Azure'da IaaS iş yükleri için en iyi güvenlik yöntemleri

  • Makale
  • Okumak için 11 dakika

Bu makalede, VM 'Ler ve işletim sistemleri için en iyi güvenlik uygulamaları açıklanmaktadır.

En iyi uygulamalar, görüşlerden oluşan yarışmaları temel alır ve geçerli Azure platformu özellikleri ve özellik kümeleriyle çalışır. Zamanla ve teknolojiler zaman içinde değişeceğinden, bu makale bu değişiklikleri yansıtacak şekilde güncelleştirilir.

Hizmet olarak altyapı (IaaS) senaryolarında Azure sanal makineleri (VM 'ler) , bulut bilgi işlem kullanan kuruluşlar için ana iş yüküdür. Bu olgu, kuruluşların iş yüklerini buluta yavaş bir şekilde geçirmek istediği karma senaryolara karşı daha da çalışır. Bu tür senaryolarda, IaaS için genel güvenlik konularınıizleyin ve tüm sanal makinelerinize en iyi güvenlik uygulamalarını uygulayın.

Kimlik doğrulama ve erişim denetimi kullanarak VM 'Leri koruma

VM 'lerinizi korumanın ilk adımı yalnızca yetkili kullanıcıların yeni VM 'Leri ayarlayave VM 'Lere erişim izni sağlamaktır.

Not

Azure 'da Linux VM 'lerinin güvenliğini artırmak için Azure AD kimlik doğrulamasıyla tümleştirebilirsiniz. Linux VM 'ler Için Azure AD kimlik doğrulamasıkullandığınızda, sanal makinelere erişime izin veren veya erişimi reddeden ilkeleri merkezi olarak kontrol edin ve zorlayabilirsiniz.

En iyi yöntem: VM erişimini denetleyin.
Ayrıntı: kuruluşunuzdaki kaynaklara yönelik kurallar oluşturmak ve özelleştirilmiş ilkeler oluşturmak için Azure ilkelerini kullanın. Bu ilkeleri kaynak gruplarıgibi kaynaklara uygulayın. Bir kaynak grubuna ait olan VM 'Ler ilkelerini alırlar.

Kuruluşunuzun çok sayıda aboneliği varsa, söz konusu aboneliklerde erişimi, ilkeleri ve uyumluluğu yönetmek için verimli bir yönteme ihtiyacınız olabilir. Azure Yönetim grupları , aboneliklerin üzerinde bir kapsam düzeyi sağlar. Abonelikleri yönetim grupları (kapsayıcılar) halinde düzenler ve idare koşullarınızı bu gruplara uygularsınız. Bir yönetim grubu içindeki tüm abonelikler, gruba uygulanan koşulları otomatik olarak devralınır. Yönetim grupları, sahip olabileceğiniz abonelik türüne bakılmaksızın kurumsal düzeyde yönetimi büyük ölçekte sunar.

En iyi yöntem: VM 'lerin kurulumunda ve dağıtımında değişkenlik azaltma.
Ayrıntı: dağıtım seçimlerinizi güçlendirmek ve ortamınızdaki VM 'leri daha kolay anlamak ve stoklanmasını kolaylaştırmak için Azure Resource Manager şablonlarını kullanın.

En iyi yöntem: güvenli ayrıcalıklı erişim.
Ayrıntı: kullanıcıların VM 'lere erişmesini ve bunları kurmasını sağlamak için en az ayrıcalık yaklaşımı ve yerleşik Azure rolleri kullanın:

  • Sanal makine katılımcısı: VM 'leri yönetebilir, ancak bağlı oldukları sanal ağ veya depolama hesabını yönetemez.
  • Klasik sanal makine katılımcısı: klasik dağıtım modeli kullanılarak oluşturulan VM 'leri yönetebilir, ancak VM 'lerin bağlı olduğu sanal ağ veya depolama hesabı değildir.
  • Güvenlik Yöneticisi: Defender yalnızca bulut için: güvenlik ilkelerini görüntüleyebilir, güvenlik durumlarını görüntüleyebilir, güvenlik ilkelerini düzenleyebilir, uyarıları ve önerileri görüntüleyebilir, uyarıları ve önerileri kapatabilir.
  • DevTest Labs kullanıcısı: her şeyi görüntüleyebilir, sanal makineleri yükleyebilir, başlatabilir, yeniden başlatabilir ve kapatabilir.

Abonelik yöneticileri ve coyöneticileri bu ayarı değiştirebilir ve bu ayarı, bir abonelikteki tüm VM 'lerin yöneticilerini yapabilir. Herhangi bir makinelerinizde oturum açmak için tüm abonelik yöneticilerinizi ve ortak yöneticilerine güvendiğinizden emin olun.

Not

Aynı yaşam döngüsüne sahip VM 'Leri aynı kaynak grubuyla birleştirmeniz önerilir. Kaynak gruplarını kullanarak kaynaklarınız için faturalandırma maliyetlerini dağıtabilir, izleyebilir ve izleyebilirsiniz.

VM erişimini ve kurulumunu denetleyen kuruluşlar, genel VM güvenliğini artırır.

Daha iyi kullanılabilirlik için birden çok VM kullanma

VM 'niz yüksek kullanılabilirliğe sahip olması gereken kritik uygulamalar çalıştırıyorsa, birden çok VM kullanmanızı önemle tavsiye ederiz. Daha iyi kullanılabilirlik için bir kullanılabilirlik kümesi veya kullanılabilirlik alanlarıkullanın.

Kullanılabilirlik kümesi, Azure 'da yerleştirdiğiniz VM kaynaklarının bir Azure veri merkezinde dağıtıldıklarında birbirinden yalıtılmış olmasını sağlamak için Azure 'da kullanabileceğiniz mantıksal bir gruplandırmadır. Azure, bir kullanılabilirlik kümesine yerleştirdiğiniz VM 'Lerin birden çok fiziksel sunucuda, bilgi işlem raflarının, depolama biriminde ve ağ anahtarlarında çalıştırılmasını sağlar. Bir donanım veya Azure yazılım hatası oluşursa, sanal makinelerinizin yalnızca bir alt kümesi etkilenir ve genel uygulamanız müşterilerinizin kullanımına açık olmaya devam eder. Kullanılabilirlik kümeleri, güvenilir bulut çözümleri oluşturmak istediğinizde önemli bir yetenektir.

Kötü amaçlı yazılıma karşı koruma

Virüslerin, casus yazılımların ve diğer kötü amaçlı yazılımların tanımlanmasına ve kaldırılmasına yardımcı olması için kötü amaçlı yazılımdan koruma koruması kurmanız gerekir. Microsoft Antimalware veya bir Microsoft iş ortağının endpoint protection çözümünü (Trend Micro, Broadcom, McAfee, Windows Defenderve System Center Endpoint Protection) yükleyebilirsiniz.

Microsoft Antimalware gerçek zamanlı koruma, zamanlanmış tarama, kötü amaçlı yazılım düzeltme, imza güncelleştirmeleri, altyapı güncelleştirmeleri, örnek raporlama ve dışlama olay toplama gibi özellikler içerir. Üretim ortamınızdan ayrı olarak barındırılan ortamlar için, VM 'lerinizin ve bulut hizmetlerinizin korunmasına yardımcı olmak üzere bir kötü amaçlı yazılımdan koruma uzantısı kullanabilirsiniz.

dağıtım ve yerleşik algılamalar (uyarılar ve olaylar) için, bulut için Microsoft Defender ile Microsoft Antimalware ve iş ortağı çözümlerini tümleştirebilirsiniz.

En iyi yöntem: kötü amaçlı yazılımlara karşı koruma için kötü amaçlı yazılımdan koruma çözümü yükler
Ayrıntı: bir Microsoft iş ortağı çözümü veya Microsoft Antimalware yüklemesi

En iyi yöntem: korumanızla ilgili durumu izlemek için kötü amaçlı yazılımdan koruma çözümünüzü buluta tümleştirin.
Ayrıntı: bulut için Defender ile Endpoint Protection sorunlarını yönetme

VM güncelleştirmelerinizi yönetin

Tüm şirket içi VM 'Ler gibi Azure sanal makineleri, Kullanıcı tarafından yönetilmek üzere tasarlanmıştır. Azure bunlara Windows güncelleştirmelerini göndermez. VM güncelleştirmelerinizi yönetmeniz gerekir.

En iyi yöntem: VM 'lerinizi güncel tutun.
ayrıntı: azure 'da, şirket içi ortamlarda veya diğer bulut sağlayıcılarında dağıtılan Windows ve Linux bilgisayarlarınıza yönelik işletim sistemi güncelleştirmelerini yönetmek için azure otomasyonu 'nda Güncelleştirme Yönetimi çözümünü kullanın. Tüm aracı bilgisayarlardaki kullanılabilir güncelleştirmelerin durumunu hızla değerlendirebilir ve sunucular için gerekli güncelleştirmeleri yükleme işlemini yönetebilirsiniz.

Güncelleştirme Yönetimi tarafından yönetilen bilgisayarlar değerlendirme ve güncelleştirme dağıtımı yapmak için aşağıdaki yapılandırmaları kullanır:

  • Windows veya Linux için Microsoft Monitoring Agent (MMA)
  • Linux için PowerShell İstenen Durum Yapılandırması (DSC)
  • Otomasyon Karma Runbook Çalışanı
  • Windows bilgisayarları için Microsoft Update veya Windows Server Update Services (WSUS)

Windows Update kullanırsanız, otomatik Windows Update ayarını etkin bırakın.

en iyi yöntem: oluşturduğunuz görüntülerin Windows güncelleştirmelerinin en son yuvarlamasını içerdiğinden emin olun.
ayrıntı: tüm Windows güncelleştirmelerini denetleyin ve her dağıtımın ilk adımı olarak yükler. Bu ölçü, sizin veya kendi kitaplığınızdan gelen görüntüleri dağıtırken uygulanması özellikle önemlidir. Azure Marketi 'ndeki görüntüler varsayılan olarak otomatik olarak güncellense de, genel bir sürümden sonra bir gecikme süresi (birkaç hafta kadar) olabilir.

En iyi yöntem: işletim sisteminin yeni bir sürümünü zorlamak için sanal makinelerinizi düzenli olarak yeniden dağıtın.
Ayrıntı: daha kolay bir şekilde DAĞıTMAK için VM 'nizi bir Azure Resource Manager şablonuyla tanımlayın. Bir şablon kullanmak gerektiğinde düzeltme eki uygulanmış ve güvenli bir VM sağlar.

En iyi yöntem: sanal makinelere güvenlik güncelleştirmelerini hızlıca uygulayın.
Ayrıntı: eksik güvenlik güncelleştirmelerini belirlemek ve bunları uygulamakIçin bulut için Microsoft Defender 'ı (ücretsiz katman veya Standart katman) etkinleştirin.

En iyi yöntem: en son güvenlik güncelleştirmelerini yükler.
Ayrıntı: müşterilerin Azure 'a taşımadığı ilk iş yüklerinden bazıları Labs ve dışarıdan yönelik sistemlerdir. Azure VM 'leriniz, internet erişimine açık olması gereken uygulamaları veya hizmetleri barındıralıyorsa, düzeltme eki hakkında dikkatli olun. İşletim sisteminin ötesinde Düzeltme Eki. İş ortağı uygulamalarında düzeltme eki yüklenmemiş güvenlik açıkları, iyi bir düzeltme eki yönetimi gerçekleşirken kaçınıyabileceği sorunlara da yol açabilir.

En iyi yöntem: bir yedekleme çözümünü dağıtın ve test edin.
Ayrıntı: bir yedeklemenin, başka bir işlemi idare ettiğiniz şekilde işlenmesi gerekir. Bu, üretim ortamınızın bir parçası olan ve buluta genişleyen sistemlerdir.

Test ve geliştirme sistemleri, kullanıcıların şirket içi ortamlarıyla karşılaşmalarına bağlı olarak ne kadar büyümekle benzer geri yükleme özellikleri sağlayan yedekleme stratejilerini izlemelidir. Azure 'a taşınan üretim iş yükleri mümkün olduğunda mevcut yedekleme çözümleriyle tümleştirmelidir. Veya, yedekleme gereksinimlerinizi karşılamak için Azure Backup kullanabilirsiniz.

Yazılım güncelleştirme ilkelerini zorlayamayan kuruluşlar, bilinen ve önceden düzeltilen güvenlik açıklarından yararlanan tehditlere açıktır. Sektör düzenlemelerine uymak için şirketlerin, bulutta bulunan iş yüklerinin güvenliğini sağlamaya yardımcı olmak için doğru güvenlik denetimlerini kullandığını kanıtlamaları gerekir.

Yazılım-geleneksel bir veri merkezinde en iyi uygulamaları güncelleştirme ve Azure IaaS birçok benzerlikler vardır. Azure 'da bulunan VM 'Leri dahil etmek için geçerli yazılım güncelleştirme ilkelerinizi değerlendirmenizi öneririz.

VM Güvenlik duruşunuzu yönetin

Siber tehditler gelişiyor. VM 'lerinizi koruma, tehditleri hızlı bir şekilde tespit etmek, Kaynaklarınıza yetkisiz erişimi engellemek, uyarıları tetiklemek ve hatalı pozitif sonuçları azaltmak için bir izleme yeteneği gerektirir.

Windows ve Linux sanalmakinelerinizin güvenlik duruşunu izlemek için, bulut için Microsoft Defender'ı kullanın. Defender for Cloud 'da, aşağıdaki özelliklerden yararlanarak sanal makinelerinizi koruyun:

  • Önerilen yapılandırma kuralları ile işletim sistemi güvenlik ayarlarını uygulayın.
  • Eksik olabilecek sistem güvenliğini ve kritik güncelleştirmeleri belirleyip indirin.
  • Endpoint antimalware koruması için öneriler dağıtın.
  • Disk şifrelemeyi doğrulayın.
  • Güvenlik açıklarını değerlendirin ve düzeltin.
  • Tehditleri algılayın.

Bulut için Defender tehditleri etkin bir şekilde izleyebilir ve olası tehditler güvenlik uyarılarında ortaya çıkar. Bağlantılı tehditler, güvenlik olayı olarak adlandırılan tek bir görünümde toplanır.

Bulut için Defender, verileri günlüklerinde Azure İzleyici depolar. Azure İzleyici günlükleri, uygulama ve kaynaklarınızı çalışma hakkında içgörüler sağlayan bir sorgu dili ve analiz altyapısı sağlar. Veriler ayrıca bulutta Azure İzleyicisanal makinelere yüklenmiş olan yönetim çözümleri ve aracılardan da toplanır. Bu paylaşılan işlevsellik, ortamınızın eksiksiz bir resmini oluşturmanıza yardımcı olur.

VM'leri için güçlü güvenlik uygulamayan kuruluşlar, yetkisiz kullanıcıların güvenlik denetimlerinden yararlanmaya yönelik olası girişimlerinden haberdar değildir.

VM performansını izleme

Kaynak kötüye kullanımı, VM işlemleri gerekenden daha fazla kaynak tükettiği zaman sorun olabilir. Vm ile ilgili performans sorunları hizmet kesintilerine yol açarak kullanılabilirlik güvenlik ilkesini ihlal ediyor olabilir. Yüksek CPU veya bellek kullanımı bir hizmet reddi (DoS) saldırısına işaret olabileceği için, bu durum IIS veya diğer web sunucularını barındıran VM'ler için özellikle önemlidir. Vm erişimini bir sorun oluştuğu sırada reaktif olarak izlemek değil, aynı zamanda normal çalışma sırasında ölçülen temel performansa karşı proaktif olarak izlemek de gerekir.

Kaynağın durumuna Azure İzleyici için Azure İzleyici'i kullanmanızı öneririz. Azure İzleyici özellikleri:

VM performansını izlemeen kuruluşlar, performans desenlerinde belirli değişikliklerin normal mi yoksa anormal mi olduğunu belirleyemz. Normalden daha fazla kaynak tüketen bir VM, dış bir kaynağa yönelik bir saldırıya veya VM'de çalışan güvenliği tehlikeye atılmış bir işleme işaret ediyor olabilir.

Sanal sabit disk dosyalarınızı şifreleme

Depolamada kalan önyükleme biriminizi ve veri birimlerinizi şifreleme anahtarlarınızı ve gizli dizilerinizi korumaya yardımcı olmak için sanal sabit disklerinizi (VHD) şifrelemenizi öneririz.

Azure Disk Şifrelemesi, linux ve Linux IaaS Windows disklerinizi şifrelemenize yardımcı olur. Azure Disk Şifrelemesi işletim sistemi ve veri diskleri için birim şifrelemesi sağlamak için Windows'nin endüstri standardı BitLocker özelliğini ve Linux'un DM-Crypt özelliğini kullanır. Çözüm, anahtar kasası Azure Key Vault disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleştirilmiştir. Çözüm ayrıca sanal makine diskleri üzerinde yer alan tüm verilerin Azure'da ve Azure'da Depolama.

Aşağıda, veri kullanımına yönelik en iyi Azure Disk Şifrelemesi:

En iyi yöntem: VM'lerde şifrelemeyi etkinleştirme.
Ayrıntı: Azure Disk Şifrelemesi anahtar kasanıza şifreleme anahtarları oluşturulur ve yazar. Anahtar kasasında şifreleme anahtarlarını yönetmek için Azure AD kimlik doğrulaması gerekir. Bu amaçla bir Azure AD uygulaması oluşturun. Kimlik doğrulaması amacıyla, gizli anahtar tabanlı kimlik doğrulamasını veya istemci sertifikası tabanlı Azure AD kimlik doğrulamasını kullanabilirsiniz.

En iyi yöntem: Şifreleme anahtarları için ek bir güvenlik katmanı için anahtar şifreleme anahtarı (KEK) kullanın. Anahtar kasanıza bir KEK ekleyin.
Ayrıntı: Anahtar kasasında anahtar şifreleme anahtarı oluşturmak için Add-AzKeyVaultKey cmdlet'ini kullanın. Anahtar yönetimi için şirket içi donanım güvenlik modülünden (HSM) bir KEK de içeri aktarabilirsiniz. Daha fazla bilgi için, Key Vault bakın. Bir anahtar şifreleme anahtarı belirtilirse, Azure Disk Şifrelemesi gizli dizileri gizli dizilere yazmadan önce sarmak için Key Vault. Bu anahtarın bir kopyasını şirket içi anahtar yönetimi HSM'sinde tutmak, anahtarların yanlışlıkla silinmesine karşı ek koruma sağlar.

En iyi yöntem: Diskler şifrelenmeden önce anlık görüntü ve/veya yedekleme alın. Yedeklemeler, şifreleme sırasında beklenmeyen bir hata olursa kurtarma seçeneği sağlar.
Ayrıntı: Yönetilen disklere sahip VM'ler, şifreleme oluşmadan önce bir yedekleme gerektirir. Bir yedekleme yapıldıktan sonra, -skipVmBackup parametresini belirterek yönetilen diskleri şifrelemek için Set-AzVMDiskEncryptionExtension cmdlet'ini kullanabilirsiniz. Şifrelenmiş VM'leri yedekleme ve geri yükleme hakkında daha fazla bilgi için Azure Backup bakın.

En iyi yöntem: Şifreleme gizli dizilerini bölgesel sınırları aşmamalarını Azure Disk Şifrelemesi anahtar kasasının ve VM'lerin aynı bölgede yer alıyor olması gerekir.
Ayrıntı: Şifrelenen VM ile aynı bölgede yer alan bir anahtar kasası oluşturun ve kullanın.

Uygulama Azure Disk Şifrelemesi aşağıdaki iş ihtiyaçlarını karşılar:

  • Kurumsal güvenlik ve uyumluluk gereksinimlerini karşılamak üzere endüstri standardı bir şifreleme teknolojisi aracılığıyla IaaS VM’leri beklemedeyken şifrelenir.
  • IaaS VM'leri müşteri tarafından denetlenen anahtarlar ve ilkeler altında başlar ve bunların anahtar kasasında kullanımını kontrol edersiniz.

Doğrudan İnternet bağlantısını kısıtlama

VM doğrudan İnternet bağlantısını izleme ve kısıtlama. Saldırganlar açık yönetim bağlantı noktaları için genel bulut IP aralıklarını sürekli tarar ve yaygın parolalar ve bilinen eşleşmeyen güvenlik açıkları gibi "kolay" saldırılar yapmaya çalışıyor. Aşağıdaki tabloda bu saldırılara karşı korumaya yardımcı olacak en iyi yöntemler listelemektedir:

En iyi yöntem: Ağ yönlendirme ve güvenlikte yanlışlıkla maruz kalmaları önle.
Ayrıntı: Ağ kaynakları için yalnızca merkezi ağ grubunun izni olduğundan emin olmak için Azure RBAC kullanın.

En iyi yöntem: "herhangi bir" kaynak IP adresine erişime izin vermek için açığa çıkar durumdaki VM'leri tanımlama ve düzeltme.
Ayrıntı: Bulut için Microsoft Defender'ı kullanın. Bulut için Defender, ağ güvenlik gruplarından herhangi birinin "herhangi bir" kaynak IP adresine erişime izin verecek bir veya daha fazla gelen kuralı varsa İnternet'e yönelik uç noktalar üzerinden erişimi kısıtlamanızı önerecek. Bulut için Defender, erişime ihtiyacı olan kaynak IP adreslerine erişimi kısıtlamak için bu gelen kuralları düzenlemenizi önerecek.

En iyi yöntem: Yönetim bağlantı noktalarını (RDP, SSH) kısıtlama.
Ayrıntı: Tam zamanında (JIT) VM erişimi, Azure VM'lerinize gelen trafiği kilitlemek, saldırılara maruz kalma riskini azaltmak ve gerektiğinde VM'lere bağlanmak için kolay erişim sağlamak için kullanılabilir. JIT etkinleştirildiğinde, Bulut için Defender bir ağ güvenlik grubu kuralı oluşturarak Azure VM'lerinize gelen trafiği kilitler. Sanal makinede gelen trafiğin kilitlenmiş olduğu bağlantı noktalarını seçersiniz. Bu bağlantı noktaları JIT çözümü tarafından denetlenr.

Sonraki adımlar

Bulut çözümlerinizi Azure kullanarak tasarlar, dağıtırken ve dağıtırken daha fazla güvenlik en iyi yöntemleri için bkz. Azure güvenliğine yönelik en iyi yöntemler ve desenler.

Azure güvenliği ve ilgili güvenlik bilgileri hakkında daha fazla genel bilgi sağlamak için aşağıdaki kaynaklar Microsoft hizmetleri: