Azure güvenliğe giriş
Genel Bakış
Güvenliğin buluttaki bir iş olduğunu ve Azure güvenliği hakkında doğru ve zamanında bilgi bulmanın ne kadar önemli olduğunu biliyoruz. Uygulamalarınız ve hizmetleriniz için Azure'ın kullanımının en iyi nedenlerinden biri, çok çeşitli güvenlik araçları ve özelliklerine sahip olmaktır. Bu araçlar ve özellikler, güvenli Azure platformunda güvenli çözümler oluşturmanızı mümkün hale getirin. Microsoft Azure müşteri verileri için gizlilik, bütünlük ve kullanılabilirlik sağlarken saydam sorumluluk da sağlar.
Bu makalede Azure ile kullanılabilen güvenlik hakkında kapsamlı bir bakış sunulmaktadır.
Azure platformu
Azure, çok çeşitli işletim sistemlerini, programlama dillerini, çerçeveleri, araçları, veritabanlarını ve cihazları destekleyen bir genel bulut hizmeti platformudur. Docker tümleştirmesi ile Linux kapsayıcılarını çalıştırabilirsiniz; JavaScript, Python, .NET, PHP, Java ve Node.js; iOS, Android ve Windows cihazlar için arka uçlar oluşturma.
Azure genel bulut hizmetleri, milyonlarca geliştiricinin ve BT uzmanlarının zaten güveneceği teknolojileri destekler. Genel bir bulut hizmeti sağlayıcısı olan BIR GENEL bulut hizmeti sağlayıcısı üzerinde derleme veya geçiş yapmak için bulut tabanlı varlıklarının güvenliğini yönetmek için uygulamalarınızı ve verilerinizi hizmetlerle ve denetimlerle korumak için bu kuruluşun becerilerine güvenebilirsiniz.
Azure altyapısı, tesisten uygulamalara kadar milyonlarca müşteriyi aynı anda barındırmak için tasarlanmıştır ve işletmelerin güvenlik gereksinimlerini karşılayacak güvenilir bir temel sağlar.
Ayrıca, Azure size çok çeşitli yapılandırılabilir güvenlik seçenekleri ve bunları denetleme olanağı sağlar. Böylece, güvenliği, kuruluş dağıtımlarının benzersiz gereksinimlerini karşılayacak şekilde özelleştirebilirsiniz. Bu belge, Azure güvenlik özelliklerini kullanarak bu gereksinimleri karşılamanıza nasıl yardımcı olduğunu anlamanıza yardımcı olur.
Not
Bu belgenin birincil odağı, uygulamalarınız ve hizmetleriniz için güvenliği özelleştirmek ve artırmak için kullanabileceğiniz müşteriye yönelik denetimlerdir.
Microsoft'un Azure platformunun güvenliğini nasıl sağlar hakkında bilgi için bkz. Azure altyapı güvenliği.
Azure güvenlik özellikleri özeti
Bulut hizmeti modeline bağlı olarak, uygulamanın veya hizmetin güvenliğini yönetmek kimin sorumluluğunda olduğu değişken bir sorumluluktur. Azure Platformu'nda, yerleşik özellikler aracılığıyla ve bir Azure aboneliğine dağıtılabilir iş ortağı çözümleri aracılığıyla bu sorumlulukları yerine getirme konusunda size yardımcı olacak özellikler vardır.
Yerleşik özellikler altı işlevsel alanda düzenlenmiştir: İşlemler, Uygulamalar, Depolama, Ağ, İşlem ve Kimlik. Bu altı alanda Azure Platformu'na sağlanan özellikler ve özelliklerle ilgili ek ayrıntılar özet bilgiler aracılığıyla sağlanır.
Operations
Bu bölümde, güvenlik işlemleriyle ilgili temel özelliklerle ilgili ek bilgiler ve bu özelliklerle ilgili özet bilgiler yer almaktadır.
Bulut için Microsoft Defender
Bulut için Defender, Azure kaynaklarınızı daha fazla görünürlüğü ve güvenliğini denetleme ile tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Aboneliklerinizde, tümleşik güvenlik izleme ve ilke yönetimi sağlar; normal koşullarda gözden kaçabilecek tehditleri algılamaya yardımcı olur ve güvenlik çözümlerinin geniş ekosistemiyle çalışır.
Ayrıca, Bulut için Defender, anında eyleme geçebilirsiniz uyarıları ve önerileri ortaya çıkaran tek bir pano sağlayarak güvenlik işlemlerine yardımcı olur. Genellikle, Bulut için Defender konsolunda tek tıklamayla sorunları düzeltmeye devam edin.
Azure Resource Manager
Azure Resource Manager, çözümünüzde kaynaklarla grup olarak çalışmanıza olanak sağlar. Çözümünüzdeki tüm kaynakları tek ve eşgüdümlü bir işlemle dağıtabilir, güncelleştirebilir veya silebilirsiniz. Dağıtım için bir Azure Resource Manager şablonu kullanırsınız ve bu şablon test, hazırlama ve üretim gibi farklı ortamlar için kullanılabilir. Resource Manager kaynaklarınızı dağıttıktan sonra yönetmenize yardımcı olmak için güvenlik, denetleme ve etiketleme özellikleri sunar.
Azure Resource Manager tabanlı dağıtımlar, standart güvenlik denetimi ayarları ve standartlaştırılmış şablon tabanlı dağıtımlar ile tümleştirileyene kadar Azure'da dağıtılan çözümlerin güvenliğini artırmaya yardımcı olur. Bu, el ile dağıtımlar sırasında oluşan güvenlik yapılandırması hatalarının riskini azaltır.
Application Insights
Uygulama Analizler, web geliştiricileri için genişletilebilir bir Uygulama Performansı Yönetimi (APM) hizmetidir. Application Analizler ile canlı web uygulamalarınızı izleyebilir ve performans anomalilerini otomatik olarak algılayabilirsiniz. Sorunları tanılamanıza ve kullanıcıların uygulamalarınız ile ne yaptığını anlamanıza yardımcı olacak güçlü analiz araçları içerir. Hem test sırasında hem de siz yayımladıktan veya dağıttıktan sonra, sürekli olarak uygulamalarınızı izler.
Application Analizler, çoğu kullanıcının günün hangi saatlerinde olduğunu, uygulamanın ne kadar hızlı yanıt veriyor olduğunu ve bağlı olduğu dış hizmetler tarafından ne kadar iyi hizmet veriyor olduğunu size göstermek için grafikler ve tablolar oluşturur.
Kilitlenmeler, hatalar veya performans sorunları varsa, nedeni tanılamak için telemetri verilerini ayrıntılı olarak arayabilirsiniz. Uygulamanın kullanılabilirliği ve performansında değişiklik olursa hizmet size e-posta gönderir. Bu nedenle Application Insight gizlilik, bütünlük ve kullanılabilirlik güvenlik üçlemsinde kullanılabilirlik konusunda yardımcı olduğundan değerli bir güvenlik aracı haline gelir.
Azure İzleyici
Azure İzleyici Azure aboneliğinden (EtkinlikGünlüğü ) ve her bir Azure kaynağından ( Kaynak Günlükleri) veriler üzerinde görselleştirme, sorgu, yönlendirme, uyarı, otomatik ölçeklendirme ve otomasyonsunar. Azure günlüklerinde Azure İzleyici güvenlikle ilgili olaylar hakkında sizi uyarmanız için Azure İzleyici'i kullanabilirsiniz.
Azure İzleyici günlükleri
Azure İzleyici günlükleri – Azure kaynaklarına ek olarak hem şirket içi hem de üçüncü taraf bulut tabanlı altyapı (AWS gibi) için bir BT yönetim çözümü sağlar. Tüm Azure İzleyici ölçümler ve günlükler Azure İzleyici tek bir yerde görmek için veri kaynağından gelen veriler doğrudan Azure İzleyici günlüklerine yönlendirebilirsiniz.
Azure İzleyici, esnek bir sorgu yaklaşımıyla büyük miktarlardaki güvenlikle ilgili girdileri hızla aramanızı sağlar ve bu sayede adli ve diğer güvenlik analizlerinde yararlı bir araç olabilir. Ayrıca şirket içi güvenlik duvarı ve ara sunucu günlükleri Azure'a aktarılanın ve günlükler kullanılarak analiz Azure İzleyici kullanılabilir.
Azure Danışmanı
Azure Danışmanı, Azure dağıtımlarınızı iyileştirmenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır. Kaynak yapılandırmanızı ve kullanım telemetrinizi çözümler. Daha sonra, genel Azure harcamalarınızı azaltma fırsatı arayan kaynaklarınızı performansını,güvenliğini ve güvenilirliğini geliştirmeye yardımcı olacak çözümler önermektedir. Azure Danışmanı, Azure'da dağıtın çözümler için genel güvenlik duruşlarınızı önemli ölçüde geliştiren güvenlik önerileri sağlar. Bu öneriler, Bulut için Microsoft Defender tarafından gerçekleştirilen güvenlik analizinden çizilir.
Uygulamalar
bölümü, uygulama güvenliğinde temel özelliklerle ilgili ek bilgiler ve bu özelliklerle ilgili özet bilgiler sağlar.
Web Uygulaması güvenlik açığı taraması
App Service uygulamanıza güvenlik açıklarını test etmeye başlamanın en kolay yollarından biri, Tinfoil Security ile tümleştirmeyi kullanarak uygulamanıza tek tıklamayla güvenlik açığı taraması gerçekleştirmektir. Test sonuçlarını kolay anlaşılır bir raporda görüntü edebilir ve adım adım yönergelerle her güvenlik açığını nasıl düzeltebilirsiniz?
Sızma Testi
Sizin için uygulamanıza sızma testi gerçekleştirmeziz, ancak kendi uygulamalarınız üzerinde test gerçekleştirmek istediğiniz ve gerçekleştirmeniz gerekenleri anlıyoruz. Bu iyi bir şey çünkü uygulamalarınızı daha güvenli hale getiriyor ve Azure ekosisteminin tamamının güvenliğini artırmanıza yardımcı oluyor. Microsoft'a sızma testi etkinliklerinin artık gerekli olmadığı bildirilirken, müşterilerin yine de Microsoft Bulut Sızma Testi Katılım Kurallarına uyması gerekir.
Web Uygulaması güvenlik duvarı
Azure Application Gateway'daki web uygulaması güvenlik duvarı (WAF), web uygulamalarını SQL ekleme, siteler arası betik saldırıları ve oturum ele geçirme gibi yaygın web tabanlı saldırılardan korumaya yardımcı olur. En yaygın 10 güvenlik açığı olarak Open Web Application Security Project (OWASP)tarafından tanımlanan tehditlere karşı önceden yapılandırılmış olarak gelir.
Azure App Service’de kimlik doğrulaması ve yetkilendirme
App Service Kimlik Doğrulaması / Yetkilendirme, uygulama arka uçta kodu değiştirmek zorunda olmadığınız için, uygulamanın kullanıcılarda oturum açması için bir yol sağlayan bir özelliktir. Uygulamalarınızı korumak ve kullanıcı başına verilerle çalışmak için kolay bir yol sağlar.
Katmanlı Güvenlik Mimarisi
App Service Ortamları bir AzureSanal Ağına dağıtılmış yalıtılmış bir çalışma zamanı ortamı sağlar. Geliştiriciler, her uygulama katmanı için farklı ağ erişimi düzeyleri sağlayan katmanlı bir güvenlik mimarisi oluşturabilir. Api arka uçlarını genel İnternet erişiminden gizlemek ve api'lere yalnızca yukarı akış web uygulamaları tarafından çağrılma izni vermek yaygın bir istektir. Ağ Güvenlik grupları (NSG'ler), API uygulamalarına genel erişimi kısıtlamak için App Service Ortamları içeren Azure Sanal Ağ alt ağlarında kullanılabilir.
Web sunucusu tanılama ve uygulama tanılaması
App Service uygulamaları, hem web sunucusundan hem de web uygulamasından bilgileri günlüğe kaydetmeye ilişkin tanılama işlevselliği sağlar. Bunlar mantıksal olarak web sunucusu tanılama ve uygulama tanılamalarına ayrılır. Web sunucusu, siteleri ve uygulamaları tanılama ve sorun gidermede iki önemli ilerleme içerir.
İlk yeni özellik uygulama havuzları, çalışan işlemleri, siteler, uygulama etki alanları ve çalışan istekleri hakkında gerçek zamanlı durum bilgileridir. İkinci yeni avantaj, tam istek ve yanıt işlemi boyunca bir isteği takip alan ayrıntılı izleme olaylarıdır.
Bu izleme olaylarının toplanmasına olanak sağlamak için IIS 7, geçen süre veya hata yanıt kodlarına göre belirli bir istek için XML biçiminde tam izleme günlüklerini otomatik olarak yakaacak şekilde yalıtılır.
Depolama
bölümünde, Azure depolama güvenliğinde temel özelliklerle ilgili ek bilgiler ve bu özelliklerle ilgili özet bilgiler yer almaktadır.
Azure rol tabanlı erişim denetimi (Azure RBAC)
Depolama hesabınız için Azure rol tabanlı erişim denetimi (Azure RBAC) kullanabilirsiniz. Erişimi bilmek ve en az ayrıcalık güvenlik ilkelerine göre kısıtlamak, veri erişimi için Güvenlik ilkeleri uygulamak isteyen kuruluşlarda zorunludur. Bu erişim hakları, belirli bir kapsamda gruplara ve uygulamalara uygun Azure rolü atanarak verilen haklara sahiptir. Kullanıcılara ayrıcalık atamak için Hesap Katılımcısıgibi azure Depolama rollerini kullanabilirsiniz. Azure Resource Manager modeli kullanılarak depolama hesabının depolama anahtarlarına erişim Azure RBAC aracılığıyla denetlenebilirsiniz.
Paylaşılan Erişim İmzası
Paylaşılan erişim imzası (SAS), depolama hesabınızdaki kaynaklara temsilci erişimi sağlar. SAS, belirli bir süre ve belirli bir izin kümesi ile depolama hesabı nesneleri için istemci sınırlı izinler verebilirsiniz anlamına gelir. Hesap erişim anahtarlarınızı paylaşmak zorunda kalmadan bu sınırlı izinleri veabilirsiniz.
Aktarım Sırasında Şifreleme
Aktarım sırasında şifreleme, ağlar arasında iletilirken verilerin korunmasında bir mekanizmadır. Azure Depolama ile, aşağıdakileri kullanarak verileri güvenli hale getirebilirsiniz:
Azure Depolama içine veya dışına veri aktarırken HTTPS gibi aktarım düzeyi şifreleme.
Azure dosya paylaşımlarıiçin SMB 3,0 şifrelemesi gibi bir hat şifreleme.
Depolama alanına aktarılmadan önce verileri şifrelemek ve depolama alanı dışına aktarıldıktan sonra verilerin şifresini çözmek için istemci tarafı şifreleme.
Bekleme sırasında şifreleme
Birçok kuruluş için, bekleyen veri şifreleme, veri gizliliği, uyumluluk ve veri egemenlik 'e yönelik zorunlu bir adımdır. "Bekleyen" veri şifrelemesini sağlayan üç Azure depolama güvenlik özelliği vardır:
Depolama Hizmeti Şifrelemesi , depolama hizmetinin Azure Depolama yazarken verileri otomatik olarak şifrelemesine olanak tanır.
İstemci tarafı şifreleme , bekleyen şifreleme özelliğini de sağlar.
Azure disk şifrelemesi , bir IaaS sanal makinesi tarafından kullanılan işletim sistemi disklerini ve veri disklerini şifrelemenizi sağlar.
Depolama Analizi
Azure Depolama Analizi günlüğe kaydetme gerçekleştirir ve depolama hesabı için ölçüm verileri sağlar. Bu verileri kullanarak istekleri izleyebilir, kullanım eğilimlerini çözümleyebilir ve depolama hesabınızla ilgili sorunları tanılayabilirsiniz. Depolama Analizi, bir depolama cihazına gönderilen başarılı ve başarısız isteklerle ilgili ayrıntılı bilgileri günlüğe kaydeder. Bu bilgileri kullanarak istekleri ayrı ayrı izleyebilir ve depolama hizmetiyle ilgili sorunları tanılayabilirsiniz. İstekler en iyi çaba temelinde günlüğe kaydedilir. Aşağıdaki türden kimliği doğrulanmış istekler kaydedilir:
- Başarılı istekler.
- Zaman aşımı, azaltma, ağ, yetkilendirme ve diğer hatalar da dahil olmak üzere başarısız istekler.
- Başarısız ve başarılı istekler dahil, paylaşılan erişim Imzası (SAS) kullanan istekler.
- Analiz verilerine yönelik istekler.
CORS kullanarak Browser-Based Istemcileri etkinleştirme
Çıkış noktaları arası kaynak paylaşımı (CORS) , etki alanlarının diğer her kaynağa erişmek için başka bir izin vermesini sağlayan bir mekanizmadır. Kullanıcı Aracısı, belirli bir etki alanından yüklenen JavaScript kodunun başka bir etki alanında bulunan kaynaklara erişmesine izin verildiğinden emin olmak için ek üstbilgiler gönderir. Daha sonra, son etki alanı, kaynakları için özgün etki alanı erişimine izin veren veya reddeden ek üstbilgiler ile yanıt verir.
Azure Storage Hizmetleri, hizmet için CORS kurallarını ayarladıktan sonra, belirttiğiniz kurallara göre izin verilip verilmeyeceğini belirlemede, farklı bir etki alanından hizmete yönelik doğru şekilde kimliği doğrulanmış bir istek değerlendirilmek üzere CORS 'yi destekliyor.
Ağ
Bu bölümde, Azure ağ güvenliği 'ndeki temel özelliklerle ilgili ek bilgiler ve bu yetenekler hakkında özet bilgiler sağlanmaktadır.
Ağ katmanı denetimleri
Ağ erişim denetimi, belirli cihazlarla veya alt ağlardan gelen bağlantıları sınırlama ve ağ güvenliğinin çekirdeğini temsil etme işlemidir. Ağ erişim denetimi amacı, sanal makinelerinize ve hizmetlerinize, yalnızca erişilebilir olmasını istediğiniz kullanıcılar ve cihazlar için erişilebilir olduğundan emin olmaktır.
Ağ Güvenlik Grupları
Ağ güvenlik grubu (NSG) , temel bir durum bilgisi olan paket filtreleme güvenlik duvarıdır ve 5 demet temelinde erişimi denetlemenize olanak sağlar. NSG 'ler uygulama katmanı denetimi veya kimliği doğrulanmış erişim denetimleri sağlamaz. Azure sanal ağı içindeki alt ağlar arasında taşınan trafiği ve bir Azure sanal ağı ile Internet arasındaki trafiği denetlemek için kullanılabilir.
Yönlendirme denetimi ve Zorlamalı tünel
Azure sanal ağlarınızdaki yönlendirme davranışını denetleme özelliği, kritik bir ağ güvenliği ve erişim denetimi özelliğidir. Örneğin, Azure sanal ağınıza gelen ve giden tüm trafiğin bu sanal güvenlik gereci üzerinden geldiğinden emin olmak istiyorsanız, yönlendirme davranışını denetleyebilmeniz ve özelleştirebilmeniz gerekir. Bunu Azure 'da User-Defined yollarını yapılandırarak yapabilirsiniz.
Kullanıcı tanımlı yollar , mümkün olan en güvenli rotayı sağlamak üzere ayrı sanal makinelere veya alt ağlara taşınan ve giden trafik için gelen ve giden yolları özelleştirmenizi sağlar. Zorlamalı tünel oluşturma , hizmetlerinizin Internet 'teki cihazlara bağlantı başlatmasına izin verilmediğinden emin olmak için kullanabileceğiniz bir mekanizmadır.
Bu, gelen bağlantıları kabul edebilmesinin ve daha sonra onlara yanıt vermemesine farklıdır. Ön uç Web sunucularının Internet konaklarındaki isteklere yanıt vermesi gerekir ve bu Web sunucularına gelen Internet kaynaklı trafiğe izin verilir ve Web sunucuları yanıt verebilir.
Zorlamalı tünel genellikle şirket içi güvenlik proxy 'leri ve güvenlik duvarları aracılığıyla Internet 'e giden trafiği zorlamak için kullanılır.
Sanal ağ güvenlik gereçleri
Ağ güvenlik grupları, User-Defined rotaları ve Zorlamalı tünel, OSI modelininağ ve aktarım katmanlarında bir güvenlik düzeyi sağlar, ancak yığının daha yüksek düzeylerinde güvenliği etkinleştirmek istediğiniz zamanlar olabilir. Azure iş ortağı ağ güvenlik gereci çözümünü kullanarak bu gelişmiş ağ güvenliği özelliklerine erişebilirsiniz. Azure Marketi ' ni ziyaret ederek ve "güvenlik" ve "ağ güvenliği" araması yaparak en güncel Azure iş ortağı ağ güvenlik çözümlerini bulabilirsiniz.
Azure Sanal Ağ
Azure Virtual Network (VNet) buluttaki kendi ağınızın bir gösterimidir. Aboneliğiniz için ayrılmış olan Azure Network Fabric 'in mantıksal bir yalıtımının olması. Bu ağ içindeki IP adres bloklarını, DNS ayarlarını, güvenlik ilkelerini ve yol tablolarını tam olarak denetleyebilirsiniz. Azure sanal ağlarına Azure IaaS sanal makineleri (VM 'Ler) ve/veya bulut hizmetleri 'ni (PaaS rol örnekleri) yerleştirebilir ve sanal ağlarınızı alt ağlara segmentleyebilirsiniz.
Bunun yanı sıra, Azure'ın sunduğu bağlantı seçeneklerinden birini kullanarak sanal ağı şirket içi ağınıza bağlayabilirsiniz. Özetle, IP adres blokları üzerinde tam bir kontrol sahibi olarak ve Azure'ın sunduğu kurumsal ölçek avantajıyla, ağınızı Azure'a genişletebilirsiniz.
Azure ağ iletişimi, çeşitli güvenli uzaktan erişim senaryolarını destekler. Bunlardan bazıları:
Azure Özel Bağlantı
azure özel bağlantısı , azure paas hizmetlerine (örneğin, azure Depolama ve SQL Veritabanı) ve sanal ağınıza özel bir uç noktaüzerinden özel olarak barındırılan azure 'un barındırıldığı şirkete ait/iş ortağı hizmetlerine erişmenize olanak sağlar. Azure özel bağlantısını kullanarak kurulum ve tüketim, Azure PaaS, müşteriye ait ve paylaşılan iş ortağı hizmetleri arasında tutarlıdır. sanal ağınızdan Azure hizmetine giden trafik her zaman Microsoft Azure omurga ağında kalır.
Özel uç noktalar , kritik Azure hizmeti kaynaklarınızı yalnızca sanal ağlarınızla korumanıza olanak sağlar. Azure özel uç noktası, Azure özel bağlantısı tarafından desteklenen bir hizmete özel olarak ve güvenli bir şekilde bağlanmak için sanal ağınızdan özel bir IP adresi kullanır ve hizmeti sanal ağınıza etkin bir şekilde geri getiriyor. Azure 'da hizmetleri kullanmak için Sanal ağınızı genel İnternet 'e sunma işlemi artık gerekli değildir.
Ayrıca, sanal ağınızda kendi özel bağlantı hizmetinizi de oluşturabilirsiniz. Azure özel bağlantı hizmeti , Azure özel bağlantısı tarafından desteklenen kendi hizmetinize yapılan başvurudur. Azure Standart Load Balancer arkasında çalışan hizmetiniz, özel bağlantı erişimi için etkinleştirilebilir ve böylece hizmetinize ait tüketiciler kendi sanal ağlarından özel olarak erişebilir. Müşterileriniz, sanal ağı içinde özel bir uç nokta oluşturabilir ve bu hizmetle eşlenir. Hizmetinizi genel İnternet 'e açmak artık Azure 'da Hizmetleri işlemek için gerekli değildir.
VPN Gateway
Azure sanal ağınız ile şirket içi siteniz arasında ağ trafiği göndermek için Azure sanal ağınız için bir VPN ağ geçidi oluşturmanız gerekir. VPN ağ geçidi , genel bir bağlantı üzerinden şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. Azure ağ dokusunda Azure sanal ağları arasında trafik göndermek için VPN ağ geçitlerini de kullanabilirsiniz.
Express Route
Microsoft Azure expressroute , şirket içi ağlarınızı bir bağlantı sağlayıcısı tarafından kolaylaştırarak adanmış özel bir bağlantı üzerinden Microsoft bulutuna genişletmenizi sağlayan adanmış bir WAN bağlantısıdır.
expressroute ile Microsoft Azure, Microsoft 365 ve CRM Online gibi Microsoft bulut hizmetleriyle bağlantı kurabilirsiniz. Ortak yerleşim tesisinde bağlantı sağlayıcısı üzerinden herhangi bir ağdan herhangi bir ağa (IP VPN), noktadan noktaya Ethernet ağı veya sanal çapraz bağlantısından bağlantı olabilir.
ExpressRoute bağlantıları, genel Internet üzerinden geçmez ve bu nedenle VPN tabanlı çözümlerden daha güvenli olarak düşünülebilir. Bu, ExpressRoute bağlantılarına İnternet üzerindeki sıradan bağlantılara göre daha fazla güvenilirlik, yüksek hız, düşük gecikme ve normal bağlantılardan daha yüksek güvenlik sağlar.
Application Gateway
Microsoft Azure Application Gateway , uygulamanız için çeşitli 7. katman yük dengeleme özellikleri sunan bir hizmet olarak uygulama teslım denetleyicisi (ADC) sağlar.
CPU yoğun TLS sonlandırmasını Application Gateway ("TLS yük boşaltma" veya "TLS köprüleme" olarak da bilinir) boşaltarak Web grubu üretkenliğini en iyi hale getirmenize olanak tanır. Ayrıca, gelen trafiğin hepsini bir kez deneme dağıtımı, tanımlama bilgisi tabanlı oturum benzeşimi, URL yolu tabanlı Yönlendirme ve tek bir Application Gateway arkasında birden fazla Web sitesi barındırma özelliği de dahil olmak üzere diğer 7. katman yönlendirme özelliklerini de sağlar. Azure Application Gateway, bir katman 7 yük dengeleyicidir.
Bulutta veya şirket içinde olmalarından bağımsız olarak, farklı sunucular arasında yük devretme ile HTTP istekleri için performans amaçlı yönlendirme sağlar.
Uygulama, HTTP yük dengelemesi, tanımlama bilgisi tabanlı oturum benzeşimi, TLS yük boşaltma, özel sistem durumu araştırmaları, çoklu site desteği ve birçok başka uygulama teslim DENETLEYICISI (ADC) özelliği sunar.
Web Uygulaması Güvenlik Duvarı
Web uygulaması güvenlik duvarı, standart uygulama teslim denetimi (ADC) işlevleri için Application Gateway kullanan Web uygulamalarına koruma sağlayan bir Azure Application Gateway özelliğidir. Web uygulaması güvenlik duvarı bunu, uygulamaları OWASP tarafından sunulan en yaygın 10 web güvenlik açığının çoğuna karşı koruyarak gerçekleştirir.
SQL ekleme koruması
Komut ekleme, HTTP isteği kaçakçılığı, HTTP yanıtı bölme ve uzak dosya ekleme saldırıcı gibi Yaygın Web Saldırıları Koruması
HTTP protokolü ihlallerine karşı koruma
Eksik konak kullanıcısı-aracısı ve kabul üst bilgileri gibi HTTP protokolü anormalliklerine karşı koruma
Robotlar, gezginler ve tarayıcıları önleme
Yaygın uygulama yapılandırmalarını algılama (yani, Apache, IIS vb.)
Web saldırılarına karşı korunacak merkezi bir web uygulaması, güvenlik yönetimini çok daha kolay hale getirir ve yetkisiz erişim tehditlerine karşı uygulamayı daha güvende tutar. Bir WAF çözümü, bilinen bir güvenlik açığına merkezi bir konumda düzeltme eki uygulayarak güvenlik tehdidine karşı, web uygulamalarının her birinin güvenliğini sağlamaya göre daha hızlı tepki verebilir. Var olan uygulama ağ geçitleri, web uygulaması güvenlik duvarı bulunan bir uygulama ağ geçidine kolaylıkla dönüştürülebilir.
Traffic Manager
Microsoft Azure Traffic Manager , farklı veri merkezlerindeki hizmet uç noktaları için kullanıcı trafiğinin dağıtımını denetlemenize olanak tanır. Traffic Manager tarafından desteklenen hizmet uç noktaları, Azure vm 'leri, Web Apps ve bulut hizmetlerini içerir. Traffic Manager’ı Azure olmayan dış uç noktalarla da kullanabilirsiniz. Traffic Manager, istemci isteklerini bir trafik yönlendirme yöntemine ve uç noktaların sistem durumuna göre en uygun uç noktaya yönlendirmek için etki alanı adı sistemi 'ni (DNS) kullanır.
Traffic Manager, farklı uygulama ihtiyaçlarına, uç nokta durumuna izlemeyeve otomatik yük devretmeye uyacak bir dizi trafik yönlendirme yöntemi sağlar. Traffic Manager, bir Azure bölgesinin tamamının devre dışı kalması dahil olmak üzere hatalara dayanıklıdır.
Azure Load Balancer
Azure Load Balancer uygulamalarınıza yüksek düzeyde kullanılabilirlik ve ağ performansı sunar. Bu, gelen trafiği yük dengeli bir küme içinde tanımlanan sağlıklı hizmet örnekleri arasında dağıtan bir katman 4 (TCP, UDP) yük dengeleyicidir. Azure Load Balancer, şu şekilde yapılandırılabilir:
Sanal makinelere gelen Internet trafiğinin yükünü dengeleyin. Bu yapılandırma, genel yük dengelemeolarak bilinir.
Bir sanal ağ içindeki sanal makineler arasında, bulut hizmetlerindeki sanal makineler arasında veya şirket içi bilgisayarlar ile şirketler arası bir sanal ağdaki sanal makineler arasında yük dengeleme trafiği. Bu yapılandırma, İç Yük Dengelemeolarak bilinir.
Dış trafiği belirli bir sanal makineye ilet
İç DNS
Yönetim Portalı veya ağ yapılandırma dosyasında bir VNet 'te kullanılan DNS sunucularının listesini yönetebilirsiniz. Müşteri, her VNet için en fazla 12 DNS sunucusu ekleyebilir. DNS sunucularını belirtirken, müşterinin DNS sunucularını müşterinin ortamı için doğru sırada listediğinizi doğrulamanız önemlidir. DNS sunucusu listeleri hepsini bir kez deneme çalışmaz. Bunlar belirtildikleri sırayla kullanılırlar. Listedeki ilk DNS sunucusuna ulaşılırsa istemci, DNS sunucusunun düzgün çalışıp çalışmadığını ne olursa olsun bu DNS sunucusunu kullanır. Müşterinin sanal ağının DNS sunucusu sırasını değiştirmek için, DNS sunucularını listeden kaldırın ve müşterinin istediği sıraya göre yeniden ekleyin. DNS, "CIA" güvenlik Triad 'nin kullanılabilirlik oranını destekler.
Azure DNS
Etki alanı adı sistemi veya DNS, IP adresine bir Web sitesi veya hizmet adı çevirmekten (veya çözümlemeden) sorumludur. Azure DNS , Microsoft Azure altyapısı kullanılarak ad çözümlemesi sağlayan DNS etki alanları için bir barındırma hizmetidir. Etki alanlarınızı Azure'da barındırarak DNS kayıtlarınızı diğer Azure hizmetlerinde kullandığınız kimlik bilgileri, API’ler, araçlar ve faturalarla yönetebilirsiniz. DNS, "CIA" güvenlik Triad 'nin kullanılabilirlik oranını destekler.
Azure Izleyici günlükleri NSG 'leri
NSG 'ler için aşağıdaki tanılama günlüğü kategorilerini etkinleştirebilirsiniz:
Olay: VM 'lere ve MAC adresine göre örnek rollere uygulanan NSG kurallarının girdilerini Içerir. Bu kuralların durumu her 60 saniyede toplanır.
Kurallar sayacı: her NSG kuralının trafiği reddetme veya izin verme için kaç kez uygulanacağını gösteren girişleri Içerir.
Bulut için Defender
Bulut Için Microsoft Defender , ağ güvenliği en iyi uygulamaları için Azure kaynaklarınızın güvenlik durumunu sürekli olarak analiz eder. Bu, bulut için Defender olası güvenlik açıklarını belirlediğinde, gerekli denetimleri yapılandırma sürecinde kaynaklarınızın güvenliğini sağlamak ve korumak için size kılavuzluk eden öneriler oluşturur.
İşlem
Bu bölümde, bu alandaki temel özelliklerle ilgili ek bilgiler ve bu yetenekler hakkında özet bilgiler sağlanmaktadır.
Kötü amaçlı yazılımdan koruma &
Azure IaaS ile, bir kötü amaçlı yazılımdan koruma yazılımını Microsoft, Symantec, Trend Micro, McAfee ve Kaspersky gibi güvenlik satıcılarından kullanarak sanal makinelerinizi kötü amaçlı dosyalardan, reklam yazılımlarından ve diğer tehditlere karşı koruyabilirsiniz. Azure Cloud Services ve sanal makineler için Microsoft Antimalware , virüsler, casus yazılım ve diğer kötü amaçlı yazılımların tanımlanmasına ve kaldırılmasına yardımcı olan bir koruma özelliğidir. Microsoft Antimalware, bilinen kötü amaçlı veya istenmeyen yazılımlar kendisini yüklemeyi veya Azure sistemlerinizde çalıştırmayı denediğinde yapılandırılabilir uyarılar sağlar. Microsoft Antimalware, bulut için Microsoft Defender kullanılarak da dağıtılabilir
Donanım güvenlik modülü
Anahtarlar korunmadığı takdirde şifreleme ve kimlik doğrulama güvenliği geliştirir. Kritik gizli dizilerlerinizin ve anahtarların yönetim ve güvenliğini Azure Key Vaultiçinde depolayarak kolaylaştırabilirsiniz. Key Vault, anahtarlarınızı FIPS 140-2 düzey 2 standartlarına sertifikalı donanım güvenlik modüllerinde (HSM 'ler) depolama seçeneği sunar. yedekleme veya saydam veri şifrelemesi için SQL Server şifreleme anahtarlarınızın tümü, uygulamalarınızda herhangi bir anahtar veya gizli dizi ile Key Vault depolanabilir. bu korumalı öğelere izinler ve erişim Azure Active Directoryüzerinden yönetilir.
Sanal makine yedeklemesi
Azure Backup , uygulama verilerinizi sıfır sermaye yatırımı ve en az işletim maliyetiyle koruyan bir çözümdür. Uygulama hataları verilerinizi bozabilir ve insan hataları, uygulamalarınıza güvenlik sorunlarına neden olan hataları ortaya çıkarabilir. Azure Backup, Windows ve Linux çalıştıran sanal makineleriniz korunur.
Azure Site Recovery
Kuruluşunuzun iş sürekliliği/olağanüstü durum kurtarma (BCDR) stratejisinin önemli bir bölümü, planlı ve plansız kesintiler gerçekleştiğinde kurumsal iş yüklerini ve uygulamaları nasıl çalışır durumda tutabileceğini öğrenmelidir. Azure Site Recovery , birincil konumunuz daha sonra ikincil bir konumdan kullanılabilmeleri için iş yükleri ve uygulamaların çoğaltılmasını, yük devretmesini ve kurtarılmasına yardımcı olur.
SQL VM TDE
saydam veri şifrelemesi (tde) ve sütun düzeyinde şifreleme (CLE) SQL sunucu şifreleme özellikleridir. Bu şifreleme biçimi müşterilerin şifreleme için kullandığınız şifreleme anahtarlarını yönetmesi ve depolaması gerekir.
Azure Key Vault (AKV) hizmeti, güvenli ve yüksek oranda kullanılabilir bir konumda bu anahtarların güvenliğini ve yönetimini geliştirmek için tasarlanmıştır. SQL Server bağlayıcısı SQL Server bu anahtarları Azure Key Vault kullanmasına olanak sağlar.
şirket içi makinelerle SQL Server çalıştırıyorsanız, şirket içi SQL Server örneğinden Azure Key Vault erişmek için izleyebileceğiniz adımlar vardır. ancak Azure vm 'lerinde SQL Server için Azure Key Vault tümleştirme özelliğini kullanarak zamandan tasarruf edebilirsiniz. bu özelliği etkinleştirmek için birkaç Azure PowerShell cmdlet 'i sayesinde, anahtar kasanıza erişmek için bir SQL sanal makinesi için gereken yapılandırmayı otomatikleştirin.
VM disk şifrelemesi
Azure Disk şifrelemesi , Windows ve Linux ıaas sanal makine disklerini şifrelemenize yardımcı olan yeni bir özelliktir. bu, işletim sistemi ve veri diskleri için birim şifrelemesi sağlamak üzere Windows 'nin endüstri standardı BitLocker özelliğini ve Linux 'un DM-Crypt özelliğini uygular. Çözüm, Key Vault aboneliğinizdeki disk şifreleme anahtarlarını ve gizli dizileri denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir. Çözüm Ayrıca, sanal makine disklerindeki tüm verilerin Azure depolamadaki geri kalanta şifrelenmesini de sağlar.
Sanal ağ
Sanal makinelerin ağ bağlantısı olması gerekir. Azure, bu gereksinimi desteklemek için sanal makinelerin bir Azure sanal ağına bağlanmasını gerektirir. Azure sanal ağı, fiziksel Azure ağ dokusunun üzerine oluşturulan mantıksal bir yapıdır. Her mantıksal Azure sanal ağı , diğer tüm Azure sanal ağlarından yalıtılmıştır. bu yalıtım, dağıtımlarınızdaki ağ trafiğine diğer Microsoft Azure müşterilerin erişimine açık olmadığından emin olmanıza yardımcı olur.
Düzeltme Eki güncelleştirmeleri
Düzeltme Eki güncelleştirmeleri olası sorunları bulma ve düzeltmeye ve yazılım güncelleştirme yönetimi sürecini basitleştirerek, hem kuruluşunuzda dağıtmanız gereken yazılım güncelleştirme sayısını azaltarak hem de uyumluluğu izleme yeteneğinizi artırarak bir temel sağlar.
Güvenlik İlkesi Yönetimi ve raporlama
Için Defender , tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur ve Azure kaynaklarınızın güvenliğini ve denetimini artırabilir ve üzerinde denetim sağlar. Azure aboneliklerinizde tümleşik güvenlik izleme ve ilke yönetimi sağlar, aksi takdirde fark edilmemiş tehditleri algılamaya yardımcı olur ve güvenlik çözümlerinin geniş bir ekosistemiyle birlikte çalışabilir.
Kimlik ve erişim yönetimi
Sistemlerin, uygulamaların ve verilerin güvenliğini sağlamak, kimlik tabanlı erişim denetimleriyle başlar. Microsoft iş ürünleri ve Hizmetleri 'nde yerleşik olarak bulunan kimlik ve erişim yönetimi özellikleri, kurumsal ve kişisel bilgilerinizin yetkisiz erişimden korunmasına yardımcı olmakla kalmaz, her zaman ve her yerde meşru kullanıcılar tarafından kullanılabilir hale gelir.
Güvenli kimlik
Microsoft, ürün ve hizmetlerinde kimlik ve erişim yönetimi için birden çok güvenlik uygulaması ve teknolojisini kullanır.
Multi-Factor Authentication , kullanıcıların şirket içinde ve bulutta erişim için birden çok yöntem kullanmasını gerektirir. Kolay bir kimlik doğrulama seçenekleriyle, kullanıcılara basit bir oturum açma işlemi ile konairken güçlü kimlik doğrulaması sağlar.
Microsoft Authenticator , hem Microsoft Azure Active Directory hem de Microsoft hesaplarıyla birlikte çalışarak kullanıcı dostu Multi-Factor Authentication deneyimi sağlar ve wearables ve parmak izi tabanlı onaylar için destek içerir.
Parola ilkesi zorlaması , hatalı kimlik doğrulama denemesinden sonra uzunluğu ve karmaşıklık gereksinimlerini, zorla düzenli döndürmeyi ve hesap kilitlemeyi düzenleyerek geleneksel parolaların güvenliğini artırır.
Belirteç tabanlı kimlik doğrulaması , Azure Active Directory aracılığıyla kimlik doğrulaması yapılmasını mümkün.
Azure rol tabanlı erişim denetimi (Azure RBAC) , kullanıcının atanan rolüne göre erişim sağlamanıza olanak sağlayarak kullanıcılara yalnızca iş görevlerini gerçekleştirmek için ihtiyaç duydukları erişim miktarını vermeyi kolaylaştırır. Azure RBAC 'yi kuruluşunuzun iş modeli ve risk toleransı başına özelleştirebilirsiniz.
Tümleşik kimlik yönetimi (Hibrit kimliği) , kullanıcıların iç veri merkezleri ve bulut platformları genelinde erişiminin denetimini korumanıza olanak sağlar. bu sayede, tüm kaynaklara yönelik kimlik doğrulama ve yetkilendirme için tek bir Kullanıcı Kimliği oluşturursunuz.
Uygulamaları ve verileri güvenli hale getirme
kapsamlı bir kimlik ve erişim yönetimi bulut çözümü olan Azure Active Directory, sitedeki ve buluttaki uygulamalardaki verilere erişimi güvenli hale getirmeye yardımcı olur ve kullanıcıların ve grupların yönetimini basitleştirir. Temel Dizin Hizmetleri, Gelişmiş kimlik yönetimi, güvenlik ve uygulama erişimi yönetimini birleştirir ve geliştiricilerin uygulamalarına ilke tabanlı kimlik yönetimi oluşturmasını kolaylaştırır. Azure Active Directory'nizi geliştirmek için Azure Active Directory Temel, Premium P1 ve Premium P2 sürümleriyle ücretli özellikler ekleyebilirsiniz.
Cloud App Discovery , kuruluşunuzdaki çalışanlar tarafından kullanılan bulut uygulamalarını tanımlamanızı sağlayan Azure Active Directory premium bir özelliğidir.
Azure Active Directory kimlik koruması , risk algılamalarını ve kuruluşunuzun kimliklerini etkileyebilecek olası güvenlik açıklarını içeren birleştirilmiş bir görünüm sağlamak için Azure Active Directory anomali algılama özelliklerini kullanan bir güvenlik hizmetidir.
Azure Active Directory etki alanı hizmetleri , etki alanı denetleyicilerini dağıtmanıza gerek kalmadan Azure vm 'lerine bir etki alanına katmanızı sağlar. Kullanıcılar bu VM 'Lerde kurumsal Active Directory kimlik bilgilerini kullanarak oturum açabilir ve kaynaklara sorunsuz bir şekilde erişebilir.
Azure Active Directory B2C , tüketiciye yönelik uygulamalar için yüzlerce milyonlarca kimliğe ölçeklenebilen ve mobil ve web platformlarında tümleştirilebilen, yüksek oranda kullanılabilir küresel bir kimlik yönetimi hizmetidir. Müşterileriniz, var olan sosyal medya hesaplarını kullanan özelleştirilebilen deneyimler aracılığıyla tüm uygulamalarınızda oturum açabilir veya yeni tek başına kimlik bilgileri oluşturabilirsiniz.
Azure Active Directory B2B işbirliği , iş ortaklarının şirket uygulamalarınıza ve verilerinize kendi kendine yönetilen kimliklerini kullanarak erişmesini sağlayarak şirketler arası ilişkilerinizi destekleyen güvenli bir iş ortağı tümleştirme çözümüdür.
Azure Active Directory katılmış , merkezi yönetim için bulut yeteneklerini Windows 10 cihazlara genişletmenizi sağlar. kullanıcıların kurumsal veya kurumsal buluta Azure Active Directory aracılığıyla bağlanmasını sağlar ve uygulama ve kaynaklara erişimi basitleştirir.
Azure Active Directory uygulama Proxy 'si , şirket içinde barındırılan web uygulamaları için SSO ve güvenli uzaktan erişim sağlar.
Sonraki Adımlar
Bulutta paylaşılan sorumluluğuanlayın.
Bulut Için Microsoft Defender 'ın, Azure kaynaklarınızın güvenliğine yönelik artırılmış görünürlük ve denetim ile tehditleri önlemenize, algılamanıza ve bu tehditlere yanıt vermenize nasıl yardımcı olabileceğini öğrenin.