Azure Güvenlik hizmetleriyle ilk savunma katmanını oluşturma

Çeşitli Azure hizmetlerini kullanarak kuruluşunuzu çalıştırmak için bir BT altyapısının tamamını oluşturabilirsiniz. Azure ayrıca altyapınızı korumak için güvenlik hizmetleri de sunar. Azure güvenlik hizmetlerini kullanarak BT ortamınızın güvenlik duruşunu geliştirebilirsiniz. Microsoft'un önerilerine uygun iyi tasarlanmış bir çözüm uygulayarak güvenlik açıklarını hafifletebilir ve ihlalleri önleyebilirsiniz.

Bazı güvenlik hizmetleri ücretlendirilirken, bazılarında ek ücret alınmaz. Ücretsiz hizmetler arasında ağ güvenlik grupları (NSG), depolama şifrelemesi, TLS/SSL, paylaşılan erişim imzası belirteçleri ve diğerleri bulunur. Bu makale bu tür hizmetleri kapsar.

Bu makale beşlik serinin üçüncüsüdür. Bu serinin önceki iki makalesini gözden geçirmek için, giriş ve tehditleri bir BT ortamıyla nasıl eşleyebileceğinizi gözden geçirmek için aşağıdaki makalelere bakın:

• Güvenlik bileşenlerini tümleştirmek için Azure izlemesini kullanma
• Tehditleri BT ortamınıza eşleme

Olası kullanım örnekleri

Bu makalede, her Azure hizmetine göre Azure güvenlik hizmetleri sunun. Bu şekilde, kaynak üzerinde belirli bir tehdit (sanal makine (VM), işletim sistemi, Azure ağı, uygulama veya kullanıcıları ve parolaları tehlikeye atabilecek bir saldırıyı düşünebilirsiniz. Ardından, kaynakları ve kullanıcı kimliklerini bu tür bir tehditten korumak için hangi Azure güvenlik hizmetlerini kullanacağınızı anlamanıza yardımcı olması için bu makaledeki diyagramı kullanın.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

©2021 MITRE Corporation. Bu çalışma, MITRE Corporation'ın izniyle çoğaltılır ve dağıtılır.

Bu diyagramdaki Azure güvenlik katmanı, Azure ilkeleri aracılığıyla uygulanan bir dizi güvenlik kuralı olan Azure Güvenlik Karşılaştırması (ASB) v3'e dayanır. ASB, İNTERNET Güvenliği için CIS Merkezi ile Ulusal Standartlar ve Teknoloji Enstitüsü'nden gelen kuralların bir birleşimini temel alır. ASB hakkında daha fazla bilgi için bkz . Azure Güvenlik Karşılaştırması v3'e genel bakış.

Diyagram, kullanılabilen tüm Azure güvenlik hizmetlerini içermez, ancak kuruluşlar tarafından en yaygın olarak kullanılan güvenlik hizmetlerini gösterir. Mimari diyagramda tanımlanan tüm güvenlik hizmetleri, BT ortamınıza ve kuruluşunuzun güvenlik gereksinimlerine göre herhangi bir birleşimde birlikte çalışabilir.

İş Akışı

Bu bölümde diyagramda görünen bileşenler ve hizmetler açıklanmaktadır. Bunların çoğu, kısaltılmış etiketlerine ek olarak ASB denetim kodlarıyla etiketlenir. Denetim kodları, Denetimler'de listelenen denetim etki alanlarına karşılık gelir.

1. AZURE GÜVENLIK KARŞıLAŞTıRMASı

   Her güvenlik denetimi, belirli bir veya daha fazla Azure güvenlik hizmetini ifade eder. Bu makaledeki mimari başvurusu, ASB belgelerine göre bazılarını ve bunların denetim numaralarını gösterir. Denetimler şunlardır:

   • Ağ güvenliği
   • Kimlik yönetimi
   • Ayrıcalıklı erişim
   • Veri koruması
   • Varlık yönetimi
   • Günlüğe kaydetme ve tehdit algılama
   • Olay yanıtı
   • Duruş ve güvenlik açığı yönetimi
   • Uç nokta güvenliği
   • Yedekleme ve kurtarma
   • DevOps güvenliği
   • İdare ve strateji

   Güvenlik denetimleri hakkında daha fazla bilgi için bkz . Azure Güvenlik Karşılaştırması'na (v3) genel bakış.

2. AĞ

   Aşağıdaki tabloda diyagramdaki ağ hizmetleri açıklanmaktadır.

   Etiket	Açıklama	Belgeler
   NSG	Bir ağ arabirimine veya alt ağa eklediğiniz ücretsiz bir hizmet. NSG, gelen ve giden bağlantılar için IP adresi aralıklarını ve bağlantı noktalarını kullanarak TCP veya UDP protokol trafiğini filtrelemenize olanak tanır.	Ağ güvenlik grupları
   VPN	IPSEC (IKE v1/v2) korumasına sahip bir tünel sunan bir sanal özel ağ (VPN) ağ geçidi.	VPN Gateway
   AZURE GÜVENLIK DUVARı	Katman 4'te koruma sağlayan ve sanal ağın tamamına bağlı olan hizmet olarak platform (PaaS).	Azure Güvenlik Duvarı nedir?
   APP GW + WAF	Web Uygulaması Güvenlik Duvarı (WAF) ile Azure Uygulaması Lication Gateway. Application Gateway, 7. katmanda çalışan ve HTTP ve HTTPS kullanan uygulamaları korumak için WAF ekleyen web trafiği için bir yük dengeleyicidir.	Azure Uygulaması lication Gateway nedir?
   NVA	Azure'da VM'lerde sağlanan marketten sanal güvenlik hizmetleri olan Ağ Sanal Gereci (NVA).	Ağ Sanal Gereçleri
   DDOS	Farklı DDoS saldırılarını azaltmanıza yardımcı olmak için sanal ağda uygulanan DDoS koruması.	Azure DDoS Ağ Korumasına genel bakış
   TLS/SSL	TLS/SSL, Azure Depolama ve Web Apps gibi bilgi alışverişinde bulunan çoğu Azure hizmeti için aktarım sırasında şifreleme sağlar.	PowerShell ile Application Gateway kullanarak uçtan uca TLS'yi yapılandırma
   ÖZEL BAĞLANTı	Başlangıçta İnternet'te kullanıma sunulan bir Azure hizmeti için özel ağ oluşturmanıza olanak tanıyan hizmet.	Azure Özel Bağlantı nedir?
   ÖZEL UÇ NOKTA	Bir ağ arabirimi oluşturur ve bunu Azure hizmetine ekler. Özel Uç Nokta Özel Bağlantı bir parçasıdır. Bu yapılandırma, özel bir uç nokta kullanarak hizmetin sanal ağınızın bir parçası olmasını sağlar.	Özel uç nokta nedir?

3. ALTYAPı VE UÇ NOKTALAR

   Aşağıdaki tabloda diyagramda gösterilen altyapı ve uç nokta hizmetleri açıklanmaktadır.

   Etiket	Açıklama	Belgeler
   BASTİON	Bastion, atlama sunucusu işlevselliği sağlar. Bu hizmet, vm'lerinizi İnternet'e göstermeden uzak masaüstü protokolü (RDP) veya SSH aracılığıyla VM'lerinize erişmenizi sağlar.	Azure Bastion nedir?
   ANTİMALWARE	Microsoft Defender kötü amaçlı yazılımdan koruma hizmeti sağlar ve Windows 10, Windows 11, Windows Server 2016 ve Windows Server 2019'un bir parçasıdır.	Windows'da Microsoft Defender Virüsten Koruma
   DISK ŞIFRELEME	Disk Şifrelemesi bir VM'nin diskini şifrelemenize olanak tanır.	Windows VM’leri için Azure Disk Şifrelemesi
   KEYVAULT	Anahtar Kasası, FIPS 140-2 Düzey 2 veya 3 ile anahtarları, gizli dizileri ve sertifikaları depolamaya yönelik bir hizmettir.	Azure Key Vault temel kavramları
   RDP SHORT	Azure Sanal Masaüstü RDP Kısa Yolu. Bu özellik, uzak kullanıcıların özel bir ağdan Sanal Masaüstü hizmetine bağlanmasına olanak tanır.	Yönetilen ağlar için Azure Sanal Masaüstü RDP Shortpath
   TERS BAĞLAN	Azure Sanal Masaüstü'nden gelen yerleşik bir güvenlik özelliği. Ters bağlantı, uzak kullanıcıların yalnızca piksel akışları almasını ve konak VM'lere ulaşmamalarını garanti eder.	Azure Sanal Masaüstü ağ bağlantısını anlama

4. UYGULAMA VE VERILER

   Aşağıdaki tabloda diyagramda gösterilen uygulama ve veri hizmetleri açıklanmaktadır.

   Etiket	Açıklama	Belgeler
   FRONTDOOR + WAF	İçerik teslim ağı (CDN). Front Door, hizmete erişen ve WAF ekleyen kullanıcılar için daha iyi bir bağlantı sağlamak için birden çok iletişim noktası birleştirir.	Azure Front Door nedir?
   API MANAGEMENT	API çağrıları için güvenlik sağlayan ve ortamlar arasında API'leri yöneten bir hizmet.	API Yönetimi hakkında
   PENTEST	Azure kaynakları da dahil olmak üzere ortamınızda sızma testi yürütmek için en iyi yöntemler kümesi.	Sızma testi
   DEPOLAMA SAS BELIRTECI	Başkalarının Azure depolama hesabınıza erişmesine izin veren paylaşılan erişim belirteci.	Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim izni verme
   ÖZEL UÇ NOKTA	Azure'da özel bir ağ içinde yapılandırmak için bir ağ arabirimi oluşturun ve depolama hesabınıza ekleyin.	Azure Depolama için özel uç noktaları kullanma
   DEPOLAMA GÜVENLIK DUVARı	Depolama hesabınıza erişebilecek bir dizi IP adresi ayarlamanıza olanak tanıyan güvenlik duvarı.	Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma
   ŞİFRELEME (Azure Depolama)	Bekleyen şifreleme ile depolama hesabınızı korur.	Bekleyen veri için Azure Depolama şifrelemesi
   SQL DENETİmİ	Veritabanı olaylarını izler ve Azure depolama hesabınızdaki bir denetim günlüğüne yazar.	Azure SQL Veritabanı ve Azure Synapse Analytics için denetim
   GÜVENLIK AÇıĞı DEĞERLENDIRMESI	Olası veritabanı güvenlik açıklarını bulmanıza, izlemenize ve düzeltmenize yardımcı olan hizmet.	SQL güvenlik açığı değerlendirmesi, veritabanı güvenlik açıklarını belirlemenize yardımcı olur
   ŞİFRELEME (Azure SQL)	Saydam veri şifrelemesi (TDE), bekleyen verileri şifreleyerek Azure SQL veritabanı hizmetlerinin korunmasına yardımcı olur.	SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi

5. KİMLİK

   Aşağıdaki tabloda diyagramda gösterilen kimlik hizmetleri açıklanmaktadır.

   Etiket	Açıklama	Belgeler
   RBAC	Azure rol tabanlı erişim denetimi (Azure RBAC), kullanıcıların Microsoft Entra kimlik bilgilerini temel alan ayrıntılı izinleri kullanarak Azure hizmetlerine erişimi yönetmenize yardımcı olur.	Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?
   MFA	Çok faktörlü kimlik doğrulaması, kullanıcı adlarının ve parolaların ötesinde ek kimlik doğrulaması türleri sunar.	Nasıl çalışır: Microsoft Entra çok faktörlü kimlik doğrulaması
   KIMLIK KORUMASı	Microsoft Entra ID'nin bir güvenlik hizmeti olan Kimlik Koruması, kullanıcıları tanımlamak ve tehditlerden korumak için günde trilyonlarca sinyali analiz eder.	Kimlik Koruması nedir?
   PIM	Microsoft Entra Id'den bir güvenlik hizmeti olan Privileged Identity Management (PIM). Microsoft Entra Id (örneğin, Genel Yönetici) ve Azure abonelikleri (örneğin, sahip veya katkıda bulunan) için geçici olarak süper kullanıcı ayrıcalıkları sağlamanıza yardımcı olur.	Microsoft Entra Privileged Identity Management nedir?
   COND ACC	Koşullu Erişim, kullanıcıları engellemek veya erişim vermek için çeşitli koşullar için tanımladığınız ilkeleri kullanan akıllı bir güvenlik hizmetidir.	Koşullu Erişim nedir?

Bileşenler

Bu makaledeki örnek mimaride aşağıdaki Azure bileşenleri kullanılır:

• Microsoft Entra Id , bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Microsoft Entra Id, kullanıcılarınızın Microsoft 365, Azure portalı ve diğer binlerce SaaS uygulaması gibi dış kaynaklara erişmesine yardımcı olur. Ayrıca şirket intranet ağınızdaki uygulamalar gibi iç kaynaklara erişmelerine de yardımcı olur.

• Azure Sanal Ağ, Azure'daki özel ağınız için temel yapı taşıdır. Sanal Ağ birçok Azure kaynağı türünün birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar. Sanal Ağ ölçek, kullanılabilirlik ve yalıtım gibi Azure altyapısından yararlanan bir sanal ağ sağlar.

• Azure Load Balancer , tüm UDP ve TCP protokolleri için yüksek performanslı, düşük gecikme süreli katman 4 yük dengeleme hizmetidir (gelen ve giden). Çözümünüzün yüksek oranda kullanılabilir olmasını sağlarken saniyede milyonlarca isteği işleyecek şekilde derlenir. Azure Load Balancer alanlar arası yedeklidir ve Kullanılabilirlik Alanları genelinde yüksek kullanılabilirlik sağlar.

• Sanal makineler , Azure'ın sunduğu çeşitli isteğe bağlı, ölçeklenebilir bilgi işlem kaynaklarından biridir. Azure sanal makinesi (VM), çalıştıran fiziksel donanımı satın almak ve bakımını yapmak zorunda kalmadan sanallaştırma esnekliği sağlar.

• Azure Kubernetes hizmeti (AKS), kapsayıcılı uygulamaları dağıtmak ve yönetmek için tam olarak yönetilen bir Kubernetes hizmetidir. AKS sunucusuz Kubernetes, sürekli tümleştirme/sürekli teslim (CI/CD) ve kurumsal düzeyde güvenlik ve idare sağlar.

• Azure Sanal Masaüstü , uzak kullanıcılara masaüstleri sağlamak üzere bulutta çalışan bir masaüstü ve uygulama sanallaştırma hizmetidir.

• App Service Web Apps , web uygulamalarını, REST API'leri ve mobil arka uçları barındırmaya yönelik HTTP tabanlı bir hizmettir. En sevdiğiniz dilde geliştirme yapabilirsiniz ve uygulamalar hem Windows hem de Linux tabanlı ortamlarda kolayca çalışır ve ölçeklendirilir.

• Azure Depolama nesne, blob, dosya, disk, kuyruk ve tablo depolama gibi buluttaki çeşitli veri nesneleri için yüksek oranda kullanılabilir, yüksek oranda ölçeklenebilir, dayanıklı ve güvenli depolama alanıdır. Azure depolama hesabına yazılan tüm veriler hizmet tarafından şifrelenir. Azure Depolama, verilerinize erişmesi gereken kişiler üzerinde ayrıntılı denetime sahip olmanızı sağlar.

• Azure SQL veritabanı , yükseltme, düzeltme eki uygulama, yedeklemeler ve izleme gibi veritabanı yönetimi işlevlerinin çoğunu işleyen tam olarak yönetilen bir PaaS veritabanı altyapısıdır. Bu işlevleri kullanıcı katılımı olmadan sağlar. SQL Veritabanı, uygulamanızın güvenlik ve uyumluluk gereksinimlerini karşılamasına yardımcı olmak için çeşitli yerleşik güvenlik ve uyumluluk özellikleri sağlar.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Rudnei Oliveira | Kıdemli Müşteri Mühendisi

Diğer katkıda bulunanlar:

• Gary Moore | Programcı/Yazar
• Andrew Nathan | Kıdemli Müşteri Mühendisliği Yöneticisi

Sonraki adımlar

Microsoft,BT ortamınızı güvenli hale getiren daha fazla belgeye sahiptir ve aşağıdaki makaleler özellikle yararlı olabilir:

• Azure için Microsoft Bulut Benimseme Çerçevesi'nde güvenlik. Bulut Benimseme Çerçevesi süreçleri, en iyi yöntemleri, modelleri ve deneyimi netleştirerek bulut yolculuğunuz için güvenlik yönergeleri sağlar.
• Microsoft Azure İyi Tasarlanmış Çerçeve. Azure İyi Tasarlanmış Çerçeve, bir iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösterici ilkedir. Çerçeve beş yapıyı temel alır: güvenilirlik, güvenlik, maliyet iyileştirme, operasyonel mükemmellik ve performans verimliliği.
• Microsoft Güvenlik en iyi yöntemleri. Microsoft Güvenlik en iyi yöntemleri (eski adıyla Azure Güvenlik Pusulası veya Microsoft Güvenlik Pusulası), güvenlikle ilgili kararlar için net, eyleme dönüştürülebilir yönergeler sağlayan en iyi yöntemler koleksiyonudur.
• Microsoft Siber Güvenlik Başvuru Mimarileri (MCRA). MCRA, çeşitli Microsoft güvenlik başvuru mimarilerinden oluşan bir derlemedir.

Aşağıdaki kaynaklarda, bu makalede bahsedilen hizmetler, teknolojiler ve terminolojiler hakkında daha fazla bilgi bulabilirsiniz:

• Genel, özel ve hibrit bulut nedir?
• Azure Güvenlik Karşılaştırması'na (v3) genel bakış
• Sıfır Güven ile proaktif güvenliği benimseyin
• Microsoft 365 abonelik bilgileri
• Microsoft Defender XDR

İlgili kaynaklar

Bu başvuru mimarisi hakkında daha fazla ayrıntı için bu serideki diğer makalelere bakın:

• 1. Bölüm: Güvenlik bileşenlerini tümleştirmek için Azure izlemesini kullanma
• 2. Bölüm: Tehditleri BT ortamınıza eşleme
• Bölüm 4: Microsoft Defender XDR Güvenlik hizmetleriyle ikinci savunma katmanını oluşturma
• 5. Bölüm: Azure ile Microsoft Defender XDR güvenlik hizmetleri arasında tümleştirme