Azure'da IaaS iş yükleri için en iyi güvenlik yöntemleri

  • Makale

Bu makalede VM'ler ve işletim sistemleri için en iyi güvenlik yöntemleri açıklanmaktadır.

En iyi yöntemler fikir birliğine dayalıdır ve geçerli Azure platformu özellikleri ve özellik kümeleriyle çalışır. Görüşler ve teknolojiler zaman içinde değişebileceğinden, bu makale bu değişiklikleri yansıtacak şekilde güncelleştirilecektir.

Hizmet olarak altyapı (IaaS) senaryolarının çoğunda Azure sanal makineleri (VM) bulut bilişim kullanan kuruluşlar için ana iş yüküdür. Bu durum, kuruluşların iş yüklerini yavaş yavaş buluta geçirmek istediği karma senaryolarda belirgindir. Bu tür senaryolarda IaaS için genel güvenlik konularını izleyin ve tüm VM'lerinize en iyi güvenlik yöntemlerini uygulayın.

Kimlik doğrulaması ve erişim denetimi kullanarak VM'leri koruma

VM'lerinizi korumanın ilk adımı, yalnızca yetkili kullanıcıların yeni VM'leri ayarlamasını ve VM'lere erişebilmesini sağlamaktır.

Dekont

Azure'da Linux VM'lerin güvenliğini geliştirmek için Microsoft Entra kimlik doğrulaması ile tümleştirebilirsiniz. Linux VM'ler için Microsoft Entra kimlik doğrulamasını kullandığınızda , VM'lere erişime izin veren veya erişimi reddeden ilkeleri merkezi olarak denetler ve uygularsınız.

En iyi yöntem: VM erişimini denetleme. Ayrıntı: Kuruluşunuzdaki kaynaklar için kurallar oluşturmak ve özelleştirilmiş ilkeler oluşturmak için Azure ilkelerini kullanın. Bu ilkeleri kaynak grupları gibi kaynaklara uygulayın. Bir kaynak grubuna ait VM'ler ilkelerini devralır.

Kuruluşunuzun çok sayıda aboneliği varsa, söz konusu aboneliklerde erişimi, ilkeleri ve uyumluluğu yönetmek için verimli bir yönteme ihtiyacınız olabilir. Azure yönetim grupları aboneliklerin üzerinde bir kapsam düzeyi sağlar. Abonelikleri yönetim grupları (kapsayıcılar) halinde düzenler ve idare koşullarınızı bu gruplara uygularsınız. Bir yönetim grubu içindeki tüm abonelikler, gruba uygulanan koşulları otomatik olarak devralır. Yönetim grupları, sahip olabileceğiniz abonelik türüne bakılmaksızın kurumsal düzeyde yönetimi büyük ölçekte sunar.

En iyi yöntem: VM'leri kurma ve dağıtma işlemlerinizde değişkenliği azaltın. Ayrıntı: Azure Resource Manager şablonlarını kullanarak dağıtım seçimlerinizi güçlendirin ve ortamınızdaki VM'lerin daha kolay anlaşılmasını ve envanterini oluşturun.

En iyi yöntem: Ayrıcalıklı erişimin güvenliğini sağlama. Ayrıntı: Kullanıcıların VM'lere erişmesini ve vm'leri ayarlamasını sağlamak için en düşük ayrıcalık yaklaşımını ve yerleşik Azure rollerini kullanın:

  • Sanal Makine Katkıda Bulunanı: VM'leri yönetebilir, ancak bağlı oldukları sanal ağı veya depolama hesabını yönetemez.
  • Klasik Sanal Makine Katkıda Bulunanı: Klasik dağıtım modeli kullanılarak oluşturulan VM'leri yönetebilir, ancak VM'lerin bağlı olduğu sanal ağı veya depolama hesabını yönetemez.
  • Güvenlik Yönetici: Yalnızca Bulut için Defender: Güvenlik ilkelerini görüntüleyebilir, güvenlik durumlarını görüntüleyebilir, güvenlik ilkelerini düzenleyebilir, uyarıları ve önerileri görüntüleyebilir, uyarıları ve önerileri kapatabilir.
  • DevTest Labs Kullanıcısı: Her şeyi görüntüleyebilir ve VM'leri bağlayabilir, başlatabilir, yeniden başlatabilir ve kapatabilir.

Abonelik yöneticileriniz ve ortak yöneticileriniz bu ayarı değiştirerek abonelikteki tüm VM'lerin yöneticisi olmalarını sağlayabilir. Tüm abonelik yöneticilerinize ve ortak yöneticilerinize makinelerinizden birinde oturum açmaları için güvendiğinizden emin olun.

Dekont

Aynı yaşam döngüsüne sahip VM'leri aynı kaynak grubunda birleştirmenizi öneririz. Kaynak gruplarını kullanarak, kaynaklarınız için faturalama maliyetlerini dağıtabilir, izleyebilir ve toplayabilirsiniz.

VM erişimini ve kurulumunu denetleen kuruluşlar, genel VM güvenliğini geliştirir.

Daha iyi kullanılabilirlik için birden çok VM kullanma

VM'niz yüksek kullanılabilirliğe sahip olması gereken kritik uygulamalar çalıştırıyorsa, birden çok VM kullanmanızı kesinlikle öneririz. Daha iyi kullanılabilirlik için bir kullanılabilirlik kümesi veya kullanılabilirlik alanları kullanın.

Kullanılabilirlik kümesi, azure veri merkezinde dağıtıldıklarında içine yerleştirdiğiniz VM kaynaklarının birbirinden yalıtıldığından emin olmak için Azure'da kullanabileceğiniz mantıksal bir gruplandırmadır. Azure, bir kullanılabilirlik kümesine yerleştirdiğiniz VM'lerin birden çok fiziksel sunucu, işlem rafı, depolama birimi ve ağ anahtarı arasında çalışmasını sağlar. Bir donanım veya Azure yazılım hatası oluşursa, VM'lerinizin yalnızca bir alt kümesi etkilenir ve genel uygulamanız müşterileriniz tarafından kullanılabilir olmaya devam eder. Kullanılabilirlik kümeleri, güvenilir bulut çözümleri oluşturmak istediğinizde önemli bir özellik sağlar.

Kötü amaçlı yazılıma karşı koruma

Virüsleri, casus yazılımları ve diğer kötü amaçlı yazılımları tanımlamaya ve kaldırmaya yardımcı olmak için kötü amaçlı yazılımdan koruma yüklemelisiniz. Microsoft Kötü Amaçlı Yazılımdan Koruma'yı veya bir Microsoft iş ortağının uç nokta koruma çözümünü (Trend Micro, Broadcom, McAfee, Windows Defender ve System Center Endpoint Protection) yükleyebilirsiniz.

Microsoft Kötü Amaçlı Yazılımdan Koruma, gerçek zamanlı koruma, zamanlanmış tarama, kötü amaçlı yazılım düzeltmesi, imza güncelleştirmeleri, altyapı güncelleştirmeleri, örnek raporlama ve dışlama olayı toplama gibi özellikler içerir. Üretim ortamınızdan ayrı olarak barındırılan ortamlarda, VM'lerinizi ve bulut hizmetlerinizi korumaya yardımcı olmak için kötü amaçlı yazılımdan koruma uzantısı kullanabilirsiniz.

Dağıtım kolaylığı ve yerleşik algılamalar (uyarılar ve olaylar) için Microsoft Kötü Amaçlı Yazılımdan Koruma ve iş ortağı çözümlerini Bulut için Microsoft Defender ile tümleştirebilirsiniz.

En iyi yöntem: Kötü amaçlı yazılımlara karşı koruma sağlamak için bir kötü amaçlı yazılımdan koruma çözümü yükleyin.
Ayrıntı: Microsoft iş ortağı çözümü veya Microsoft Kötü Amaçlı Yazılımdan Koruma yazılımı yükleme

En iyi yöntem: Korumanızın durumunu izlemek için kötü amaçlı yazılımdan koruma çözümünüzü Bulut için Defender ile tümleştirin.
Ayrıntı: Bulut için Defender ile ilgili uç nokta koruma sorunlarını yönetme

VM güncelleştirmelerinizi yönetme

Tüm şirket içi VM'ler gibi Azure VM'lerinin de kullanıcı tarafından yönetilmesi amaçlanmaktadır. Azure bunlara Windows güncelleştirmelerini göndermez. VM güncelleştirmelerinizi yönetmeniz gerekir.

En iyi yöntem: VM'lerinizi güncel tutun.
Ayrıntı: Azure'da, şirket içi ortamlarda veya diğer bulut sağlayıcılarında dağıtılan Windows ve Linux bilgisayarlarınızın işletim sistemi güncelleştirmelerini yönetmek için Azure Otomasyonu Güncelleştirme Yönetimi çözümünü kullanın. Tüm aracı bilgisayarlardaki kullanılabilir güncelleştirmelerin durumunu hızla değerlendirebilir ve sunucular için gerekli güncelleştirmeleri yükleme işlemini yönetebilirsiniz.

Güncelleştirme Yönetimi tarafından yönetilen bilgisayarlar değerlendirme ve güncelleştirme dağıtımı yapmak için aşağıdaki yapılandırmaları kullanır:

  • Windows veya Linux için Microsoft Monitoring Agent (MMA)
  • Linux için PowerShell İstenen Durum Yapılandırması (DSC)
  • Otomasyon Karma Runbook Çalışanı
  • Windows bilgisayarları için Microsoft Update veya Windows Server Update Services (WSUS)

Windows Update kullanıyorsanız, otomatik Windows Update ayarını etkin bırakın.

En iyi yöntem: Dağıtım sırasında oluşturduğunuz görüntülerin windows güncelleştirmelerinin en son turunu içerdiğinden emin olun.
Ayrıntı: Her dağıtımın ilk adımı olarak tüm Windows güncelleştirmelerini denetleyin ve yükleyin. Bu ölçünün, sizden veya kendi kitaplığınızdan gelen görüntüleri dağıttığınızda uygulanması özellikle önemlidir. Azure Market görüntüleri varsayılan olarak otomatik olarak güncelleştirilse de, genel sürümden sonra gecikme süresi (birkaç haftaya kadar) olabilir.

En iyi yöntem: İşletim sisteminin yeni bir sürümünü zorlamak için VM'lerinizi düzenli aralıklarla yeniden dağıtın.
Ayrıntı: Vm'nizi kolayca yeniden dağıtabilmeniz için bir Azure Resource Manager şablonuyla tanımlayın. Şablon kullanmak, ihtiyacınız olduğunda düzeltme eki uygulanmış ve güvenli bir VM sağlar.

En iyi yöntem: Vm'lere güvenlik güncelleştirmelerini hızla uygulayın.
Ayrıntı: Eksik güvenlik güncelleştirmelerini belirlemek ve uygulamak için Bulut için Microsoft Defender (Ücretsiz katman veya Standart katman) etkinleştirin.

En iyi yöntem: En son güvenlik güncelleştirmelerini yükleyin.
Ayrıntı: Müşterilerin Azure'a taşıyabilecekleri ilk iş yüklerinden bazıları laboratuvarlar ve dış kullanıma yönelik sistemlerdir. Azure VM'leriniz İnternet'te erişilebilir olması gereken uygulamaları veya hizmetleri barındırıyorsa düzeltme eki uygulama konusunda dikkatli olun. İşletim sisteminin ötesinde düzeltme eki uygulama. İş ortağı uygulamalarındaki düzeltme eki kaldırılmamış güvenlik açıkları, iyi bir yama yönetimi söz konusu olduğunda önlenebilen sorunlara da yol açabilir.

En iyi yöntem: Yedekleme çözümünü dağıtma ve test edin.
Ayrıntı: Yedeklemenin, diğer işlemleri işlediğiniz şekilde işlenmesi gerekir. Bu, buluta uzanan üretim ortamınızın bir parçası olan sistemler için geçerlidir.

Test ve geliştirme sistemleri, şirket içi ortamlardaki deneyimlerine bağlı olarak kullanıcıların alıştığına benzer geri yükleme özellikleri sağlayan yedekleme stratejilerini izlemelidir. Azure'a taşınan üretim iş yüklerinin mümkün olduğunda mevcut yedekleme çözümleriyle tümleştirilmesi gerekir. Alternatif olarak, yedekleme gereksinimlerinizi karşılamaya yardımcı olması için Azure Backup'ı da kullanabilirsiniz.

Yazılım güncelleştirme ilkelerini uygulamayan kuruluşlar, bilinen ve daha önce düzeltildi güvenlik açıklarından yararlanan tehditlere daha fazla maruz kalır. Sektör düzenlemelerine uymak için şirketlerin, bulutta bulunan iş yüklerinin güvenliğini sağlamaya yardımcı olmak için özenli olduklarını ve doğru güvenlik denetimlerini kullandıklarını kanıtlamaları gerekir.

Geleneksel bir veri merkezi için yazılım güncelleştirmesi en iyi yöntemleri ve Azure IaaS'nin birçok benzerliği vardır. Geçerli yazılım güncelleştirme ilkelerinizi Azure'da bulunan VM'leri içerecek şekilde değerlendirmenizi öneririz.

VM güvenlik duruşunuzu yönetme

Siber tehditler gelişiyor. VM'lerinizi koruma Kasa tehditleri hızla algılayan, kaynaklarınıza yetkisiz erişimi önleyebilecek, uyarıları tetikleyebilecek ve hatalı pozitif sonuçları azaltabilen bir izleme özelliği gerektirir.

Windows ve Linux VM'lerinizin güvenlik duruşunu izlemek için Bulut için Microsoft Defender kullanın. Bulut için Defender'da aşağıdaki özelliklerden yararlanarak VM'lerinizi koruma altına alma:

  • Önerilen yapılandırma kurallarıyla işletim sistemi güvenlik ayarlarını uygulayın.
  • Eksik olabilecek sistem güvenliğini ve kritik güncelleştirmeleri belirleyin ve indirin.
  • Uç nokta kötü amaçlı yazılımdan koruma için öneriler dağıtın.
  • Disk şifrelemeyi doğrulayın.
  • Güvenlik açıklarını değerlendirme ve düzeltme.
  • Tehditleri algılama.

Bulut için Defender tehditleri etkin bir şekilde izleyebilir ve olası tehditler güvenlik uyarılarında kullanıma sunulur. Bağıntılı tehditler, güvenlik olayı olarak adlandırılan tek bir görünümde toplanır.

Bulut için Defender verileri Azure İzleyici günlükleri. Azure İzleyici günlükleri, uygulamalarınızın ve kaynaklarınızın çalışmalarıyla ilgili içgörüler sağlayan bir sorgu dili ve analiz altyapısı sağlar. Veriler azure izleyicisinden, yönetim çözümlerinden ve buluttaki veya şirket içi sanal makinelere yüklenen aracılardan da toplanır. Bu paylaşılan işlevsellik, ortamınızın eksiksiz bir resmini oluşturmanıza yardımcı olur.

VM'leri için güçlü güvenlik uygulamayan kuruluşlar, yetkisiz kullanıcıların güvenlik denetimlerini aşmaya yönelik olası girişimlerinin farkında değildir.

VM performansını izleme

VM işlemleri gerektiğinden daha fazla kaynak tükettiğinde kaynak kötüye kullanımı sorun olabilir. VM ile ilgili performans sorunları hizmet kesintisine yol açabilir ve bu da kullanılabilirlik güvenlik ilkesini ihlal eder. Yüksek CPU veya bellek kullanımı bir hizmet reddi (DoS) saldırısına işaret ettiğinden bu, IIS veya diğer web sunucularını barındıran VM'ler için özellikle önemlidir. Vm erişiminin yalnızca bir sorun oluştuğu sırada reaktif olarak değil, aynı zamanda normal çalışma sırasında ölçülen temel performansa karşı proaktif olarak izlenmesi zorunludur.

Kaynağınızın durumuyla ilgili görünürlük elde etmek için Azure İzleyici'yi kullanmanızı öneririz. Azure İzleyici özellikleri:

VM performansını izlemeyen kuruluşlar, performans desenlerindeki bazı değişikliklerin normal mi yoksa anormal mi olduğunu belirleyemez. Normalden daha fazla kaynak kullanan bir VM, bir dış kaynaktan gelen bir saldırıyı veya VM'de çalışan güvenliği aşılmış bir işlemi gösterebilir.

Sanal sabit disk dosyalarınızı şifreleme

Depolamada bekleyen önyükleme biriminizi ve veri birimlerinizi ve şifreleme anahtarlarınızı ve gizli dizilerinizi korumaya yardımcı olmak için sanal sabit disklerinizi (VHD) şifrelemenizi öneririz.

Linux VM'leri için Azure Disk Şifrelemesi ve Windows VM'ler için Azure Disk Şifrelemesi, Linux ve Windows IaaS sanal makine disklerinizi şifrelemenize yardımcı olur. Azure Disk Şifrelemesi endüstri standardını kullanırlinux'un DM-Crypt özelliği ve işletim sistemi ve veri diskleri için birim şifrelemesi sağlamak üzere Windows'un BitLocker özelliği. Çözüm, anahtar kasası aboneliğinizdeki disk şifreleme anahtarlarını ve gizli dizileri denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir. Çözüm ayrıca azure Depolama bekleyen sanal makine disklerindeki tüm verilerin şifrelenmesini sağlar.

Azure Disk Şifrelemesi kullanmaya yönelik en iyi yöntemler şunlardır:

En iyi yöntem: VM'lerde şifrelemeyi etkinleştirme.
Ayrıntı: Azure Disk Şifrelemesi şifreleme anahtarlarını oluşturur ve anahtar kasanıza yazar. Anahtar kasanızdaki şifreleme anahtarlarını yönetmek için Microsoft Entra kimlik doğrulaması gerekir. Bu amaçla bir Microsoft Entra uygulaması oluşturun. Kimlik doğrulaması amacıyla, gizli dizi tabanlı istemci kimlik doğrulamasını veya istemci sertifikası tabanlı Microsoft Entra kimlik doğrulamasını kullanabilirsiniz.

En iyi yöntem: Şifreleme anahtarları için ek bir güvenlik katmanı için anahtar şifreleme anahtarı (KEK) kullanın. Anahtar kasanıza kek ekleyin.
Ayrıntı: Anahtar kasasında anahtar şifreleme anahtarı oluşturmak için Add-AzKeyVaultKey cmdlet'ini kullanın. Anahtar yönetimi için şirket içi donanım güvenlik modülünüzden (HSM) bir KEK de içeri aktarabilirsiniz. Daha fazla bilgi için Key Vault belgelerine bakın. Anahtar şifreleme anahtarı belirtildiğinde, Azure Disk Şifrelemesi Key Vault'a yazmadan önce şifreleme gizli dizilerini sarmak için bu anahtarı kullanır. Bu anahtarın bir emanet kopyasını şirket içi anahtar yönetimi HSM'de tutmak, anahtarların yanlışlıkla silinmesine karşı ek koruma sağlar.

En iyi yöntem: Diskler şifrelenmeden önce anlık görüntü ve/veya yedekleme yapın. Yedeklemeler, şifreleme sırasında beklenmeyen bir hata oluştuğunda bir kurtarma seçeneği sağlar.
Ayrıntı: Yönetilen diskleri olan VM'ler şifreleme gerçekleşmeden önce bir yedekleme gerektirir. Yedekleme yapıldıktan sonra, -skipVmBackup parametresini belirterek yönetilen diskleri şifrelemek için Set-AzVMDiskEncryptionExtension cmdlet'ini kullanabilirsiniz. Şifrelenmiş VM'leri yedekleme ve geri yükleme hakkında daha fazla bilgi için Azure Backup makalesine bakın.

En iyi yöntem: Şifreleme gizli dizilerinin bölgesel sınırları aşmadığından emin olmak için Azure Disk Şifrelemesi anahtar kasasının ve VM'lerin aynı bölgede bulunması gerekir.
Ayrıntı: Şifrelenecek VM ile aynı bölgede yer alan bir anahtar kasası oluşturun ve kullanın.

Azure Disk Şifrelemesi uyguladığınızda aşağıdaki iş gereksinimlerini karşılayabilirsiniz:

  • Kurumsal güvenlik ve uyumluluk gereksinimlerini karşılamak üzere endüstri standardı bir şifreleme teknolojisi aracılığıyla IaaS VM’leri beklemedeyken şifrelenir.
  • IaaS VM'leri müşteri tarafından denetlenen anahtarlar ve ilkeler altında başlar ve bunların kullanımını anahtar kasanızda denetleyebilirsiniz.

Doğrudan İnternet bağlantısını kısıtlama

VM doğrudan İnternet bağlantısını izleyin ve kısıtlayın. Saldırganlar açık yönetim bağlantı noktaları için genel bulut IP aralıklarını sürekli tarar ve yaygın parolalar ve bilinen eşleşmeyen güvenlik açıkları gibi "kolay" saldırılar dener. Aşağıdaki tabloda, bu saldırılara karşı korunmaya yardımcı olacak en iyi yöntemler listelenir:

En iyi yöntem: Ağ yönlendirme ve güvenliğine yanlışlıkla maruz kalmayı önleyin.
Ayrıntı: Yalnızca merkezi ağ grubunun ağ kaynaklarına izin verdiğinden emin olmak için Azure RBAC kullanın.

En iyi yöntem: "herhangi bir" kaynak IP adresinden erişime izin veren kullanıma sunulan VM'leri belirleyin ve düzeltin.
Ayrıntı: Bulut için Microsoft Defender kullanın. Bulut için Defender, ağ güvenlik gruplarınızdan herhangi birinin "herhangi bir" kaynak IP adresinden erişime izin veren bir veya daha fazla gelen kuralı varsa İnternet'e yönelik uç noktalar üzerinden erişimi kısıtlamanızı önerir. Bulut için Defender, gerçekten erişim gerektiren kaynak IP adreslerine erişimi kısıtlamak için bu gelen kuralları düzenlemenizi önerir.

En iyi yöntem: Yönetim bağlantı noktalarını kısıtlama (RDP, SSH).
Ayrıntı: Tam zamanında (JIT) VM erişimi , Azure VM'lerinize gelen trafiği kilitlemek için kullanılabilir ve gerektiğinde VM'lere bağlanmak için kolay erişim sağlarken saldırılara maruz kalma oranını azaltır. JIT etkinleştirildiğinde Bulut için Defender bir ağ güvenlik grubu kuralı oluşturarak Azure VM'lerinize gelen trafiği kilitler. VM'de gelen trafiğin kilitlendiği bağlantı noktalarını seçersiniz. Bu bağlantı noktaları JIT çözümü tarafından denetleniyor.

Sonraki adımlar

Azure kullanarak bulut çözümlerinizi tasarlarken, dağıtırken ve yönetirken kullanabileceğiniz daha fazla güvenlik en iyi uygulaması için bkz . Azure güvenlik en iyi yöntemleri ve desenleri .

Azure güvenliği ve ilgili Microsoft hizmetleri hakkında daha fazla genel bilgi sağlamak için aşağıdaki kaynaklar kullanılabilir: