Güvenlik önerileri

Makale
04/01/2024

Bu makalede, Bulut için Microsoft Defender görebileceğiniz tüm güvenlik önerileri listelenir. Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır.

Bulut için Defender'daki Öneriler, Microsoft bulut güvenliği karşılaştırmasını temel alır. Microsoft bulut güvenliği karşılaştırması, güvenlik ve uyumluluk için en iyi yöntemler için Microsoft tarafından yazılan yönergeler kümesidir. Bu yaygın olarak saygıdeğer karşılaştırma, İnternet Güvenliği Merkezi (CIS) ve Ulusal Standartlar ve Teknoloji Enstitüsü'nden (NIST) gelen denetimleri temel alır ve bulut odaklı güvenliğe odaklanır.

Bu önerilere yanıt olarak gerçekleştirebileceğiniz eylemler hakkında bilgi edinmek için bkz. Bulut için Defender'de önerileri düzeltme.

Güvenlik puanınız, tamamladığınız güvenlik önerilerinin sayısına bağlıdır. Önce hangi önerilerin çözümlenmesi gerektiğine karar vermek için, her önerinin önem derecesine ve güvenlik puanınız üzerindeki olası etkisine bakın.

İpucu

Bir önerinin açıklamasında İlişkili ilke yok ifadesi varsa, bunun nedeni genellikle önerinin farklı bir öneriye ve ilkeye bağımlı olmasıdır.

Örneğin, uç nokta koruma sistem durumu hataları düzeltilmelidir önerisi, bir uç nokta koruma çözümünün bile yüklü olup olmadığını denetleyene (Uç nokta koruma çözümü yüklenmelidir) öneriye bağlıdır. Temel alınan önerinin bir ilkesi vardır. İlkeleri yalnızca temel öneriyle sınırlamak, ilke yönetimini basitleştirir.

AppServices önerileri

API Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır

Açıklama: HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. (İlgili ilke: API Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır).

Önem Derecesi: Orta

CORS, her kaynağın API Apps'e erişmesine izin vermemelidir

Açıklama: Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının API uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının API uygulamanızla etkileşim kurmasına izin verin. (İlgili ilke: CORS, her kaynağın API Uygulamanıza erişmesine izin vermemelidir).

Önem Derecesi: Düşük

CORS, her kaynağın İşlev Uygulamalarına erişmesine izin vermemelidir

Açıklama: Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. (İlgili ilke: CORS, her kaynağın İşlev Uygulamalarınıza erişmesine izin vermemelidir).

Önem Derecesi: Düşük

CORS, her kaynağın Web Uygulamalarına erişmesine izin vermemelidir

Açıklama: Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının web uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının web uygulamanızla etkileşim kurmasına izin verin. (İlgili ilke: CORS, her kaynağın Web Uygulamalarınıza erişmesine izin vermemelidir).

Önem Derecesi: Düşük

App Service'teki tanılama günlükleri etkinleştirilmelidir

Açıklama: Uygulamada tanılama günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa (İlgili ilke yok) araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır.

Önem Derecesi: Orta

API uygulamasında İstemci Sertifikaları Gelen istemci sertifikalarının Açık olarak ayarlandığından emin olun

Açıklama: İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. (İlgili ilke: API uygulamasında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' öğesinin 'Açık' olarak ayarlandığından emin olun.

Önem Derecesi: Orta

API uygulamalarında FTPS gerekli olmalıdır

Açıklama: Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin (İlgili ilke: FTPS yalnızca API Uygulamanızda gereklidir).

Önem Derecesi: Yüksek

İşlev uygulamalarında FTPS gerekli olmalıdır

Açıklama: Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin (İlgili ilke: FTPS yalnızca İşlev Uygulamanızda gereklidir).

Önem Derecesi: Yüksek

Web uygulamalarında FTPS gerekli olmalıdır

Açıklama: Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin (İlgili ilke: Web Uygulamanızda FTPS gereklidir).

Önem Derecesi: Yüksek

İşlev Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır

Açıklama: HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. (İlgili ilke: İşlev Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır).

Önem Derecesi: Orta

İşlev uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir

Açıklama: İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. (İlgili ilke: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir.

Önem Derecesi: Orta

Java, API uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama: Güvenlik açıkları veya ek işlevler içermesi nedeniyle java için düzenli aralıklarla daha yeni sürümler yayınlanıyor. API uygulamaları için en son Python sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmanızı öneririz. (İlgili ilke: API uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun).

Önem Derecesi: Orta

Yönetilen kimlik API uygulamalarında kullanılmalıdır

Açıklama: Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanın. Azure'da yönetilen kimlikler, Azure AD'de Azure kaynağı için bir kimlik sağlayarak ve Azure Active Directory (Azure AD) belirteçlerini almak için bu kimliği kullanarak geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldırır. (İlgili ilke: Yönetilen kimlik API Uygulamanızda kullanılmalıdır).

Önem Derecesi: Orta

Yönetilen kimlik işlev uygulamalarında kullanılmalıdır

Önem Derecesi: Orta

Yönetilen kimlik web uygulamalarında kullanılmalıdır

Önem Derecesi: Orta

App Service için Microsoft Defender etkinleştirilmelidir

Açıklama: App Service için Microsoft Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. App Service için Microsoft Defender uygulamalarınıza yönelik saldırıları bulabilir ve yeni çıkan saldırıları belirleyebilir.

Önemli: Bu önerinin düzeltilmesi, App Service planlarınızı korumaya yönelik ücretlendirmelere neden olur. Bu abonelikte App Service planınız yoksa ücret alınmaz. Gelecekte bu abonelikte herhangi bir App Service planı oluşturursanız, bunlar otomatik olarak korunur ve ücretler o zaman başlar. Web uygulamalarınızı ve API'lerinizi koruma bölümünde daha fazla bilgi edinin. (İlgili ilke: App Service için Azure Defender etkinleştirilmelidir).

Önem Derecesi: Yüksek

PHP, API uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama: Güvenlik açıkları nedeniyle veya ek işlevsellik eklemek amacıyla PHP yazılımı için düzenli aralıklarla daha yeni sürümler yayınlanıyor. API uygulamaları için en son PHP sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmanızı öneririz. (İlgili ilke: API uygulamasının bir parçası olarak kullanılıyorsa 'PHP sürümünün' en son sürüm olduğundan emin olun).

Önem Derecesi: Orta

Python, API uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama: Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler dahil olmak üzere Python yazılımı için daha yeni sürümler yayınlanıyor. API uygulamaları için en son Python sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmanızı öneririz. (İlgili ilke: API uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun).

Önem Derecesi: Orta

API Uygulaması için uzaktan hata ayıklama kapatılmalıdır

Açıklama: Uzaktan hata ayıklama, bir API uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. (İlgili ilke: API Apps için uzaktan hata ayıklama kapatılmalıdır).

Önem Derecesi: Düşük

İşlev Uygulaması için uzaktan hata ayıklama kapatılmalıdır

Açıklama: Uzaktan hata ayıklama, bir Azure İşlevi uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. (İlgili ilke: İşlev Uygulamaları için uzaktan hata ayıklama kapatılmalıdır).

Önem Derecesi: Düşük

Web Uygulamaları için uzaktan hata ayıklama kapatılmalıdır

Açıklama: Uzaktan hata ayıklama, gelen bağlantı noktalarının bir web uygulamasında açılmasını gerektirir. Uzaktan hata ayıklama şu anda etkin. Uzaktan hata ayıklamayı artık kullanmanız gerekmiyorsa, devre dışı bırakılmalıdır. (İlgili ilke: Web Uygulamaları için uzaktan hata ayıklama kapatılmalıdır).

Önem Derecesi: Düşük

TLS, API uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama: En son TLS sürümüne yükseltin. (İlgili ilke: API Uygulamanızda en son TLS sürümü kullanılmalıdır).

Önem Derecesi: Yüksek

TLS, işlev uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama: En son TLS sürümüne yükseltin. (İlgili ilke: İşlev Uygulamanızda en son TLS sürümü kullanılmalıdır).

Önem Derecesi: Yüksek

TLS, web uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama: En son TLS sürümüne yükseltin. (İlgili ilke: Web Uygulamanızda en son TLS sürümü kullanılmalıdır).

Önem Derecesi: Yüksek

Web Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır

Açıklama: HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. (İlgili ilke: Web Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır).

Önem Derecesi: Orta

Web uygulamaları tüm gelen istekler için ssl sertifikası istemelidir

Açıklama: İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. (İlgili ilke: WEB uygulamasının 'İstemci Sertifikaları (Gelen istemci sertifikaları)' değerinin 'Açık' olarak ayarlandığından emin olun.

Önem Derecesi: Orta

İşlem önerileri

Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir

Açıklama: Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Bulut için Defender, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamaların listesini önerir. (İlgili ilke: Güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri makinelerinizde etkinleştirilmelidir).

Önem Derecesi: Yüksek

Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir

Açıklama: Bulut için Defender uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Bulut için Defender makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. (İlgili ilke: Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir).

Önem Derecesi: Yüksek

Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir

Açıklama: SSH'nin kendisi şifreli bir bağlantı sağlasa da, SSH ile parola kullanmak vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. Azure Linux sanal makinesinde SSH üzerinden kimlik doğrulaması yapmak için en güvenli seçenek, SSH anahtarları olarak da bilinen genel-özel anahtar çiftidir. Daha fazla bilgi için bkz. Ayrıntılı adımlar: Azure'da Linux VM'sinde kimlik doğrulaması için SSH anahtarları oluşturma ve yönetme. (İlgili ilke: Kimlik doğrulaması için SSH anahtarı kullanmayan Linux makinelerini denetleme).

Önem Derecesi: Orta

Otomasyon hesabı değişkenleri şifrelenmelidir

Açıklama: Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir. (İlgili ilke: Otomasyon hesabı değişkenleri şifrelenmelidir).

Önem Derecesi: Yüksek

Sanal makineler için Azure Backup etkinleştirilmelidir

Açıklama: Azure Backup ile Azure sanal makinelerinizdeki verileri koruyun. Azure Backup, Azure'a özel, uygun maliyetli bir veri koruma çözümüdür. Coğrafi olarak yedekli kurtarma kasalarında depolanan kurtarma noktaları oluşturur. Bir kurtarma noktasından geri yükleme yaptığınızda VM’nin tamamını veya belirli dosyaları geri yükleyebilirsiniz. (İlgili ilke: Azure Backup Sanal Makineler) için etkinleştirilmelidir.

Önem Derecesi: Düşük

Kapsayıcı konakları güvenli bir şekilde yapılandırılmalıdır

Açıklama: Docker'ın yüklü olduğu makinelerde güvenlik yapılandırmasındaki güvenlik açıklarını düzelterek bunları saldırılardan koruyun. (İlgili ilke: Kapsayıcı güvenliği yapılandırmalarındaki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

Azure Stream Analytics'te tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Azure Stream Analytics'teki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Batch hesaplarındaki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Batch hesaplarındaki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Event Hubs'daki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Event Hubs'daki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Logic Apps'teki tanılama günlükleri etkinleştirilmelidir

Açıklama: Güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturabildiğinizden emin olmak için günlüğe kaydetmeyi etkinleştirin. Tanılama günlükleriniz log analytics çalışma alanına, Azure Depolama hesabına veya Azure Event Hubs'a gönderilmiyorsa, ilgili hedeflere platform ölçümleri ve platform günlükleri göndermek için tanılama ayarlarını yapılandırdığınızdan emin olun. Platform günlüklerini ve ölçümlerini farklı hedeflere göndermek için tanılama ayarları oluşturma bölümünde daha fazla bilgi edinin. (İlgili ilke: Logic Apps'teki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Arama hizmeti'lerdeki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Arama hizmeti'lerdeki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Service Bus'taki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Service Bus'taki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Sanal Makine Ölçek Kümeleri tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Sanal Makine Ölçek Kümeleri tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Yüksek

EDR yapılandırma sorunları sanal makinelerde çözülmelidir

Açıklama: Sanal makineleri en son tehditlere ve güvenlik açıklarına karşı korumak için, yüklü Uç Nokta Algılama ve Yanıt (EDR) çözümüyle ilgili tüm tanımlanan yapılandırma sorunlarını çözün.
Not: Şu anda bu öneri yalnızca Uç Nokta için Microsoft Defender (MDE) etkinleştirilmiş kaynaklar için geçerlidir.

Önem Derecesi: Düşük

EDR çözümü Sanal Makineler yüklenmelidir

Açıklama: Sanal makinelere Uç Nokta Algılama ve Yanıt (EDR) çözümü yüklemek, gelişmiş tehditlere karşı koruma açısından önemlidir. EDR'ler bu tehditleri önlemeye, algılamaya, araştırmaya ve yanıtlamaya yardımcı olur. Sunucular için Microsoft Defender, Uç Nokta için Microsoft Defender dağıtmak için kullanılabilir. Bir kaynak "İyi durumda değil" olarak sınıflandırılırsa desteklenen bir EDR çözümünün yokluğunu gösterir. Bir EDR çözümü yüklüyse ancak bu öneri tarafından bulunamıyorsa, muaf tutulabilir. EDR çözümü olmadan sanal makineler gelişmiş tehdit riski altındadır.

Önem Derecesi: Yüksek

Sanal makine ölçek kümelerinde uç nokta koruma sistem durumu sorunları çözülmelidir

Açıklama: Sanal makine ölçek kümelerinizdeki uç nokta koruma sistem durumu hatalarını düzelterek bunları tehditlere ve güvenlik açıklarına karşı koruyun. (İlgili ilke: Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir).

Önem Derecesi: Düşük

Uç nokta koruması sanal makine ölçek kümelerine yüklenmelidir

Açıklama: Sanal makinelerinizin ölçek kümelerine tehditlerden ve güvenlik açıklarından korumak için bir uç nokta koruma çözümü yükleyin. (İlgili ilke: Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir).

Önem Derecesi: Yüksek

Makinelerde dosya bütünlüğü izleme etkinleştirilmelidir

Açıklama: Bulut için Defender, dosya bütünlüğü izleme çözümü eksik makineleri tanımladı. Sunucularınızdaki kritik dosyalara, kayıt defteri anahtarlarına ve daha fazlasına yapılan değişiklikleri izlemek için dosya bütünlüğü izlemeyi etkinleştirin. Dosya bütünlüğü izleme çözümü etkinleştirildiğinde, izlenecek dosyaları tanımlamak için veri toplama kuralları oluşturun. Kuralları tanımlamak veya mevcut kurallara sahip makinelerde değiştirilen dosyaları görmek için dosya bütünlüğü izleme yönetimi sayfasına gidin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Konuk Kanıtlama uzantısı desteklenen Linux sanal makine ölçek kümelerine yüklenmelidir

Açıklama: Bulut için Microsoft Defender önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen Linux sanal makine ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme yalnızca güvenilir başlatma özellikli Linux sanal makine ölçek kümeleri için geçerlidir.

Önemli: Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir. İlk olarak onsuz oluşturulan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz. Azure sanal makineleri için güvenilen başlatma hakkında daha fazla bilgi edinin. (İlişkili ilke yok)

Önem Derecesi: Düşük

Konuk Kanıtlama uzantısı desteklenen Linux sanal makinelerine yüklenmelidir

Açıklama: Bulut için Microsoft Defender önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen Linux sanal makinelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme yalnızca güvenilir başlatma özellikli Linux sanal makineleri için geçerlidir.

Önem Derecesi: Düşük

Konuk Kanıtlama uzantısı desteklenen Windows sanal makine ölçek kümelerine yüklenmelidir

Açıklama: Bulut için Microsoft Defender önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makine ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makine ölçek kümeleri için geçerlidir.

Önem Derecesi: Düşük

Konuk Kanıtlama uzantısı desteklenen Windows sanal makinelerine yüklenmelidir

Açıklama: Bulut için Microsoft Defender önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makinelere Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makineler için geçerlidir.

Önem Derecesi: Düşük

Konuk Yapılandırma uzantısı makinelere yüklenmelidir

Açıklama: Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, Windows Exploit guard'ın etkinleştirilmesi gerektiği gibi konuk içi ilkeler kullanılabilir. (İlgili ilke: Sanal makineler Konuk Yapılandırması uzantısına sahip olmalıdır).

Önem Derecesi: Orta

Sanal makinelere uç nokta koruma çözümü yükleme

Açıklama: Sanal makinelerinizi tehditlere ve güvenlik açıklarına karşı korumak için bir uç nokta koruma çözümü yükleyin. (İlgili ilke: Azure Güvenlik Merkezi) içinde eksik Endpoint Protection'ın izlenmesi.

Önem Derecesi: Yüksek

Linux sanal makineleri çekirdek modülü imza doğrulamayı zorunlu kılmalıdır

Açıklama: Çekirdek modunda kötü amaçlı veya yetkisiz kodun yürütülmesine karşı azaltmaya yardımcı olmak için desteklenen Linux sanal makinelerinde çekirdek modülü imza doğrulamasını zorunlu kılın. Çekirdek modülü imza doğrulaması, yalnızca güvenilen çekirdek modüllerinin çalışmasına izin verileceğini güvence altına alır. Bu değerlendirme yalnızca Azure İzleyici Aracısı'nın yüklü olduğu Linux sanal makineleri için geçerlidir. (İlişkili ilke yok)

Önem Derecesi: Düşük

Linux sanal makineleri yalnızca imzalı ve güvenilen önyükleme bileşenlerini kullanmalıdır

Açıklama: Güvenli Önyükleme etkinleştirildiğinde, tüm işletim sistemi önyükleme bileşenleri (önyükleme yükleyicisi, çekirdek, çekirdek sürücüleri) güvenilir yayımcılar tarafından imzalanmalıdır. Bulut için Defender, bir veya daha fazla Linux makinenizde güvenilmeyen işletim sistemi önyükleme bileşenleri tanımladı. Makinelerinizi kötü amaçlı olabilecek bileşenlerden korumak için izin verilenler listenize ekleyin veya tanımlanan bileşenleri kaldırın. (İlişkili ilke yok)

Önem Derecesi: Düşük

Linux sanal makineleri Güvenli Önyükleme kullanmalıdır

Açıklama: Kötü amaçlı yazılım tabanlı rootkit'lerin ve önyükleme setlerinin yüklenmesine karşı koruma sağlamak için desteklenen Linux sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Güvenli Önyükleme, yalnızca imzalı işletim sistemlerinin ve sürücülerin çalışmasına izin verileceğini güvence altına alır. Bu değerlendirme yalnızca Azure İzleyici Aracısı'nın yüklü olduğu Linux sanal makineleri için geçerlidir. (İlişkili ilke yok)

Önem Derecesi: Düşük

Log Analytics aracısı Linux tabanlı Azure Arc özellikli makinelere yüklenmelidir

Açıklama: Bulut için Defender, Azure Arc makinelerinizden güvenlik olaylarını toplamak için Log Analytics aracısını (OMS olarak da bilinir) kullanır. Aracıyı tüm Azure Arc makinelerinize dağıtmak için düzeltme adımlarını izleyin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Log Analytics aracısı sanal makine ölçek kümelerine yüklenmelidir

Açıklama: Bulut için Defender güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olan Log Analytics aracısı kullanılarak toplanır. VM'leriniz Azure Kubernetes Service veya Azure Service Fabric gibi bir Azure yönetilen hizmeti tarafından kullanılıyorsa da bu yordamı izlemeniz gerekir. Azure sanal makine ölçek kümeleri için aracının otomatik sağlamasını yapılandıramazsınız. Aracıyı sanal makine ölçek kümelerine (Azure Kubernetes Service ve Azure Service Fabric gibi Azure yönetilen hizmetleri tarafından kullanılanlar dahil) dağıtmak için düzeltme adımlarındaki yordamı izleyin. (İlgili ilke: Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir).

Önem Derecesi: Yüksek

Log Analytics aracısı sanal makinelere yüklenmelidir

Açıklama: Bulut için Defender güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için Log Analytics çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olan Log Analytics aracısı kullanılarak toplanır. Vm'leriniz Azure Kubernetes Service veya Azure Service Fabric gibi bir Azure yönetilen hizmeti tarafından kullanılıyorsa da bu aracı gereklidir. Aracıyı otomatik olarak dağıtmak için otomatik sağlamayı yapılandırmanızı öneririz. Otomatik sağlamayı kullanmamayı seçerseniz, düzeltme adımlarındaki yönergeleri kullanarak aracıyı VM'lerinize el ile dağıtın. (İlgili ilke: Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir).

Önem Derecesi: Yüksek

Log Analytics aracısı Windows tabanlı Azure Arc özellikli makinelere yüklenmelidir

Açıklama: Bulut için Defender, Azure Arc makinelerinizden güvenlik olaylarını toplamak için Log Analytics aracısını (MMA olarak da bilinir) kullanır. Aracıyı tüm Azure Arc makinelerinize dağıtmak için düzeltme adımlarını izleyin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Makineler güvenli bir şekilde yapılandırılmalıdır

Açıklama: Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıklarını düzelterek bunları saldırılardan koruyun. (İlgili ilke: Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Düşük

Güvenlik yapılandırma güncelleştirmelerini uygulamak için makineler yeniden başlatılmalıdır

Açıklama: Güvenlik yapılandırma güncelleştirmelerini uygulamak ve güvenlik açıklarına karşı koruma sağlamak için makinelerinizi yeniden başlatın. Bu değerlendirme yalnızca Azure İzleyici Aracısı'nın yüklü olduğu Linux sanal makineleri için geçerlidir. (İlişkili ilke yok)

Önem Derecesi: Düşük

Makinelerin güvenlik açığı değerlendirme çözümü olmalıdır

Açıklama: Bulut için Defender güvenlik açığı değerlendirme araçlarını çalıştırdığından emin olmak için bağlı makinelerinizi düzenli olarak denetler. Bir güvenlik açığı değerlendirme çözümü dağıtmak için bu öneriyi kullanın. (İlgili ilke: Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir).

Önem Derecesi: Orta

Makinelerde güvenlik açığı bulguları çözümlenmelidir

Açıklama: Sanal makinelerinizdeki güvenlik açığı değerlendirme çözümlerinden elde edilen bulguları çözün. (İlgili ilke: Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir).

Önem Derecesi: Düşük

Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır

Açıklama: Bulut için Defender, Ağ Güvenlik Grubunuzdaki yönetim bağlantı noktaları için aşırı izinli gelen kuralları tanımladı. VM'nizi İnternet tabanlı deneme yanılma saldırılarına karşı korumak için tam zamanında erişim denetimini etkinleştirin. Tam zamanında (JIT) VM erişimini anlama bölümünde daha fazla bilgi edinin. (İlgili ilke: Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır).

Önem Derecesi: Yüksek

Sunucular için Microsoft Defender etkinleştirilmelidir

Açıklama: Sunucular için Microsoft Defender, sunucu iş yükleriniz için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. Güvenlik sorunlarını hızla düzeltmek ve sunucularınızın güvenliğini geliştirmek için bu bilgileri kullanabilirsiniz.

Önemli: Bu önerinin düzeltilmesi, sunucularınızın korunmasıyla ilgili ücretlendirmelere neden olur. Bu abonelikte herhangi bir sunucunuz yoksa ücret alınmaz. Gelecekte bu abonelikte herhangi bir sunucu oluşturursanız, bu sunucular otomatik olarak korunur ve ücretler o zaman başlar. Sunucular için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlgili ilke: Sunucular için Azure Defender etkinleştirilmelidir).

Önem Derecesi: Yüksek

Sunucular için Microsoft Defender çalışma alanlarında etkinleştirilmelidir

Açıklama: Sunucular için Microsoft Defender, Windows ve Linux makineleriniz için tehdit algılama ve gelişmiş savunmalar getirir. Bu Defender planı aboneliklerinizde etkinleştirildiğinde ancak çalışma alanlarınızda etkinleştirilmediğinden, sunucular için Microsoft Defender'ın tüm özellikleri için ödeme yapıyor ancak bazı avantajları kaçırıyorsunuz. Çalışma alanında sunucular için Microsoft Defender'ı etkinleştirdiğinizde, bu çalışma alanına raporlama yapan tüm makineler, Defender planları etkin olmayan aboneliklerde olsalar bile sunucular için Microsoft Defender için faturalandırılır. Abonelikteki sunucular için Microsoft Defender'ı da etkinleştirmediğiniz sürece, bu makineler Azure kaynakları için tam zamanında VM erişiminden, uyarlamalı uygulama denetimlerinden ve ağ algılamalarından yararlanamaz. Sunucular için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlişkili ilke yok)

Önem Derecesi: Orta

Desteklenen Windows sanal makinelerinde Güvenli Önyükleme etkinleştirilmelidir

Açıklama: Önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmak için desteklenen Windows sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdeğin ve çekirdek sürücülerinin çalışmasına izin verilir. Bu değerlendirme yalnızca güvenilen başlatma özellikli Windows sanal makineleri için geçerlidir.

Önem Derecesi: Düşük

Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır

Açıklama: Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın. (İlgili ilke: Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır).

Önem Derecesi: Yüksek

Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır

Açıklama: İstemci kimlik doğrulamasını yalnızca Service Fabric'te Azure Active Directory aracılığıyla gerçekleştirin (İlgili ilke: Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır).

Önem Derecesi: Yüksek

Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir

Açıklama: Windows ve Linux sanal makine ölçek kümelerinizin güvenliğini sağlamak için eksik sistem güvenliğini ve kritik güncelleştirmeleri yükleyin. (İlgili ilke: Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir).

Önem Derecesi: Yüksek

Sistem güncelleştirmeleri makinelerinize yüklenmelidir

Açıklama: Windows ve Linux sanal makinelerinizin ve bilgisayarlarınızın güvenliğini sağlamak için eksik sistem güvenliğini ve kritik güncelleştirmeleri yükleyin (İlgili ilke: Sistem güncelleştirmeleri makinelerinize yüklenmelidir).

Önem Derecesi: Yüksek

Sistem güncelleştirmeleri makinelerinize yüklenmelidir (Güncelleştirme Merkezi tarafından desteklenir)

Açıklama: Makinelerinizde sistem, güvenlik ve kritik güncelleştirmeler eksik. Yazılım güncelleştirmeleri genellikle güvenlik deliklerine yönelik kritik düzeltme eklerini içerir. Bu tür delikler kötü amaçlı yazılım saldırılarında sıklıkla kötüye kullanılır, bu nedenle yazılımınızı güncel tutmak çok önemlidir. Tüm bekleyen düzeltme eklerini yüklemek ve makinelerinizin güvenliğini sağlamak için düzeltme adımlarını izleyin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Sanal makine ölçek kümeleri güvenli bir şekilde yapılandırılmalıdır

Açıklama: Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıklarını düzelterek bunları saldırılara karşı koruyun. (İlgili ilke: Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

Sanal makineler konuk kanıtlama durumu iyi durumda olmalıdır

Açıklama: Konuk kanıtlama, bir kanıtlama sunucusuna güvenilir bir günlük (TCGLog) gönderilerek gerçekleştirilir. Sunucu, önyükleme bileşenlerinin güvenilir olup olmadığını belirlemek için bu günlükleri kullanır. Bu değerlendirme, bootkit veya rootkit bulaşmasının sonucu olabilecek önyükleme zincirinin risklerini algılamaya yöneliktir. Bu değerlendirme yalnızca Konuk Kanıtlama uzantısının yüklü olduğu Güvenilen Başlatma özellikli sanal makineler için geçerlidir. (İlişkili ilke yok)

Önem Derecesi: Orta

Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır

Açıklama: Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi edinin (İlgili ilke: Konuk Yapılandırma uzantısı, sistem tarafından atanan yönetilen kimlikle Azure sanal makinelerine dağıtılmalıdır).

Önem Derecesi: Orta

Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir

Açıklama: Sanal Makineler (klasik) kullanım dışı bırakıldı ve bu VM'ler Azure Resource Manager'a geçirilmelidir. Azure Resource Manager artık tam IaaS özelliklerine ve diğer ilerlemelere sahip olduğundan, 28 Şubat 2020'de Azure Service Manager (ASM) aracılığıyla IaaS sanal makinelerinin (VM) yönetimini kullanım dışı bırakılmıştır. Bu işlev 1 Mart 2023'te tamamen kullanımdan kaldırılacaktır.

Etkilenen tüm klasik VM'leri görüntülemek için 'dizinler + abonelikler' sekmesi altında tüm Azure aboneliklerinizi seçtiğinizden emin olun.

Bu araç ve geçiş hakkında kullanılabilir kaynaklar ve bilgiler: Sanal makinelerin (klasik) kullanımdan kaldırılmasına genel bakış, geçiş için adım adım işlem ve kullanılabilir Microsoft kaynakları.Azure Resource Manager geçiş aracına geçiş hakkındaki ayrıntılar.PowerShell kullanarak Azure Resource Manager geçiş aracına geçiş. (İlgili ilke: Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir).

Önem Derecesi: Yüksek

Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir

Açıklama: Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapılırken veriler şifrelenmez. Azure'daki farklı disk şifreleme teknolojilerinin karşılaştırması için bkz https://aka.ms/diskencryptioncomparison. . Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi kullanın. Aşağıdakiler durumunda bu öneriyi göz ardı edin:

Konakta şifreleme özelliğini veya 2'yi kullanıyorsunuz. Yönetilen Disklerde sunucu tarafı şifreleme güvenlik gereksinimlerinizi karşılıyor. Azure Disk Depolama sunucu tarafı şifrelemesi hakkında daha fazla bilgi edinin. (İlgili ilke: Disk şifrelemesi sanal makinelere uygulanmalıdır)

Önem Derecesi: Yüksek

Desteklenen sanal makinelerde vTPM etkinleştirilmelidir

Açıklama: Ölçülen Önyüklemeyi ve TPM gerektiren diğer işletim sistemi güvenlik özelliklerini kolaylaştırmak için desteklenen sanal makinelerde sanal TPM cihazını etkinleştirin. Etkinleştirildikten sonra, önyükleme bütünlüğünü test etmek için vTPM kullanılabilir. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makineler için geçerlidir.

Önem Derecesi: Düşük

Linux makinelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir (Konuk Yapılandırması tarafından desteklenir)

Açıklama: Linux makinelerinizde güvenlik yapılandırmasındaki güvenlik açıklarını düzelterek saldırılara karşı koruyun. (İlgili ilke: Linux makineleri Azure güvenlik temeli gereksinimlerini karşılamalıdır).

Önem Derecesi: Düşük

Windows makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir (Konuk Yapılandırması tarafından desteklenir)

Açıklama: Windows makinelerinizde güvenlik yapılandırmasındaki güvenlik açıklarını düzelterek bunları saldırılara karşı koruyun. (İlişkili ilke yok)

Önem Derecesi: Düşük

Windows Defender Exploit Guard makinelerde etkinleştirilmelidir

Açıklama: Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). (İlgili ilke: Windows Defender Exploit Guard'ın etkinleştirilmediği Windows makinelerini denetleme).

Önem Derecesi: Orta

Windows web sunucuları güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır

Açıklama: İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için web sunucularınız endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifrelemek için güvenlik sertifikalarını kullanarak ağ üzerinden iletişimin güvenliğini sağlar. (İlgili ilke: Güvenli iletişim protokolleri kullanmayan Windows web sunucularını denetleme).

Önem Derecesi: Yüksek

[Önizleme]: Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir

Açıklama: Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapılırken veriler şifrelenmez. Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. (İlgili ilke: [Önizleme]: Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost) etkinleştirmelidir.

Önem Derecesi: Yüksek

[Önizleme]: Windows sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir

Açıklama: Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapılırken veriler şifrelenmez. Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. (İlgili ilke: [Önizleme]: Windows sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost) etkinleştirmelidir.

Önem Derecesi: Yüksek

Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir

Açıklama: Sanal makinenizin ve sanal makine ölçek kümesi verilerinizin uçtan uca şifrelemesini almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. Konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirmek için Azure portalını kullanma hakkında daha fazla bilgi edinin. (İlgili ilke: Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir).

Önem Derecesi: Orta

(Önizleme) Azure Stack HCI sunucuları Güvenli çekirdek gereksinimlerini karşılamalıdır

Açıklama: Tüm Azure Stack HCI sunucularının Güvenli çekirdek gereksinimlerini karşıladığından emin olun. (İlgili ilke: Konuk Yapılandırma uzantısı makinelere yüklenmelidir - Microsoft Azure).

Önem Derecesi: Düşük

(Önizleme) Azure Stack HCI sunucularının sürekli olarak zorunlu uygulama denetimi ilkeleri olmalıdır

Açıklama: Microsoft WDAC temel ilkesini en azından tüm Azure Stack HCI sunucularında zorunlu modda uygulayın. Uygulanan Windows Defender Uygulama Denetimi (WDAC) ilkeleri aynı kümedeki sunucular arasında tutarlı olmalıdır. (İlgili ilke: Konuk Yapılandırma uzantısı makinelere yüklenmelidir - Microsoft Azure).

Önem Derecesi: Yüksek

(Önizleme) Azure Stack HCI sistemlerinde şifrelenmiş birimler olmalıdır

Açıklama: Azure Stack HCI sistemlerinde işletim sistemini ve veri birimlerini şifrelemek için BitLocker kullanın. (İlgili ilke: Konuk Yapılandırma uzantısı makinelere yüklenmelidir - Microsoft Azure).

Önem Derecesi: Yüksek

(Önizleme) Konak ve VM ağı Azure Stack HCI sistemlerinde korunmalıdır

Açıklama: Azure Stack HCI konağının ağında ve sanal makine ağ bağlantılarında verileri koruyun. (İlgili ilke: Konuk Yapılandırma uzantısı makinelere yüklenmelidir - Microsoft Azure).

Önem Derecesi: Düşük

Kapsayıcı önerileri

[Önizleme] Azure kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir

Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kayıt defterindeki kapsayıcı görüntüleri için güvenlik açıklarının taranması ve düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

[Önizleme] Azure'da çalışan kapsayıcılarda güvenlik açığı bulguları çözümlenmelidir

Açıklama: Bulut için Defender Kubernetes kümelerinizde çalışmakta olan tüm kapsayıcı iş yüklerinin envanterini oluşturur ve kullanılan görüntülerle kayıt defteri görüntüleri için oluşturulan güvenlik açığı raporlarını eşleştirerek bu iş yükleri için güvenlik açığı raporları sağlar. Kapsayıcı iş yüklerinin güvenlik açıklarının taranması ve düzeltilmesi, sağlam ve güvenli bir yazılım tedarik zincirinin sağlanması, güvenlik olayı riskinin azaltılması ve sektör standartlarıyla uyumluluğun sağlanması açısından kritik öneme sahiptir.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

(Gerekirse etkinleştir) Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/acr/CMK. . (İlgili ilke: Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir.

Önem Derecesi: Düşük

Tür: Kontrol düzlemi

Azure Arc özellikli Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır

Açıklama: Kubernetes için Azure İlkesi uzantısı, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulayacak şekilde genişletir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Azure Arc özellikli Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır

Açıklama: Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm denetim düzlemi (ana) düğümlerinden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Microsoft Defender arka ucuna gönderir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir

Açıklama: Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender profilini etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. Kapsayıcılar için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Azure Kubernetes Service kümelerinde Kubernetes için Azure İlkesi eklentisi yüklü olmalıdır

Açıklama: Kubernetes için Azure İlkesi eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde ölçekli zorlamalar ve korumalar uygulamak üzere genişletir. Bulut için Defender, kümelerinizin içindeki güvenlik özelliklerini ve uyumluluğu denetlemek ve uygulamak için Eklenti gerektirir. Daha fazla bilgi edinin. Kubernetes v1.14.0 veya üzerini gerektirir. (İlgili ilke: Azure İlkesi Kubernetes hizmeti (AKS) eklentisinin kümelerinizde yüklü ve etkin olması gerekir.

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir

Açıklama: Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağ yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgi için buraya ve buraya bakınhttps://aka.ms/acr/vnet. https://aka.ms/acr/portal/public-network (İlgili ilke: Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir).

Önem Derecesi: Orta

Tür: Kontrol düzlemi

Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. (İlgili ilke: Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Tür: Kontrol düzlemi

Kubernetes hizmetlerindeki tanılama günlükleri etkinleştirilmelidir

Açıklama: Kubernetes hizmetlerinizde tanılama günlüklerini etkinleştirin ve bir yıla kadar tutun. Bu, güvenlik olayı oluştuğunda araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlişkili ilke yok)

Önem Derecesi: Düşük

Tür: Kontrol düzlemi

Kubernetes API sunucusu kısıtlı erişimle yapılandırılmalıdır

Açıklama: Kümenize yalnızca izin verilen ağlardan, makinelerden veya alt ağlardan uygulamaların erişebildiğinden emin olmak için Kubernetes API sunucunuza erişimi kısıtlayın. Erişimi, yetkili IP aralıkları tanımlayarak veya ÖZEL Azure Kubernetes Service kümesi oluşturma bölümünde açıklandığı gibi API sunucularınızı özel kümeler olarak ayarlayarak kısıtlayabilirsiniz. (İlgili ilke: Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır).

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Rol Tabanlı Erişim Denetimi Kubernetes Services üzerinde kullanılmalıdır

Açıklama: Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Hizmet Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. (İlgili ilke: Rol Tabanlı Erişim Denetimi (RBAC) Kubernetes Services üzerinde kullanılmalıdır.

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Kapsayıcılar için Microsoft Defender etkinleştirilmelidir

Açıklama: Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. Bu bilgileri kullanarak güvenlik sorunlarını hızlı bir şekilde çözebilir ve kapsayıcılarınızın güvenlik düzeyini artırabilirsiniz.

Önemli: Bu önerinin düzeltilmesi, Kubernetes kümelerinizi korumayla ilgili ücretlendirmelere neden olur. Bu abonelikte kubernetes kümeniz yoksa ücret alınmaz. Gelecekte bu abonelikte herhangi bir Kubernetes kümesi oluşturursanız, bu kümeler otomatik olarak korunur ve ücretler o zaman başlar. Kapsayıcılar için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Kapsayıcı CPU ve bellek sınırları zorunlu kılınmalıdır

Açıklama: CPU ve bellek sınırlarını zorunlu tutma, kaynak tükenme saldırılarını (hizmet reddi saldırısının bir biçimi) önler.

Çalışma zamanının kapsayıcının yapılandırılan kaynak sınırından daha fazlasını kullanmasını engellediğinden emin olmak için kapsayıcılar için sınırlar ayarlamanızı öneririz.

(İlgili ilke: Kapsayıcı CPU ve bellek kaynak sınırlarının Kubernetes kümesinde belirtilen sınırları aşmadığından emin olun).

Önem Derecesi: Orta

Tür: Kubernetes Veri düzlemi

Kapsayıcı görüntüleri yalnızca güvenilen kayıt defterlerinden dağıtılmalıdır

Açıklama: Kubernetes kümenizde çalışan görüntüler bilinen ve izlenen kapsayıcı görüntüsü kayıt defterlerinden gelmelidir. Güvenilen kayıt defterleri bilinmeyen güvenlik açıklarının, güvenlik sorunlarının ve kötü amaçlı görüntülerin kullanıma sunulması olasılığını sınırlayarak kümenizin maruz kalma riskini azaltır.

(İlgili ilke: Yalnızca Kubernetes kümesinde izin verilen kapsayıcı görüntüleri olduğundan emin olun).

Önem Derecesi: Yüksek

Tür: Kubernetes Veri düzlemi

Ayrıcalık yükseltmesi olan kapsayıcılardan kaçınılmalıdır

Açıklama: Kapsayıcılar, Kubernetes kümenizdeki köke ayrıcalık yükseltmesi ile çalışmamalıdır. AllowPrivilegeEscalation özniteliği, bir işlemin üst işleminden daha fazla ayrıcalık kazanıp kazanamayacağını denetler. (İlgili ilke: Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Açıklama: Kapsayıcı dışında ayrıcalık yükseltmeye karşı koruma sağlamak için Kubernetes kümesindeki hassas konak ad alanlarına (konak işlem kimliği ve konak IPC) pod erişiminden kaçının. (İlgili ilke: Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Kapsayıcılar yalnızca izin verilen AppArmor profillerini kullanmalıdır

Açıklama: Kubernetes kümelerinde çalışan kapsayıcılar yalnızca izin verilen AppArmor profilleriyle sınırlandırılmalıdır. ; AppArmor (Application Armor), bir işletim sistemini ve uygulamalarını güvenlik tehditlerine karşı koruyan bir Linux güvenlik modülüdür. Bunu kullanmak için sistem yöneticisi appArmor güvenlik profilini her programla ilişkilendirir. (İlgili ilke: Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır).

Önem Derecesi: Yüksek

Tür: Kubernetes veri düzlemi

Kapsayıcılar için sabit (salt okunur) kök dosya sistemi zorunlu kılınmalıdır

Açıklama: Kapsayıcılar Kubernetes kümenizde salt okunur bir kök dosya sistemiyle çalıştırılmalıdır. Sabit dosya sistemi, PATH'e kötü amaçlı ikili dosyalar eklendiğinde kapsayıcıları çalışma zamanındaki değişikliklerden korur. (İlgili ilke: Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır

Açıklama: HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için (İlgili ilke: Kubernetes kümesinde HTTPS girişini zorunlu kılma) adresini ziyaret https://aka.ms/kubepolicydoc edin.

Önem Derecesi: Yüksek

Tür: Kubernetes Veri düzlemi

Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır

Açıklama: Güvenliği aşılmış olabilecek bir Pod kaynağının Kubernetes kümelerine karşı API komutlarını çalıştırmasını önlemek için API kimlik bilgilerini otomatik bağlamayı devre dışı bırakın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. (İlgili ilke: Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır).

Önem Derecesi: Yüksek

Tür: Kubernetes Veri düzlemi

Kubernetes kümeleri CAPSYSADMIN güvenlik özellikleri vermemelidir

Açıklama: Kapsayıcılarınızın saldırı yüzeyini azaltmak için CAP_SYS_ADMIN Linux özelliklerini kısıtlayın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kubernetes veri düzlemi

Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır

Açıklama: ConfigMap, Pod, Gizli Dizi, Hizmet ve ServiceAccount kaynak türlerine yetkisiz erişime karşı korumak için Kubernetes kümelerinde varsayılan ad alanının kullanımını engelleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. (İlgili ilke: Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır).

Önem Derecesi: Düşük

Tür: Kubernetes veri düzlemi

Kapsayıcılar için en az ayrıcalıklı Linux özellikleri zorunlu kılınmalıdır

Açıklama: Kapsayıcınızın saldırı yüzeyini azaltmak için Linux özelliklerini kısıtlayın ve kök kullanıcının tüm ayrıcalıklarını vermeden kapsayıcılara belirli ayrıcalıklar verin. Tüm özellikleri bırakmanızı ve gerekli olanları eklemenizi öneririz (İlgili ilke: Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Ayrıcalıklı kapsayıcılardan kaçınılmalıdır

Açıklama: Sınırsız konak erişimini önlemek için mümkün olduğunca ayrıcalıklı kapsayıcılardan kaçının.

Ayrıcalıklı kapsayıcılar, bir konak makinenin tüm kök özelliklerine sahiptir. Bunlar saldırılar için giriş noktaları olarak ve kötü amaçlı kod veya kötü amaçlı yazılımları güvenliği aşılmış uygulamalara, konaklara ve ağlara yaymak için kullanılabilir. (İlgili ilke: Kubernetes kümesinde ayrıcalıklı kapsayıcılara izin verme).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Kapsayıcıları kök kullanıcı olarak çalıştırmaktan kaçınılmalıdır

Açıklama: Kapsayıcılar Kubernetes kümenizde kök kullanıcılar olarak çalışmamalıdır. Kapsayıcının içindeki kök kullanıcı olarak bir işlem çalıştırıldığında konakta kök olarak çalıştırılır. Bir güvenlik açığı varsa, saldırganın kökü kapsayıcıdadır ve yanlış yapılandırmalardan yararlanmak daha kolay hale gelir. (İlgili ilke: Kubernetes küme podları ve kapsayıcıları yalnızca onaylı kullanıcı ve grup kimlikleriyle çalıştırılmalıdır).

Önem Derecesi: Yüksek

Tür: Kubernetes Veri düzlemi

Hizmetler yalnızca izin verilen bağlantı noktalarını dinlemelidir

Açıklama: Kubernetes kümenizin saldırı yüzeyini azaltmak için, hizmetlerin yapılandırılmış bağlantı noktalarına erişimini sınırlayarak küme erişimini kısıtlayın. (İlgili ilke: Hizmetlerin yalnızca Kubernetes kümesindeki izin verilen bağlantı noktalarını dinlediğinden emin olun).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Konak ağı ve bağlantı noktalarının kullanımı kısıtlanmalıdır

Açıklama: Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. hostNetwork özniteliği etkin olarak oluşturulan podlar düğümün ağ alanını paylaşır. Kapsayıcının ağ trafiğini algılamasını önlemek için podlarınızı konak ağına yerleştirmemenizi öneririz. Düğümün ağında bir kapsayıcı bağlantı noktasını kullanıma sunmanız gerekiyorsa ve Kubernetes Service düğüm bağlantı noktası kullanmak gereksinimlerinizi karşılamıyorsa, diğer bir olasılık da pod belirtimindeki kapsayıcı için bir hostPort belirtmektir. (İlgili ilke: Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığını kullanmalıdır).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Pod HostPath birim bağlamalarının kullanımı, güvenliği aşılmış kapsayıcılardan düğüm erişimini kısıtlamak için bilinen bir listeyle kısıtlanmalıdır

Açıklama: Kubernetes kümenizdeki pod HostPath birim bağlamalarını yapılandırılan izin verilen konak yollarıyla sınırlamanızı öneririz. Bir risk söz konusuysa kapsayıcılardan kapsayıcı düğümü erişimi kısıtlanmalıdır. (İlgili ilke: Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır).

Önem Derecesi: Orta

Tür: Kubernetes Veri düzlemi

Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözülmelidir (Qualys tarafından desteklenir)

Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, güvenlik açıkları için kayıt defterinizi tarar ve her görüntü için ayrıntılı bulguları kullanıma sunar. Güvenlik açıklarını çözmek kapsayıcılarınızın güvenlik duruşunu büyük ölçüde geliştirebilir ve saldırılara karşı koruyabilir. (İlgili ilke: Azure Container Registry görüntülerindeki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir)

Önemli

Bu öneri bir kullanımdan kaldırma yolu üzerindedir. [[Önizleme] Azure kayıt defterindeki kapsayıcı görüntülerinin güvenlik açığı bulguları çözümlenmelidir](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9) önerisiyle değiştiriliyor.

Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, yaygın olarak bilinen güvenlik açıkları (CVE) için kayıt defterinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. (İlgili ilke: Azure Container Registry görüntülerindeki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir)

Önemli

Bu öneri bir kullanımdan kaldırma yolu üzerindedir. Azure'da çalışan kapsayıcıların güvenlik açığı bulguları çözümlenmelidir](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0) önerisiyle değiştiriliyor.

Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, yaygın olarak bilinen güvenlik açıkları (CVE) için kayıt defterinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

Veri önerileri

(Gerekirse etkinleştir) Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/cosmosdb-cmk. . (İlgili ilke: Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Müşteri tarafından yönetilen anahtarlar (CMK) ile Azure Machine Learning çalışma alanı verilerinizin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle CMK'ler gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/azureml-workspaces-cmk. . (İlgili ilke: Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir.

Önem Derecesi: Düşük

(Gerekirse etkinleştir) Bilişsel Hizmetler hesapları, müşteri tarafından yönetilen bir anahtarla (CMK) veri şifrelemeyi etkinleştirmelidir

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, Bilişsel Hizmetler'de depolanan verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/cosmosdb-cmk. . (İlgili ilke: Bilişsel Hizmetler hesapları müşteri tarafından yönetilen bir anahtarla veri şifrelemeyi etkinleştirmeli mi? (CMK))

Önem Derecesi: Düşük

(Gerekirse etkinleştir) MySQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. MySQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. (İlgili ilke: MySQL sunucuları için kendi anahtar veri korumanızı getir seçeneği etkinleştirilmelidir).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) PostgreSQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. PostgreSQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. (İlgili ilke: PostgreSQL sunucuları için kendi anahtar veri korumanızı getirin seçeneği etkinleştirilmelidir).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. (İlgili ilke: SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. (İlgili ilke: SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar (CMK) kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarların kullanılması Öneriler varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Müşteri tarafından yönetilen anahtarları (CMK) kullanarak depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Bir CMK belirttiğinizde, bu anahtar verilerinizi şifreleyen anahtara erişimi korumak ve denetlemek için kullanılır. CMK'leri kullanmak, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. (İlgili ilke: Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar (CMK) kullanmalıdır.

Önem Derecesi: Düşük

Tüm gelişmiş tehdit koruma türleri SQL yönetilen örneği gelişmiş veri güvenliği ayarlarında etkinleştirilmelidir

Açıklama: SQL yönetilen örneklerinizde tüm gelişmiş tehdit koruma türlerini etkinleştirmeniz önerilir. Tüm türlerin etkinleştirilmesi SQL ekleme, veritabanı güvenlik açıkları ve diğer anormal etkinliklere karşı koruma sağlar. (İlişkili ilke yok)

Önem Derecesi: Orta

Tüm gelişmiş tehdit koruma türleri SQL server gelişmiş veri güvenliği ayarlarında etkinleştirilmelidir

Açıklama: SQL sunucularınızdaki tüm gelişmiş tehdit koruma türlerini etkinleştirmeniz önerilir. Tüm türlerin etkinleştirilmesi SQL ekleme, veritabanı güvenlik açıkları ve diğer anormal etkinliklere karşı koruma sağlar. (İlişkili ilke yok)

Önem Derecesi: Orta

API Management hizmetleri sanal ağ kullanmalıdır

Açıklama: Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. (İlgili ilke: API Management hizmetleri bir sanal ağ kullanmalıdır).

Önem Derecesi: Orta

Uygulama Yapılandırması özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. (İlgili ilke: Uygulama Yapılandırması özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

SQL sunucuları için denetim saklama en az 90 gün olarak ayarlanmalıdır

Açıklama: 90 günden kısa bir denetim saklama süresiyle yapılandırılmış SQL sunucularını denetleyin. (İlgili ilke: SQL sunucuları 90 gün denetim saklama veya daha yüksek bir değerle yapılandırılmalıdır.)

Önem Derecesi: Düşük

SQL server'da denetim etkinleştirilmelidir

Açıklama: Sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için SQL Server'ınızda denetimi etkinleştirin. (İlgili ilke: SQL server'da denetim etkinleştirilmelidir).

Önem Derecesi: Düşük

Log Analytics aracısının otomatik sağlanması aboneliklerde etkinleştirilmelidir

Açıklama: Güvenlik açıklarını ve tehditleri izlemek için Bulut için Microsoft Defender Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. (İlgili ilke: Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir).

Önem Derecesi: Düşük

Redis için Azure Cache bir sanal ağ içinde bulunmalıdır

Açıklama: Azure Sanal Ağ (VNet) dağıtımı, erişimi daha fazla kısıtlamak için alt ağların, erişim denetimi ilkelerinin ve diğer özelliklerin yanı sıra Redis için Azure Cache için gelişmiş güvenlik ve yalıtım sağlar. bir Redis için Azure Cache örneği bir sanal ağ ile yapılandırıldığında genel olarak ele alınamaz ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir. (İlgili ilke: Redis için Azure Cache bir sanal ağ içinde bulunmalıdır).

Önem Derecesi: Orta

MySQL için Azure Veritabanı bir Azure Active Directory yöneticisi sağlanmalıdır

Açıklama: Azure AD kimlik doğrulamasını etkinleştirmek üzere MySQL için Azure Veritabanı için bir Azure AD yöneticisi sağlayın. Azure AD kimlik doğrulaması, veritabanı kullanıcıları ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar (İlgili ilke: MySQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır).

Önem Derecesi: Orta

PostgreSQL için Azure Veritabanı bir Azure Active Directory yöneticisi sağlanmalıdır

Açıklama: Azure AD kimlik doğrulamasını etkinleştirmek için PostgreSQL için Azure Veritabanı için bir Azure AD yöneticisi sağlayın. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar
(İlgili ilke: PostgreSQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır).

Önem Derecesi: Orta

Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır

Açıklama: Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. (İlgili ilke: Azure Cosmos DB hesaplarının güvenlik duvarı kuralları olmalıdır).

Önem Derecesi: Orta

Azure Event Grid etki alanları özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanlarınıza eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. (İlgili ilke: Azure Event Grid etki alanları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure Event Grid konuları özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine konularınıza eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. (İlgili ilke: Azure Event Grid konuları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure Machine Learning çalışma alanlarınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/azureml-workspaces-privatelink. (İlgili ilke: Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure SignalR Hizmeti özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine SignalR kaynaklarınıza eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için: https://aka.ms/asrs/privatelink. (İlgili ilke: Azure SignalR Hizmeti özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure Spring Cloud ağ ekleme kullanmalıdır

Açıklama: Azure Spring Cloud örnekleri aşağıdaki amaçlar için sanal ağ ekleme kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. (İlgili ilke: Azure Spring Cloud ağ ekleme özelliğini kullanmalıdır).

Önem Derecesi: Orta

SQL sunucularında Azure Active Directory yöneticisi sağlanmış olmalıdır

Açıklama: Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için bir Azure AD yöneticisi sağlayın. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimine ve merkezi kimlik yönetimine olanak tanır. (İlgili ilke: SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır).

Önem Derecesi: Yüksek

Azure Synapse Çalışma Alanı kimlik doğrulama modu Yalnızca Azure Active Directory olmalıdır

Açıklama: Azure Synapse Çalışma Alanı kimlik doğrulama modu Azure Active Directory Olmalıdır Yalnızca Azure Active Directory kimlik doğrulama yöntemleri, Synapse Çalışma Alanlarının yalnızca kimlik doğrulaması için Azure AD kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi edinin. (İlgili ilke: Synapse Çalışma Alanları kimlik doğrulaması için yalnızca Azure Active Directory kimliklerini kullanmalıdır).

Önem Derecesi: Orta

Bilişsel Hizmetler hesapları veri şifrelemeyi etkinleştirmelidir

Açıklama: Bu ilke, veri şifreleme kullanmayan bilişsel hizmetler hesabını denetler. Depolamaya sahip her Bilişsel Hizmetler hesabı için müşteri tarafından yönetilen veya Microsoft tarafından yönetilen anahtarla veri şifrelemeyi etkinleştirmesi gerekir. (İlgili ilke: Bilişsel Hizmetler hesapları veri şifrelemeyi etkinleştirmelidir).

Önem Derecesi: Düşük

Bilişsel Hizmetler hesapları müşteriye ait depolamayı kullanmalıdır veya veri şifrelemeyi etkinleştirmelidir

Açıklama: Bu ilke, müşterinin sahip olduğu depolama alanını veya veri şifrelemesini kullanmayan bilişsel hizmetler hesabını denetler. Depolama alanı olan her Bilişsel Hizmetler hesabı için müşteriye ait depolama alanını kullanın veya veri şifrelemeyi etkinleştirin. (İlgili ilke: Bilişsel Hizmetler hesapları, müşteriye ait depolamayı kullanmalıdır veya veri şifrelemeyi etkinleştirmelidir.)

Önem Derecesi: Düşük

Azure Data Lake Store'daki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Azure Data Lake Store'daki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Data Lake Analytics'teki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Data Lake Analytics'teki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir

Açıklama: Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Bulut için Defender'da yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. (İlgili ilke: Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir).

Önem Derecesi: Düşük

Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir

Açıklama: Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinize bildirim gönderildiğinden emin olmak için, Bulut için Defender'da yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. (İlgili ilke: Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir).

Önem Derecesi: Orta

MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir

Açıklama: MySQL için Azure Veritabanı, MySQL için Azure Veritabanı sunucunuzu Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. (İlgili ilke: MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir).

Önem Derecesi: Orta

PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir

Açıklama: PostgreSQL için Azure Veritabanı, PostgreSQL için Azure Veritabanı sunucunuzu Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. (İlgili ilke: PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir).

Önem Derecesi: Orta

İşlev uygulamalarında güvenlik açığı bulguları çözümlenmelidir

Açıklama: İşlevler için çalışma zamanı güvenlik açığı taraması, işlev uygulamalarınızı güvenlik açıklarına karşı tarar ve ayrıntılı bulguları kullanıma sunar. Güvenlik açıklarını çözmek sunucusuz uygulamalarınızın güvenlik duruşunu büyük ölçüde geliştirebilir ve saldırılara karşı koruyabilir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir

Açıklama: MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçenekleri sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamayı yedekleme için yapılandırmaya yalnızca sunucu oluşturulurken izin verilir. (İlgili ilke: Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı) için etkinleştirilmelidir.

Önem Derecesi: Düşük

coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir

Açıklama: MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçenekleri sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamayı yedekleme için yapılandırmaya yalnızca sunucu oluşturulurken izin verilir. (İlgili ilke: Coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı) için etkinleştirilmelidir.

Önem Derecesi: Düşük

Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir

Açıklama: PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçenekleri sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamayı yedekleme için yapılandırmaya yalnızca sunucu oluşturulurken izin verilir. (İlgili ilke: Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı) için etkinleştirilmelidir.

Önem Derecesi: Düşük

GitHub depolarında Kod tarama etkin olmalıdır

Açıklama: GitHub, koddaki güvenlik açıklarını ve hataları bulmak için kodu analiz etmek için kod taramayı kullanır. Kod tarama, kodunuzdaki mevcut sorunları bulmak, önceliklendirmek ve düzeltmeleri önceliklendirmek için kullanılabilir. Kod tarama, geliştiricilerin yeni sorunlar ortaya çıkarmasını da engelleyebilir. Taramalar belirli gün ve saatler için zamanlanabilir veya depoda belirli bir olay gerçekleştiğinde (gönderim gibi) taramalar tetiklenebilir. Kod tarama kodda olası bir güvenlik açığı veya hata bulursa GitHub depoda bir uyarı görüntüler. Güvenlik açığı, projenin kodunda, projenin gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için yararlanabilecek bir sorundur. (İlişkili ilke yok)

Önem Derecesi: Orta

GitHub depolarında Dependabot taraması etkinleştirilmelidir

Açıklama: GitHub, depoları etkileyen kod bağımlılıklarındaki güvenlik açıklarını algıladığında Dependabot uyarıları gönderir. Güvenlik açığı, projenin kodunda, projenin veya kodunu kullanan diğer projelerin gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için kötüye kullanılabilecek bir sorundur. Güvenlik açıkları saldırı türü, önem derecesi ve yöntemi açısından farklılık gösterir. Kod, güvenlik açığı olan bir pakete bağımlı olduğunda, bu savunmasız bağımlılık bir dizi soruna neden olabilir. (İlişkili ilke yok)

Önem Derecesi: Orta

GitHub depolarında Gizli dizi taraması etkinleştirilmelidir

Açıklama: GitHub, depolara yanlışlıkla işlenen gizli dizilerin sahte kullanımını önlemek için depoları bilinen gizli dizi türleri için tarar. Gizli dizi taraması, GitHub deposunda bulunan tüm dallarda tüm Git geçmişini tüm gizli diziler için tarar. Gizli dizilere örnek olarak, bir hizmet sağlayıcısının kimlik doğrulaması için verebileceği belirteçler ve özel anahtarlar verilebilir. Depoda gizli dizi denetlenirse, depoya okuma erişimi olan herkes bu ayrıcalıklara sahip dış hizmete erişmek için gizli diziyi kullanabilir. Gizli diziler, projenin deposu dışında ayrılmış, güvenli bir konumda depolanmalıdır. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Azure SQL Veritabanı için Microsoft Defender sunucuları etkinleştirilmelidir

Açıklama: SQL için Microsoft Defender, gelişmiş SQL güvenlik özellikleri sağlayan birleşik bir pakettir. Olası veritabanı güvenlik açıklarını ortaya çıkarmaya ve azaltmaya, veritabanınıza yönelik bir tehdit gösterebilecek anormal etkinlikleri algılamaya ve hassas verileri bulup sınıflandırmaya yönelik işlevler içerir. Önemli: Bu plandaki korumalar Defender planları sayfasında gösterildiği gibi ücretlendirilir. Bu abonelikte Azure SQL Veritabanı sunucunuz yoksa sizden ücret alınmaz. Daha sonra bu abonelikte Azure SQL Veritabanı sunucular oluşturursanız, bunlar otomatik olarak korunur ve ücretler başlar. Bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin. SQL için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlgili ilke: Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir).

Önem Derecesi: Yüksek

DNS için Microsoft Defender etkinleştirilmelidir

Açıklama: DNS için Microsoft Defender, Azure kaynaklarınızdaki tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. DNS için Defender, DNS katmanındaki şüpheli etkinlik hakkında sizi uyarır. DNS için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. Bu Defender planının etkinleştirilmesi ücrete neden olur. Bulut için Defender fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: Bulut için Defender Fiyatlandırma. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Açık kaynak ilişkisel veritabanları için Microsoft Defender etkinleştirilmelidir

Açıklama: Açık kaynak ilişkisel veritabanları için Microsoft Defender, veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılar. Açık kaynak ilişkisel veritabanları için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin.

Önemli: Bu planın etkinleştirilmesi, açık kaynak ilişkisel veritabanlarınızı korumayla ilgili ücrete neden olur. Bu abonelikte açık kaynak ilişkisel veritabanınız yoksa ücret alınmaz. Gelecekte bu abonelikte açık kaynak ilişkisel veritabanları oluşturursanız, bunlar otomatik olarak korunur ve ücretler o zaman başlar. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Resource Manager için Microsoft Defender etkinleştirilmelidir

Açıklama: Resource Manager için Microsoft Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Bulut için Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Resource Manager için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. Bu Defender planının etkinleştirilmesi ücrete neden olur. Bulut için Defender fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: Bulut için Defender Fiyatlandırma. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Makinelerde SQL için Microsoft Defender çalışma alanlarında etkinleştirilmelidir

Önem Derecesi: Orta

Makinelerdeki SQL sunucuları için Microsoft Defender etkinleştirilmelidir

Önemli: Bu önerinin düzeltilmesi, makinelerde SQL sunucularınızın korunmasına yönelik ücretlerle sonuçlanır. Bu abonelikteki makinelerde SQL sunucunuz yoksa ücret alınmaz. Gelecekte bu abonelikteki makinelerde herhangi bir SQL sunucusu oluşturursanız, bunlar otomatik olarak korunur ve ücretler o zaman başlar. Makinelerdeki SQL sunucuları için Microsoft Defender hakkında daha fazla bilgi edinin. (İlgili ilke: Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir).

Önem Derecesi: Yüksek

Korumasız Azure SQL sunucuları için SQL için Microsoft Defender etkinleştirilmelidir

Açıklama: SQL için Microsoft Defender, gelişmiş SQL güvenlik özellikleri sağlayan birleşik bir pakettir. Olası veritabanı güvenlik açıklarını ortaya çıkararak azaltır ve veritabanınız için bir tehdit oluşturabilecek anormal etkinlikleri algılar. SQL için Microsoft Defender, bölge başına fiyatlandırma ayrıntılarında gösterildiği gibi faturalandırılır. (İlgili ilke: SQL sunucularınızda gelişmiş veri güvenliği etkinleştirilmelidir).

Önem Derecesi: Yüksek

KORUMASız SQL Yönetilen Örneği için SQL için Microsoft Defender etkinleştirilmelidir

Açıklama: SQL için Microsoft Defender, gelişmiş SQL güvenlik özellikleri sağlayan birleşik bir pakettir. Olası veritabanı güvenlik açıklarını ortaya çıkararak azaltır ve veritabanınız için bir tehdit oluşturabilecek anormal etkinlikleri algılar. SQL için Microsoft Defender, bölge başına fiyatlandırma ayrıntılarında gösterildiği gibi faturalandırılır. (İlgili ilke: gelişmiş veri güvenliği SQL Yönetilen Örneği) tarihinde etkinleştirilmelidir.

Önem Derecesi: Yüksek

Depolama için Microsoft Defender etkinleştirilmelidir

Açıklama: Depolama için Microsoft Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılar. Önemli: Bu plandaki korumalar Defender planları sayfasında gösterildiği gibi ücretlendirilir. Bu abonelikte Azure Depolama hesabınız yoksa sizden ücret alınmaz. Daha sonra bu abonelikte Azure Depolama hesapları oluşturursanız, bunlar otomatik olarak korunur ve ücretler başlar. Bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin. daha fazla bilgi için bkz. Depolama için Microsoft Defender'a giriş. (İlgili ilke: Depolama için Azure Defender etkinleştirilmelidir).

Önem Derecesi: Yüksek

Ağ İzleyicisi etkinleştirilmelidir

Açıklama: Ağ İzleyicisi, Azure'da, azure'a ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Ağ İzleyicisi ile kullanılabilen ağ tanılama ve görselleştirme araçları, Azure'da ağınızı anlamanıza, tanılamanıza ve elde etmenize yardımcı olur. (İlgili ilke: Ağ İzleyicisi etkinleştirilmelidir).

Önem Derecesi: Düşük

Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir

Açıklama: Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. (İlgili ilke: Azure SQL Veritabanı'da özel uç nokta bağlantıları etkinleştirilmelidir).

Önem Derecesi: Orta

MariaDB sunucuları için özel uç nokta etkinleştirilmelidir

Açıklama: Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. (İlgili ilke: MariaDB sunucuları için özel uç nokta etkinleştirilmelidir).

Önem Derecesi: Orta

MySQL sunucuları için özel uç nokta etkinleştirilmelidir

Açıklama: Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. (İlgili ilke: MySQL sunucuları için özel uç nokta etkinleştirilmelidir).

Önem Derecesi: Orta

PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir

Açıklama: Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. (İlgili ilke: PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir).

Önem Derecesi: Orta

Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Genel ağ erişim özelliğini devre dışı bırakmak, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. (İlgili ilke: Azure SQL Veritabanı üzerindeki genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. (İlgili ilke: MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. (İlgili ilke: MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. (İlgili ilke: PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

Redis Cache yalnızca SSL üzerinden erişime izin vermelidir

Açıklama: Yalnızca SSL ile Redis Cache arasındaki bağlantıları etkinleştirin. Güvenli bağlantıların kullanılması, sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur. (İlgili ilke: Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir).

Önem Derecesi: Yüksek

SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir

Açıklama: SQL Güvenlik Açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. Daha fazla bilgi edinin (İlgili ilke: SQL veritabanlarınızdaki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

SQL yönetilen örneklerinde güvenlik açığı değerlendirmesi yapılandırılmış olmalıdır

Açıklama: Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. (İlgili ilke: güvenlik açığı değerlendirmesi SQL Yönetilen Örneği) tarihinde etkinleştirilmelidir.

Önem Derecesi: Yüksek

Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir

Açıklama: SQL Güvenlik Açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. Daha fazla bilgi edinin (İlgili ilke: Makinedeki SQL sunucularınızdaki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

SQL sunucularında Azure Active Directory yöneticisi sağlanmış olmalıdır

Önem Derecesi: Yüksek

SQL sunucularında güvenlik açığı değerlendirmesi yapılandırılmış olmalıdır

Açıklama: Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. (İlgili ilke: SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir).

Önem Derecesi: Yüksek

Depolama hesabı özel bağlantı bağlantısı kullanmalıdır

Açıklama: Özel bağlantılar, depolama hesabına özel bağlantı sağlayarak güvenli iletişimi zorunlu tutar (İlgili ilke: Depolama hesabı özel bağlantı bağlantısı kullanmalıdır).

Önem Derecesi: Orta

Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir

Açıklama: Azure Resource Manager'daki yeni özelliklerden yararlanmak için mevcut dağıtımları Klasik dağıtım modelinden geçirebilirsiniz. Resource Manager, daha güçlü erişim denetimi (RBAC), daha iyi denetim, ARM tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik iyileştirmelerine olanak tanır. Daha fazla bilgi edinin (İlgili ilke: Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir).

Önem Derecesi: Düşük

Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır

Açıklama: IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. (İlgili ilke: Depolama hesapların sanal ağ kurallarını kullanarak ağ erişimini kısıtlaması gerekir).

Önem Derecesi: Orta

Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır

Açıklama: Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Bulut için Defender'dan e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. (İlgili ilke: Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır)

Önem Derecesi: Düşük

SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir

Açıklama: Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifrelemesini etkinleştirin (İlgili ilke: SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir).

Önem Derecesi: Düşük

VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır

Açıklama: Yapılandırılmış bir sanal ağı olmayan VM Görüntü Oluşturucusu şablonlarını denetleyin. Bir sanal ağ yapılandırılmadığında, bunun yerine kaynakları doğrudan İnternet'te kullanıma sunan ve olası saldırı yüzeyini artırabilecek bir genel IP oluşturulur ve kullanılır. (İlgili ilke: VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir

Açıklama: Gelen trafiğin ek denetimi için Azure Web Uygulaması Güvenlik Duvarı (WAF) uygulamasını genel kullanıma yönelik web uygulamalarının önüne dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca özel kurallar aracılığıyla web uygulamalarınıza erişimi ülkelere/bölgelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre kısıtlayabilirsiniz. (İlgili ilke: application gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir.

Önem Derecesi: Düşük

Azure Front Door Service hizmeti için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir

Açıklama: Gelen trafiğin ek denetimi için Azure Web Uygulaması Güvenlik Duvarı (WAF) uygulamasını genel kullanıma yönelik web uygulamalarının önüne dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca özel kurallar aracılığıyla web uygulamalarınıza erişimi ülkelere/bölgelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre kısıtlayabilirsiniz. (İlgili ilke: Azure Front Door Service?service için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir)

Önem Derecesi: Düşük

Bilişsel Hizmetler özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi edinin. (İlgili ilke: Bilişsel Hizmetler özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure Cosmos DB genel ağ erişimini devre dışı bırakmalıdır

Açıklama: Genel ağ erişiminin devre dışı bırakılması, Cosmos DB hesabınızın genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak Cosmos DB hesabınızın açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi edinin. (İlgili ilke: Azure Cosmos DB genel ağ erişimini devre dışı bırakmalıdır).

Önem Derecesi: Orta

Cosmos DB hesapları özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Cosmos DB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi edinin. (İlgili ilke: Cosmos DB hesapları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure SQL Veritabanı TLS sürüm 1.2 veya üzerini çalıştırıyor olmalıdır

Açıklama: TLS sürümünü 1.2 veya daha yeni bir sürüme ayarlamak, Azure SQL Veritabanı yalnızca TLS 1.2 veya üzerini kullanan istemcilerden erişilebildiğinden emin olarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. (İlgili ilke: Azure SQL Veritabanı TLS sürüm 1.2 veya üzerini çalıştırıyor olmalıdır).

Önem Derecesi: Orta

Azure SQL Yönetilen Örneği genel ağ erişimini devre dışı bırakmalıdır

Açıklama: Azure SQL Yönetilen Örneği'lerde genel ağ erişiminin (genel uç nokta) devre dışı bırakılması, yalnızca sanal ağlarının içinden veya Özel Uç Noktalar aracılığıyla erişim sağlanabilmesini sağlayarak güvenliği artırır. Genel ağ erişimi hakkında daha fazla bilgi edinin. (İlgili ilke: Azure SQL Yönetilen Örneği genel ağ erişimini devre dışı bırakmalıdır).

Önem Derecesi: Orta

Depolama hesapları paylaşılan anahtar erişimini engellemelidir

Açıklama: Depolama hesabınıza yönelik istekleri yetkilendirmek için Azure Active Directory'nin (Azure AD) denetim gereksinimi. Varsayılan olarak, istekler Azure Active Directory kimlik bilgileriyle veya Paylaşılan Anahtar yetkilendirmesi için hesap erişim anahtarı kullanılarak yetkilendirilebilir. Bu iki yetkilendirme türünden Azure AD, paylaşılan Anahtar üzerinden üstün güvenlik ve kullanım kolaylığı sağlar ve Microsoft tarafından önerilir. (İlgili ilke: ilke)

Önem Derecesi: Orta

Kimlik ve erişim önerileri

Abonelikler için en fazla 3 sahip belirlenmelidir

Açıklama: Risk altındaki sahip hesaplarının ihlal olasılığını azaltmak için sahip hesabı sayısını en fazla 3 ile sınırlamanızı öneririz (İlgili ilke: Aboneliğiniz için en fazla 3 sahip belirlenmelidir).

Önem Derecesi: Yüksek

Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir

Açıklama: Kullanıcılarınızın kimliğini doğrulamak için yalnızca parola kullanıyorsanız, saldırı vektörlerini açık bırakıyorsunuz demektir. Kullanıcılar genellikle birden çok hizmet için zayıf parolalar kullanır. Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirerek, hesaplarınız için daha iyi güvenlik sağlarken, kullanıcılarınızın çoklu oturum açma (SSO) ile neredeyse tüm uygulamalar için kimlik doğrulamasına izin verirsiniz. Çok faktörlü kimlik doğrulaması, oturum açma işlemi sırasında başka bir tanımlama biçimi için kullanıcılardan istendiği bir işlemdir. Örneğin, cep telefonuna bir kod gönderilebilir veya parmak izi taraması istenebilir. İhlalleri ve saldırıları önlemek için Azure kaynakları üzerinde sahip izinleri olan tüm hesaplar için MFA'yı etkinleştirmenizi öneririz. Daha fazla ayrıntı ve sık sorulan sorulara buradan ulaşabilirsiniz: Aboneliklerinizde çok faktörlü kimlik doğrulaması (MFA) zorlamasını yönetme (İlgili ilke yok).

Önem Derecesi: Yüksek

Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir

Açıklama: Kullanıcılarınızın kimliğini doğrulamak için yalnızca parola kullanıyorsanız, saldırı vektörlerini açık bırakıyorsunuz demektir. Kullanıcılar genellikle birden çok hizmet için zayıf parolalar kullanır. Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirerek, hesaplarınız için daha iyi güvenlik sağlarken, kullanıcılarınızın çoklu oturum açma (SSO) ile neredeyse tüm uygulamalar için kimlik doğrulamasına izin verirsiniz. Çok faktörlü kimlik doğrulaması, oturum açma işlemi sırasında kullanıcılardan ek bir tanımlama biçimi istendiği bir işlemdir. Örneğin, cep telefonuna bir kod gönderilebilir veya parmak izi taraması istenebilir. İhlal ve saldırıları önlemek için Azure kaynakları üzerinde okuma izinlerine sahip tüm hesaplar için MFA'yı etkinleştirmenizi öneririz. Daha fazla ayrıntı ve sık sorulan sorulara buradan ulaşabilirsiniz. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir

Açıklama: Kullanıcılarınızın kimliğini doğrulamak için yalnızca parola kullanıyorsanız, saldırı vektörlerini açık bırakacaksınız. Kullanıcılar genellikle birden çok hizmet için zayıf parolalar kullanır. Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirerek, hesaplarınız için daha iyi güvenlik sağlarken, kullanıcılarınızın çoklu oturum açma (SSO) ile neredeyse tüm uygulamalar için kimlik doğrulamasına izin verirsiniz. Çok faktörlü kimlik doğrulaması, oturum açma işlemi sırasında kullanıcılardan ek bir tanımlama biçimi istendiği bir işlemdir. Örneğin, cep telefonuna bir kod gönderilebilir veya parmak izi taraması istenebilir. İhlalleri ve saldırıları önlemek için Azure kaynakları üzerinde yazma izinleri olan tüm hesaplar için MFA'yı etkinleştirmenizi öneririz. Daha fazla ayrıntı ve sık sorulan sorulara buradan ulaşabilirsiniz: Aboneliklerinizde çok faktörlü kimlik doğrulaması (MFA) zorlamasını yönetme (İlgili ilke yok).

Önem Derecesi: Yüksek

Azure Cosmos DB hesapları tek kimlik doğrulama yöntemi olarak Azure Active Directory kullanmalıdır

Açıklama: Azure hizmetlerinde kimlik doğrulamanın en iyi yolu Rol Tabanlı Erişim Denetimi (RBAC) kullanmaktır. RBAC, en düşük ayrıcalık ilkesini korumanıza olanak tanır ve güvenliği aşıldığında etkili bir yanıt yöntemi olarak izinleri iptal etme özelliğini destekler. Azure Cosmos DB hesabınızı tek kimlik doğrulama yöntemi olarak RBAC'yi zorunlu kacak şekilde yapılandırabilirsiniz. Zorlama yapılandırıldığında, diğer tüm erişim yöntemleri reddedilir (birincil/ikincil anahtarlar ve erişim belirteçleri). (İlişkili ilke yok)

Önem Derecesi: Orta

Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır

Açıklama: Active Directory'de oturum açması engellenen hesapların Azure kaynaklarınızdan kaldırılması gerekir. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır

Önem Derecesi: Yüksek

Kullanım dışı bırakılan hesaplar aboneliklerden kaldırılmalıdır

Açıklama: Oturum açması engellenen kullanıcı hesaplarının aboneliklerinizden kaldırılması gerekir. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır).

Önem Derecesi: Yüksek

Sahip izinlerine sahip kullanım dışı bırakılan hesaplar aboneliklerden kaldırılmalıdır

Açıklama: Oturum açması engellenen kullanıcı hesaplarının aboneliklerinizden kaldırılması gerekir. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Sahip izinlerine sahip olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır).

Önem Derecesi: Yüksek

Key Vault'taki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Key Vault'taki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Sahip izinlerine sahip dış hesaplar aboneliklerden kaldırılmalıdır

Açıklama: Farklı etki alanı adlarına (dış hesaplar) sahip izinleri olan hesaplar aboneliğinizden kaldırılmalıdır. Bu, izlenmeyen erişimi engeller. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Sahip izinlerine sahip dış hesaplar aboneliğinizden kaldırılmalıdır).

Önem Derecesi: Yüksek

Okuma izinlerine sahip dış hesaplar aboneliklerden kaldırılmalıdır

Açıklama: Farklı etki alanı adlarına (dış hesaplar) sahip okuma izinlerine sahip hesaplar aboneliğinizden kaldırılmalıdır. Bu, izlenmeyen erişimi engeller. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Okuma izinlerine sahip dış hesaplar aboneliğinizden kaldırılmalıdır).

Önem Derecesi: Yüksek

Yazma izinlerine sahip dış hesaplar aboneliklerden kaldırılmalıdır

Açıklama: Farklı etki alanı adlarına (dış hesaplar) sahip yazma izinlerine sahip hesaplar aboneliğinizden kaldırılmalıdır. Bu, izlenmeyen erişimi engeller. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Yazma izinlerine sahip dış hesaplar aboneliğinizden kaldırılmalıdır).

Önem Derecesi: Yüksek

Güvenlik duvarı Key Vault'ta etkinleştirilmelidir

Açıklama: Anahtar kasasının güvenlik duvarı, yetkisiz trafiğin anahtar kasanıza ulaşmasını engeller ve gizli dizileriniz için ek bir koruma katmanı sağlar. Anahtar kasanıza yalnızca izin verilen ağlardan gelen trafiğin erişebildiğinden emin olmak için güvenlik duvarını etkinleştirin. (İlgili ilke: Güvenlik duvarı Key Vault'ta etkinleştirilmelidir).

Önem Derecesi: Orta

Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır

Açıklama: Azure Active Directory kiracısı (farklı etki alanı adları) dışında sağlanan sahip izinlerine sahip hesapların Azure kaynaklarınızdan kaldırılması gerekir. Konuk hesapları, kurumsal kiracı kimlikleri ile aynı standartlara göre yönetilmez. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır

Açıklama: Azure Active Directory kiracısı (farklı etki alanı adları) dışında sağlanan okuma izinlerine sahip hesaplar Azure kaynaklarınızdan kaldırılmalıdır. Konuk hesapları, kurumsal kiracı kimlikleri ile aynı standartlara göre yönetilmez. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır

Açıklama: Azure Active Directory kiracısı (farklı etki alanı adları) dışında sağlanan yazma izinlerine sahip hesaplar Azure kaynaklarınızdan kaldırılmalıdır. Konuk hesapları, kurumsal kiracı kimlikleri ile aynı standartlara göre yönetilmez. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Key Vault anahtarlarının son kullanma tarihi olmalıdır

Açıklama: Şifreleme anahtarları tanımlı bir son kullanma tarihine sahip olmalı ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. (İlgili ilke: Key Vault anahtarlarının son kullanma tarihi olmalıdır).

Önem Derecesi: Yüksek

Key Vault gizli dizilerinin son kullanma tarihi olmalıdır

Açıklama: Gizli diziler tanımlı bir sona erme tarihine sahip olmalı ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan gizli diziler, potansiyel bir saldırgana bunları ele geçirebilecek daha fazla zaman sağlar. Gizli diziler için son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. (İlgili ilke: Key Vault gizli dizilerinin son kullanma tarihi olmalıdır).

Önem Derecesi: Yüksek

Anahtar kasalarında temizleme koruması etkinleştirilmelidir

Açıklama: Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Kuruluşunuzdaki kötü amaçlı bir insider, anahtar kasalarını silebilir ve temizleyebilir. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. (İlgili ilke: Anahtar kasalarında temizleme koruması etkinleştirilmelidir).

Önem Derecesi: Orta

Anahtar kasalarında geçici silme etkinleştirilmelidir

Açıklama: Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. (İlgili ilke: Anahtar kasalarında geçici silme etkinleştirilmelidir).

Önem Derecesi: Yüksek

Aboneliklerde sahip izinleri olan hesaplarda MFA etkinleştirilmelidir

Açıklama: Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmelidir. (İlgili ilke: MFA, aboneliğinizde sahip izinleri olan hesaplarda etkinleştirilmelidir).

Önem Derecesi: Yüksek

Aboneliklerde okuma izinlerine sahip hesaplarda MFA etkinleştirilmelidir

Açıklama: Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmelidir. (İlgili ilke: MFA, aboneliğinizde okuma izinlerine sahip hesaplarda etkinleştirilmelidir).

Önem Derecesi: Yüksek

Aboneliklerde yazma izinlerine sahip hesaplarda MFA etkinleştirilmelidir

Açıklama: Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmelidir. (İlgili ilke: MFA, aboneliğinizde yazma izinlerine sahip hesapları etkinleştirmelidir).

Önem Derecesi: Yüksek

Key Vault için Microsoft Defender etkinleştirilmelidir

Açıklama: Bulut için Microsoft Defender ek bir güvenlik zekası katmanı sağlayan Key Vault için Microsoft Defender'ı içerir. Key Vault için Microsoft Defender, Key Vault hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılar. Önemli: Bu plandaki korumalar Defender planları sayfasında gösterildiği gibi ücretlendirilir. Bu abonelikte anahtar kasanız yoksa sizden ücret alınmaz. Daha sonra bu abonelikte anahtar kasaları oluşturursanız, bunlar otomatik olarak korunur ve ücretler başlar. Bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin. Daha fazla bilgi için bkz . Key Vault için Microsoft Defender'a giriş. (İlgili ilke: Key Vault için Azure Defender etkinleştirilmelidir).

Önem Derecesi: Yüksek

Key Vault için özel uç nokta yapılandırılmalıdır

Açıklama: Özel bağlantı, genel İnternet üzerinden trafik göndermeden Key Vault'u Azure kaynaklarınıza bağlamanın bir yolunu sağlar. Özel bağlantı, veri sızdırmaya karşı derinlemesine koruma sağlar. (İlgili ilke: Key Vault için özel uç nokta yapılandırılmalıdır).

Önem Derecesi: Orta

Depolama hesabın genel erişimine izin verilmemelidir

Açıklama: Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kullanışlı bir yoludur, ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. (İlgili ilke: Depolama hesabın genel erişimine izin verilmemelidir).

Önem Derecesi: Orta

Aboneliklere atanmış birden fazla sahip olmalıdır

Açıklama: Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi belirleyin. (İlgili ilke: Aboneliğinize birden fazla sahip atanmış olmalıdır).

Önem Derecesi: Yüksek

Azure Key Vault'ta depolanan sertifikaların geçerlilik süresi 12 ayı geçmemelidir

Açıklama: Sertifikalarınızın geçerlilik süresinin 12 ayı aşmadığından emin olun. (İlgili ilke: Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır).

Önem Derecesi: Orta

Azure fazla sağlanan kimlikler yalnızca gerekli izinlere sahip olmalıdır (Önizleme)

Açıklama: Fazla sağlanan kimlikler veya fazla izin verilen kimlikler, verilen izinlerinin çoğunu kullanmaz. İzinlerin yanlışlıkla veya kötü amaçlı kullanım riskini azaltmak için bu kimliklerin izinlerini düzenli olarak doğru boyutlandırın. Bu eylem, bir güvenlik olayı sırasında olası patlama yarıçapını azaltır.

Önem Derecesi: Orta

Azure ortamınızdaki süper kimlikler kaldırılmalıdır (Önizleme)

Açıklama: Süper Kimlik, kullanıcılar, Hizmet Sorumluları ve sunucusuz işlevler gibi yönetici izinlerine sahip olan ve altyapıdaki herhangi bir kaynak üzerinde herhangi bir eylem gerçekleştirebilen herhangi bir insan veya iş yükü kimliğidir. Kötü amaçlı veya yanlışlıkla yapılan izinlerin kötüye kullanılması hizmet kesintisine, hizmette düşüşe veya veri sızıntısına neden olabileceği için Süper Kimlikler son derece yüksek risklidir. Süper Kimlikler, bulut altyapısı için büyük bir tehdit oluşturur. Çok fazla süper kimlik aşırı risk oluşturabilir ve bir ihlal sırasında patlama yarıçapını artırabilir.

Önem Derecesi: Orta

Azure ortamınızda kullanılmayan kimlikler kaldırılmalıdır (Önizleme)

Açıklama: Etkin Olmayan Kimlikler, son 90 gün içinde herhangi bir altyapı kaynağı üzerinde herhangi bir eylem gerçekleştirmeyen kimliklerdir. Etkin olmayan kimlikler, saldırganlar tarafından ortamınızda erişim kazanmak ve görevleri yürütmek için kullanılabildiklerinden kuruluşunuz için önemli bir risk oluşturur.

Önem Derecesi: Orta

IoT önerileri

Varsayılan IP Filtresi İlkesi Reddet olmalıdır

Açıklama: IP Filtresi Yapılandırması izin verilen trafik için tanımlanmış kurallara sahip olmalı ve varsayılan olarak diğer tüm trafiği reddetmelidir (İlgili ilke yok).

Önem Derecesi: Orta

IoT Hub'daki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: IoT Hub'daki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Özdeş Kimlik Doğrulaması Kimlik Bilgileri

Açıklama: Birden çok cihaz tarafından kullanılan IoT Hub ile aynı kimlik doğrulama kimlik bilgileri. Bu, meşru bir cihazın kimliğine bürünen gayrimeşru bir cihazı gösterebilir. Ayrıca bir saldırgan tarafından cihaz kimliğine bürünme riskini de ortaya çıkarır (İlgili ilke yok).

Önem Derecesi: Yüksek

IP Filtresi kuralı büyük IP aralığı

Açıklama: IP Filtresine İzin Ver kuralının kaynak IP aralığı çok büyük. Aşırı izinli kurallar, IoT hub'ınızı kötü amaçlı amaçlara açıklayabilir (İlgili ilke yok).

Önem Derecesi: Orta

Ağ önerileri

Güvenlik duvarı ve sanal ağ yapılandırmalarına sahip depolama hesaplarına erişim kısıtlanmalıdır

Açıklama: Depolama hesabı güvenlik duvarı ayarlarınızda ağ erişimi ayarlarını gözden geçirin. Depolama hesabına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kurallarını yapılandırmanızı öneririz. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir. (İlgili ilke: Depolama hesapları ağ erişimini kısıtlamalıdır).

Önem Derecesi: Düşük

Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır

Açıklama: Bulut için Defender, aşağıda listelenen sanal makinelerin İnternet trafiği iletişim düzenlerini analiz etti ve bunlarla ilişkili NSG'lerdeki mevcut kuralların fazla izinli olduğunu ve bu da olası saldırı yüzeyinin artmasına neden olduğunu belirledi. Bu durum genellikle bu IP adresi bu kaynakla düzenli olarak iletişim kurmadığında oluşur. Alternatif olarak, IP adresi Bulut için Defender tehdit bilgileri kaynakları tarafından kötü amaçlı olarak işaretlendi. Uyarlamalı ağ sağlamlaştırma ile ağ güvenliği duruşunuzu geliştirme konusunda daha fazla bilgi edinin. (İlgili ilke: Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır).

Önem Derecesi: Yüksek

Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır

Açıklama: Bulut için Defender bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. (İlgili ilke: Tüm ağ bağlantı noktaları, sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır).

Önem Derecesi: Yüksek

Azure DDoS Koruması Standart etkinleştirilmelidir

Açıklama: Bulut için Defender, DDoS koruma hizmeti tarafından korumasız Application Gateway kaynaklarına sahip sanal ağlar keşfetti. Bu kaynaklar genel IP'ler içerir. Ağ hacimli ve protokol saldırılarını azaltmayı etkinleştirin. (İlgili ilke: Azure DDoS Koruması Standart etkinleştirilmelidir).

Önem Derecesi: Orta

İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır

Açıklama: Ağ güvenlik grubuyla (NSG) erişimi kısıtlayarak VM'nizi olası tehditlerden koruyun. NSG'ler, vm'nize aynı alt ağın içindeki veya dışındaki diğer örneklerden gelen ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. Makinenizi olabildiğince güvenli tutmak için sanal makinenizin İnternet erişimi kısıtlanmalı ve alt ağda bir NSG etkinleştirilmelidir. 'Yüksek' önem derecesi olan VM'ler İnternet'e yönelik VM'lerdir. (İlgili ilke: İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır).

Önem Derecesi: Yüksek

Sanal makinenizde IP iletme devre dışı bırakılmalıdır

Açıklama: Bulut için Defender bazı sanal makinelerinizde IP iletmenin etkinleştirildiğini keşfetti. Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. (İlgili ilke: Sanal makinenizde IP İletme devre dışı bırakılmalıdır).

Önem Derecesi: Orta

Makinelerin saldırı vektörlerini açığa çıkarabilecek bağlantı noktaları kapalı olmalıdır

Açıklama: Azure'ın kullanım koşulları, Azure hizmetlerinin herhangi bir Microsoft sunucusuna veya ağa zarar verebilecek, devre dışı bırakabilecek, aşırı yükleyebilecek veya zarar verebilecek şekillerde kullanılmasını yasaklar. Bu öneri, sürekli güvenliğiniz için kapatılması gereken kullanıma sunulan bağlantı noktalarını listeler. Ayrıca her bağlantı noktası için olası tehdit de gösterilmektedir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır

Önem Derecesi: Yüksek

Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır

Açıklama: Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz açıyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. (İlgili ilke: Yönetim bağlantı noktaları sanal makinelerinizde kapatılmalıdır).

Önem Derecesi: Orta

İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır

Açıklama: İnternet'e yönelik olmayan sanal makinenizi bir ağ güvenlik grubu (NSG) ile erişimi kısıtlayarak olası tehditlerden koruyun. NSG'ler, aynı alt ağda olup olmadıkları fark etmeksizin diğer örneklerden VM'nize ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. Makinenizi olabildiğince güvenli tutmak için VM'nin İnternet'e erişiminin kısıtlanması ve alt ağda bir NSG'nin etkinleştirilmesi gerektiğini unutmayın. (İlgili ilke: İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır).

Önem Derecesi: Düşük

Depolama hesaplarına güvenli aktarım etkinleştirilmelidir

Açıklama: Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur. (İlgili ilke: Depolama hesaplarına güvenli aktarım etkinleştirilmelidir).

Önem Derecesi: Yüksek

Alt ağlar bir ağ güvenlik grubuyla ilişkilendirilmelidir

Açıklama: Ağ güvenlik grubuyla (NSG) erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. Bir NSG bir alt ağ ile ilişkilendirildiğinde, ACL kuralları bu alt ağ içindeki tüm VM örneklerine ve tümleşik hizmetlere uygulanır, ancak alt ağ içindeki iç trafiğe uygulanmaz. Aynı alt ağdaki kaynakların birbirlerinden güvenliğini sağlamak için NSG'yi doğrudan kaynaklarda da etkinleştirin. Aşağıdaki alt ağ türlerinin uygulanamaz olarak listelendiğini unutmayın: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (İlgili ilke: Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir).

Önem Derecesi: Düşük

Sanal ağlar Azure Güvenlik Duvarı tarafından korunmalıdır

Açıklama: Bazı sanal ağlarınız güvenlik duvarıyla korunmaz. Sanal ağlarınıza erişimi kısıtlamak ve olası tehditleri önlemek için Azure Güvenlik Duvarı kullanın. (İlgili ilke: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı) aracılığıyla yönlendirilmelidir.

Önem Derecesi: Düşük

API önerileri

API'ler için Microsoft Defender etkinleştirilmelidir

Açıklama ve ilgili ilke: API kaynaklarını bulmak ve saldırılara ve güvenlik yanlış yapılandırmalarına karşı korumak için API'ler için Defender planını etkinleştirin. Daha fazla bilgi edinin

Önem Derecesi: Yüksek

Azure API Management API'leri API'ler için Defender'a eklenmelidir

Açıklama ve ilgili ilke: API'leri API'ler için Defender'a eklemek için Azure API Management hizmetinde işlem ve bellek kullanımı gerekir. API'leri eklerken Azure API Management hizmetinizin performansını izleyin ve gerektiğinde Azure API Management kaynaklarınızın ölçeğini genişletin.

Önem Derecesi: Yüksek

Kullanılmayan API uç noktaları devre dışı bırakılmalı ve Azure API Management hizmetinden kaldırılmalıdır

Açıklama ve ilgili ilke: En iyi güvenlik uygulaması olarak, 30 gündür trafik almamış API uç noktaları kullanılmamış olarak kabul edilir ve Azure API Management hizmetinden kaldırılmalıdır. Kullanılmayan API uç noktalarının tutulması güvenlik riski doğurabilir. Bunlar, Azure API Management hizmetinden kullanımdan kaldırılmış ancak yanlışlıkla etkin bırakılmış API'ler olabilir. Bu tür API'ler genellikle en güncel güvenlik kapsamını almaz.

Önem Derecesi: Düşük

Azure API Management'ta API uç noktalarının kimliği doğrulanmalıdır

Açıklama ve ilgili ilke: Azure API Management'ta yayımlanan API uç noktaları, güvenlik riskini en aza indirmeye yardımcı olmak için kimlik doğrulamasını zorunlu kılmalıdır. Kimlik doğrulama mekanizmaları bazen yanlış uygulanır veya eksiktir. Bu, saldırganların uygulama açıklarından yararlanmasına ve verilere erişmesine olanak tanır. Azure API Management'ta yayımlanan API'ler için bu öneri, aboneliğin gerekli olduğu API'ler veya ürünler için Azure API Management abonelik anahtarlarının varlığını ve JWT, istemci sertifikaları ve Microsoft Entra belirteçlerini doğrulamaya yönelik ilkelerin yürütülmesi yoluyla kimlik doğrulamasını değerlendirir. Bu kimlik doğrulama mekanizmalarından hiçbiri API çağrısı sırasında yürütülmezse, API bu öneriyi alır.

Önem Derecesi: Yüksek

API yönetimi önerileri

API Management aboneliklerinin kapsamı tüm API'ler olarak kapsamlendirilmemelidir

Açıklama ve ilgili ilke: API Management aboneliklerinin kapsamı tüm API'ler yerine bir ürün veya tek bir API olarak tanımlanmalıdır ve bu da aşırı veri kullanımına neden olabilir.

Önem Derecesi: Orta

API arka uçlarına yapılan API Management çağrıları sertifika parmak izini veya ad doğrulamasını atlamamalıdır

Açıklama ve ilgili ilke: API Management, tüm API çağrıları için arka uç sunucu sertifikasını doğrulamalıdır. API güvenliğini geliştirmek için SSL sertifikası parmak izi ve ad doğrulamasını etkinleştirin.

Önem Derecesi: Orta

API Management doğrudan yönetim uç noktası etkinleştirilmemelidir

Açıklama ve ilgili ilke: Azure API Management'taki doğrudan yönetim REST API'si, Azure Resource Manager rol tabanlı erişim denetimi, yetkilendirme ve azaltma mekanizmalarını atlayarak hizmetinizin güvenlik açığını artırır.

Önem Derecesi: Düşük

API Management API'leri yalnızca şifrelenmiş protokoller kullanmalıdır

Açıklama ve ilgili ilke: API'ler yalnızca HTTPS veya WSS gibi şifrelenmiş protokoller aracılığıyla kullanılabilir olmalıdır. Aktarımdaki verilerin güvenliğini sağlamak için HTTP veya WS gibi güvenli olmayan protokoller kullanmaktan kaçının.

Önem Derecesi: Yüksek

API Management adlı gizli dizi değerleri Azure Key Vault'ta depolanmalıdır

Açıklama ve ilgili ilke: Adlandırılmış değerler, her API Management hizmetindeki bir ad ve değer çiftleri koleksiyonu. Gizli dizi değerleri API Management'ta şifrelenmiş metin olarak (özel gizli diziler) veya Azure Key Vault'taki gizli dizilere başvurarak depolanabilir. API Management ve gizli dizilerin güvenliğini geliştirmek için Azure Key Vault'tan adlandırılmış değerlere başvurma. Azure Key Vault ayrıntılı erişim yönetimi ve gizli dizi döndürme ilkelerini destekler.

Önem Derecesi: Orta

API Management, hizmet yapılandırma uç noktalarına genel ağ erişimini devre dışı bırakmalıdır

Açıklama ve ilgili ilke: API Management hizmetlerinin güvenliğini artırmak için doğrudan erişim yönetimi API'si, Git yapılandırma yönetimi uç noktası veya şirket içinde barındırılan ağ geçitleri yapılandırma uç noktası gibi hizmet yapılandırma uç noktalarına bağlantıyı kısıtlayın.

Önem Derecesi: Orta

API Management en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır

Açıklama ve ilgili ilke: Hizmet gizli dizilerinin salt okunur kullanıcılarla paylaşılmasını önlemek için en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır.

Önem Derecesi: Orta

API Arka Uçlarına API Management çağrılarının kimliği doğrulanmalıdır

Açıklama ve ilgili ilke: API Management'tan arka uçlara yapılan çağrılar, sertifikalar veya kimlik bilgileri aracılığıyla bir tür kimlik doğrulaması kullanmalıdır. Service Fabric arka uçlarına uygulanmaz.

Önem Derecesi: Orta

Yapay zeka önerileri

Azure Machine Learning Çalışma Alanlarında kaynak günlükleri etkinleştirilmelidir (Önizleme)

Açıklama ve ilgili ilke: Kaynak günlükleri, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanılmak üzere etkinlik izlerini yeniden oluşturmayı etkinleştirir.

Önem Derecesi: Orta

Azure Machine Learning Çalışma Alanları genel ağ erişimini devre dışı bırakmalıdır (Önizleme)

Açıklama ve ilgili ilke: Genel ağ erişimini devre dışı bırakmak, Machine Learning Çalışma Alanlarının genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak çalışma alanlarınızın açığa çıkarma durumunu denetleyebilirsiniz. Daha fazla bilgi için bkz . Azure Machine Learning çalışma alanı için özel uç nokta yapılandırma.

Önem Derecesi: Orta

Azure Machine Learning İşlemleri bir sanal ağda olmalıdır (Önizleme)

Açıklama ve ilgili ilke: Azure Sanal Ağ s, erişimi daha fazla kısıtlamak için Azure Machine Learning İşlem Kümeleriniz ve Örneklerinizin yanı sıra alt ağlar, erişim denetimi ilkeleri ve diğer özellikler için gelişmiş güvenlik ve yalıtım sağlar. Bir işlem bir sanal ağ ile yapılandırıldığında, genel olarak ele alınamaz ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir.

Önem Derecesi: Orta

Azure Machine Learning İşlemlerinde yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır (Önizleme)

Açıklama ve ilgili ilke: Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Machine Learning İşlemlerinin yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için bkz. Azure İlkesi Azure Machine Learning için Mevzuat Uyumluluğu denetimleri.

Önem Derecesi: Orta

En son yazılım güncelleştirmelerini almak için Azure Machine Learning işlem örnekleri yeniden oluşturulmalıdır (Önizleme)

Açıklama ve ilgili ilke: Azure Machine Learning işlem örneklerinin kullanılabilir en son işletim sisteminde çalıştığından emin olun. En son güvenlik düzeltme ekleriyle çalıştırılarak güvenlik açıkları iyileştirilir ve güvenlik açıkları azaltılır. Daha fazla bilgi için bkz . Azure Machine Learning için güvenlik açığı yönetimi.

Önem Derecesi: Orta

Azure Databricks Çalışma Alanları'ndaki kaynak günlükleri etkinleştirilmelidir (Önizleme)

Önem Derecesi: Orta

Azure Databricks Çalışma Alanları genel ağ erişimini devre dışı bırakmalıdır (Önizleme)

Açıklama ve ilgili ilke: Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın açığa çıkarma durumunu denetleyebilirsiniz. Daha fazla bilgi için bkz. Azure Özel Bağlantı etkinleştirme.

Önem Derecesi: Orta

Azure Databricks Kümeleri genel IP'yi devre dışı bırakmalıdır (Önizleme)

Açıklama ve ilgili ilke: Azure Databricks Çalışma Alanları'nda kümelerin genel IP'sini devre dışı bırakmak, kümelerin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Daha fazla bilgi için bkz . Güvenli küme bağlantısı.

Önem Derecesi: Orta

Azure Databricks Çalışma Alanları bir sanal ağda olmalıdır (Önizleme)

Açıklama ve ilgili ilke: Azure Sanal Ağ s, erişimi daha fazla kısıtlamak için Azure Databricks Çalışma Alanları'nın yanı sıra alt ağlar, erişim denetimi ilkeleri ve diğer özellikler için gelişmiş güvenlik ve yalıtım sağlar. Daha fazla bilgi için bkz . Azure sanal ağınızda Azure Databricks'i dağıtma.

Önem Derecesi: Orta

Azure Databricks Çalışma Alanları özel bağlantı kullanmalıdır (Önizleme)

Açıklama ve ilgili ilke: Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Databricks çalışma alanlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için bkz . Azure portalı kullanıcı arabiriminde çalışma alanı ve özel uç noktaları oluşturma.

Önem Derecesi: Orta

Azure AI Services kaynakları ağ erişimini kısıtlamalıdır

Açıklama: Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, azure yapay zeka hizmeti kaynağına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir.

Önem Derecesi: Orta

Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak)

Açıklama: Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi edinin.

Önem Derecesi: Orta

Azure AI hizmetleri kaynaklarındaki tanılama günlükleri etkinleştirilmelidir

Açıklama: Azure AI hizmetleri kaynakları için günlükleri etkinleştirin. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır.

Önem Derecesi: Düşük

Kullanım dışı öneriler

İzin Sürünme Dizini'ni (PCI) azaltmak için aboneliklerde aşırı sağlanan kimlikler araştırılmalıdır

Açıklama: İzin Sürünme Dizini'ni (PCI) azaltmak ve altyapınızı korumak için abonelikte aşırı sağlanan kimlikler araştırılmalıdır. Kullanılmayan yüksek riskli izin atamalarını kaldırarak PCI'yi azaltın. Yüksek PCI, normal veya gerekli kullanımlarını aşan izinlere sahip kimliklerle ilişkili riski yansıtır (İlgili ilke yok).

Önem Derecesi: Orta

İzin Sürünme Dizini'ni (PCI) azaltmak için hesaplarda aşırı sağlanan kimlikler araştırılmalıdır

Açıklama: İzin Sürünme Dizini'ni (PCI) azaltmak ve altyapınızı korumak için hesaplarda aşırı sağlanan kimlikler araştırılmalıdır. Kullanılmayan yüksek riskli izin atamalarını kaldırarak PCI'yi azaltın. Yüksek PCI, normal veya gerekli kullanımlarını aşan izinlere sahip kimliklerle ilişkili riski yansıtır.

Önem Derecesi: Orta

Uygulama Hizmetlerine erişim kısıtlanmalıdır

Açıklama ve ilgili ilke: Çok geniş aralıklardan gelen trafiği reddetmek için ağ yapılandırmasını değiştirerek Uygulama Hizmetlerinize erişimi kısıtlayın. (İlgili ilke: [Önizleme]: Uygulama Hizmetlerine erişim kısıtlanmalıdır).

Önem Derecesi: Yüksek

IaaS NSG'lerdeki web uygulamalarına yönelik kurallar sağlamlaştırılmalıdır

Açıklama ve ilgili ilke: Web uygulamaları çalıştıran sanal makinelerinizin ağ güvenlik grubunu (NSG) web uygulaması bağlantı noktalarıyla ilgili fazla izin veren NSG kurallarıyla güçlendirin. (İlgili ilke: IaaS üzerindeki web uygulamaları için NSG kuralları sağlamlaştırılmalıdır).

Önem Derecesi: Yüksek

Pod Güvenlik İlkeleri gereksiz uygulama ayrıcalıklarını kaldırarak saldırı vektörü azaltmak için tanımlanmalıdır (Önizleme)

Açıklama ve ilgili ilke: Gereksiz uygulama ayrıcalıklarını kaldırarak saldırı vektörü azaltmak için Pod Güvenlik İlkeleri tanımlayın. Podların yalnızca erişim izni olan kaynaklara erişebilmesi için pod güvenlik ilkelerinin yapılandırılması önerilir. (İlgili ilke: [Önizleme]: Pod Güvenlik İlkeleri Kubernetes Services üzerinde tanımlanmalıdır).

Önem Derecesi: Orta

IoT cihazlarınıza daha fazla görünürlük sağlamak için IoT için Azure Güvenlik Merkezi güvenlik modülünü yükleyin

Açıklama ve ilgili ilke: IoT cihazlarınızda daha fazla görünürlük elde etmek için IoT için Azure Güvenlik Merkezi güvenlik modülünü yükleyin.

Önem Derecesi: Düşük

Sistem güncelleştirmelerini uygulamak için makineleriniz yeniden başlatılmalıdır

Açıklama ve ilgili ilke: Sistem güncelleştirmelerini uygulamak ve makinenin güvenlik açıklarına karşı güvenliğini sağlamak için makinelerinizi yeniden başlatın. (İlgili ilke: Sistem güncelleştirmeleri makinelerinize yüklenmelidir).

Önem Derecesi: Orta

İzleme aracısı makinelerinize yüklenmelidir

Açıklama ve ilgili ilke: Bu eylem seçilen sanal makinelere bir izleme aracısı yükler. Aracının raporlaması için bir çalışma alanı seçin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Java, web uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama ve ilgili ilke: Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Java yazılımı için düzenli aralıklarla daha yeni sürümler yayınlanıyor. Web uygulamaları için en son Java sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için önerilir. (İlgili ilke: Web uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun).

Önem Derecesi: Orta

Python, işlev uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama ve ilgili ilke: Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımı için düzenli aralıklarla daha yeni sürümler yayımlanıyor. İşlev uygulamaları için en son Python sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmanızı öneririz. (İlgili ilke: İşlev uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun).

Önem Derecesi: Orta

Python, web uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama ve ilgili ilke: Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımı için düzenli aralıklarla daha yeni sürümler yayımlanıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son Python sürümünü kullanmanız önerilir. (İlgili ilke: Web uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun).

Önem Derecesi: Orta

Java, işlev uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama ve ilgili ilke: Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Java yazılımı için düzenli aralıklarla daha yeni sürümler yayınlanıyor. İşlev uygulamaları için en son Java sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için önerilir. (İlgili ilke: İşlev uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun).

Önem Derecesi: Orta

PHP, web uygulamaları için en son sürüme güncelleştirilmelidir

Açıklama ve ilgili ilke: Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla PHP yazılımı için düzenli aralıklarla daha yeni sürümler yayınlanıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son PHP sürümünü kullanmanız önerilir. (İlgili ilke: 'PHP sürümünün' WEB uygulamasının bir parçası olarak kullanılıyorsa en son sürüm olduğundan emin olun).

Önem Derecesi: Orta

Makinelerdeki uç nokta koruma sistem durumu sorunları çözümlenmelidir

Açıklama: En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Bulut için Defender tarafından desteklenen uç nokta koruma çözümlerinin belgelerine ve uç nokta koruma değerlendirmelerine bakın. (İlişkili ilke yok)

Önem Derecesi: Orta

Uç nokta koruması makinelere yüklenmelidir

Açıklama: Makineleri tehditlere ve güvenlik açıklarına karşı korumak için desteklenen bir uç nokta koruma çözümü yükleyin. Uç nokta koruma değerlendirmesi ve Bulut için Microsoft Defender'daki öneriler bölümünde makineler için uç nokta korumasının nasıl değerlendirıldığı hakkında daha fazla bilgi edinin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Bilişsel Hizmetler hesapları için genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Bu ilke, ortamınızdaki tüm Bilişsel Hizmetler hesabını genel ağ erişimi etkinleştirilmiş olarak denetler. Yalnızca özel uç noktalardan gelen bağlantılara izin verilmesi için genel ağ erişimi devre dışı bırakılmalıdır. (İlgili ilke: Bilişsel Hizmetler hesapları için genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta