı simülasyonu' dir.

Kişisel bilgiler otomatik olarak algılanır ve kaldırılır/kaldırılabilir mi?

Hassas uygulama bilgilerini kullanırken dikkatli olun. Tüm uygulama günlüklerinde iletişim bilgileri, ödeme bilgileri vb. gibi kişisel bilgileri depolamamayın. Gizleme gibi koruyucu ölçüler uygulayın. Machine Learning araçları Bu ölçüyle ilgili yardımcı olabilir. Daha fazla bilgi için bkz. PII algılamaBilişsel Beceri.

Tehdit modellemesi, olası saldırı vektörlerini belirlemek için yapılandırılmış bir işlemdir. Sonuçlara bağlı olarak, risk azaltma çabalarının önceliğini belirleyin. Daha fazla bilgi için bkz. uygulama tehdit analizi.

geçerli saldırılar hakkında daha fazla bilgi için Microsoft Güvenlik Zekası (sır) raporuna bakın.

Microsoft Bulut ile Kırmızı Takım Oluşturma

Ana makaleye geri dönün: izleme

Kuruluşunuzun işlemlerini bir parçası olarak güvenlik tasarımınızı ve uygulamanızı düzenli olarak test edin. Bu tümleştirme, kuruluş tarafından ayarlanan güvenlik standartlarına göre güvenlik güvenleçlerini etkili ve bakımını yapacaktır.

İyi tasarlanmış bir iş yükü saldırılarına karşı dayanıklı olmalıdır. Bu, hızlı bir şekilde kurtarılmaz ve güvenlik, bütünlük ve kullanılabilirlik konusunda güvenlik sağlar. Boşluk belirtebileceğiniz testler olarak benzetilen saldırılara yatırım yapın. Sonuçların sonuçlarına bağlı olarak, savunmaya zarar verebilir ve gerçek bir saldırganın ortamınızdaki yan yana hareketini sınırlayabilirsiniz.

Sanal testler, risk azaltma planlaması için size veriler de verebilir. Zaten üretimde olan uygulamalar gerçek dünyada saldırılardan veri kullanmalıdır. Yeni özelliklerle yeni veya güncelleştirilmiş uygulamalar, tehdit modelleme gibi riskleri saptamak için yapılandırılmış modellere güvenmelidir.

Önemli noktalar

  • Gerçekçi ve gerçek dünyada saldırıları temel alan test çalışmalarını tanımlayın.
  • Saldırıları önlemek ve saptamak için en düşük maliyet yöntemlerini belirleyip kataloglayın.
  • Güvenlik savunmaları doğrulamak için tek seferlik bir saldırı olarak sızma testini kullanın.
  • Uzun süreli kalıcı saldırılar için Red takımları aracılığıyla saldırıların benzetimini yapın.
  • Saldırganların ortamdaki kaynaklarda yararlanılması için hedeflenen olası saldırı yüzeyini ölçün ve azaltın.
  • Kullanıcıları bir saldırganın kullanabileceği çeşitli yollarla eğitmeniz için doğru izleme sağlayın.

Sızma testi (pentesting)

İş yükü üzerinde sızma testi gerçekleştirsin mi?