Güvenlik - Learn | Microsoft Docs

10 dakika

Sağlık kuruluşları kişisel ve hassas olabilecek müşteri verilerini depolar. Finans kurumları hesap numaralarını, bakiyeleri ve işlem geçmişini depolar. Perakendeciler satın alma geçmişini, hesap bilgilerini ve müşterilerin demografik bilgilerini depolar. Bir güvenlik olayı bu hassas verileri açığa çıkarabilir ve bu da kişisel utanca veya mali zarara yol açabilir. Onların verilerinin bütünlüğünden ve kendi sistemlerinizin güvenliğinden nasıl emin olabilirsiniz?

Bu ünitede, güvenlik yapı taşının önemli öğeleri hakkında bilgi edineceksiniz.

Güvenlik nedir?

Güvenlik, kuruluşunuzun kullandığı, depoladığı ve aktardığı verileri korumaktır. Kuruluşunuzun depoladığı veya işlediği veriler, güvenliği sağlanabilir varlıklarınızın merkezindedir. Bu veriler, müşterilerle ilgili hassas veriler, kuruluşunuzla ilgili mali bilgiler veya kuruluşunuzu destekleyen kritik iş kolu verileri olabilir. Verilerin bulunduğu altyapının ve ona erişmek için kullanılan kimliklerin de güvenliğini sağlamak kritik önem taşır.

Bulunduğunuz konuma, depoladığınız verilerin türüne veya uygulamanızı çalıştırıldığı sektöre bağlı olarak, verileriniz yasal ve mevzuatla ilgili ek gereksinimlere tabi olabilir.

Örneğin, ABD'nin sağlık sektöründe Sağlık Sigortası Taşınabilirliği ve Sorumluluğu Yasası (HIPAA) adlı bir yasa vardır. Finans sektöründe kredi kartı verilerinin işlenmesi Payment Card Industry Data Security Standard’a (Ödeme Kartı Sektörü Veri Güvenliği Standardı) tabidir. Bu yasaların ve standartların kapsamına giren verileri depolayan kuruluşlar, bunların korunması için bazı güvenlik önlemleri almalıdır. Avrupa'da, Genel Veri Koruma Yönetmeliği (GDPR) kişisel verilerin korunmasıyla ilgili kuralları düzenler ve bireylerin depolanan verilerle ilgili haklarını tanımlar. Bazı ülkelerde belirli türlerdeki veriler sınır dışına çıkarılamaz.

Güvenlik ihlali yaşanmasının, hem kuruluşların hem de müşterilerin mali durumları ve saygınlıkları üzerinde önemli etkileri olabilir. Müşterilerin kuruluşunuza duymaya başladıkları güvene zarar verir ve uzun vadede kuruluşunuzun durumunu etkileyebilir.

Derinlemesine savunma

Ortamınızın güvenliğini sağlamaya yönelik çok katmanlı bir yaklaşım, ortamınızın güvenlik duruşunu geliştirecektir. Genellikle derinlemesine savunma olarak bilinir ve şu şekilde katmanlara ayrılabilir:

Veriler
Uygulamalar
VM/işlem
Ağ
Çevre
İlkeler ve erişim
Fiziksel güvenlik

Her katman saldırıların yapılabileceği farklı bir alana odaklanır ve bir katmanın başarısız olması veya saldırgan tarafından aşılması durumunda derin bir koruma oluşturur. Tek bir katmana odaklansaydınız, bu katmandan geçen saldırgan ortamınıza serbest erişim elde edebilecekti.

Güvenliğin katmanlar halinde uygulanması, sistemlerinize veya verilerinize erişim kazanmak için saldırganın yapması gereken çalışmayı artırır. Her katmanın uygulanacak farklı güvenlik denetimleri, teknolojileri ve özellikleri olacaktır. Uygulamaya konacak korumalar tanımlanırken, maliyet her zaman dikkate alınacak bir faktördür. Maliyeti hem iş gereksinimleriyle hem de işe yönelik genel riskle dengelemeniz gerekir.

Verilerin merkezde olduğu derinlemesine savunma mekanizmasını gösteren çizim. Verilerin etrafındaki güvenlik halkaları şunlardır: uygulama, işlem, ağ, çevre, kimlik ve erişim, fiziksel güvenlik.

Hiçbir güvenlik sistemi, denetim veya teknoloji mimarinizin tamamını tek başına koruyamaz. Güvenlik teknolojiden ibaret değildir; insanlar ve süreçler de güvenliğin bir parçasıdır. Güvenliğe bütüncül yaklaşan bir ortam oluşturmak ve güvenliği varsayılan olarak bir gereklilik yapmak, kuruluşunuzun mümkün olduğunca güvenli kalmasına yardımcı olacaktır.

Yaygın saldırılara karşı koruma

Her katmanda, korunmak isteyeceğiniz bazı yaygın saldırılar vardır. Tüm saldırılar aşağıdaki listedekilerden ibaret değildir ama her katmanın nasıl saldırıya uğrayabileceği ve hangi koruma türlerini dikkate almanız gerekebileceği hakkında size bir fikir verebilir.

Veri katmanı: Bir şifreleme anahtarının açığa çıkması veya zayıf şifreleme kullanılması, yetkisiz erişim durumunda verilerinizi savunmasız bırakabilir.
Uygulama katmanı: Kötü amaçlı kod ekleme ve yürütme, uygulama katmanı saldırılarının ayırt edici özellikleridir. SQL ekleme ve siteler arası betik (XSS) saldırıları yaygın saldırılar arasındadır.
VM/işlem katmanı: Kötü amaçlı yazılım, ortama yönelik yaygın bir saldırı yöntemidir ve sistemin gizliliğini bozmak için kötü amaçlı kod yürütmeyi içerir. Sistemde kötü amaçlı yazılım bulunduğunda, ortamın her yanında kimlik bilgilerinin açığa çıkmasına ve yanal harekete yol açan başka saldırılar da gerçekleşebilir.
Ağ katmanı: Gereksiz yere internete açık olan bağlantı noktaları yaygın bir saldırı yöntemidir. Bunlar, SSH veya RDP'yi sanal makinelere açık bırakmayı içerebilir. Bu protokoller açık olduğunda, saldırganların sistemlerinize erişim kazanma girişiminde bulunurken deneme yanılma saldırıları yapmasına izin verebilir.
Çevre katmanı: Bu katmanda çoğunlukla hizmet reddi (DoS) saldırıları görülür. Bu saldırılar ağ kaynaklarını aşırı yükle boğarak çevrimdışı olmaya zorlama veya geçerli isteklere yanıt verememe durumuna getirmeyi dener.
İlkeler ve erişim katmanı: Bu katman, uygulamanız için kimlik doğrulamasının yapıldığı yerdir. Bu katman, OpenID Connect ve OAuth gibi modern kimlik doğrulama protokollerini veya Active Directory gibi Kerberos tabanlı kimlik doğrulamayı içerebilir. Bu katmandaki risklerden biri kimlik bilgilerinin açığa çıkmasıdır ve kimliklere sağlanan izinleri sınırlamak önemlidir. Ayrıca, alışılmadık yerlerden gelen oturum açma işlemleri gibi gizliliği bozulmuş olabilecek hesapları aramak için izlemenin de kullanımda olmasını isteriz.
Fiziksel katman: Bu katmanda kapının çizimlerini ele geçirme ve güvenlik kartlarını çalma gibi yöntemlerle tesislere yetkisiz erişim görülebilir.

Paylaşılan güvenlik sorumluluğu

Paylaşılan sorumluluk modelini yeniden ele alarak, bunu güvenlik bağlamında yeniden değerlendirebiliriz. Seçtiğiniz hizmet türüne bağlı olarak, bazı hizmet korumaları hizmette yerleşik olarak bulunur, diğer korumalar ise sizin sorumluluğunuzdadır. Mimariniz için uygun güvenlik denetimlerini sağladığınızdan emin olmak için, seçtiğiniz hizmet ve teknolojileri dikkatli bir şekilde değerlendirmeniz gerekir.

Şirket içi, hizmet olarak altyapı, hizmet olarak platform ve hizmet olarak yazılım dahil olmak üzere farklı tür bulut hizmeti modellerinde bulut sağlayıcıları ile müşterilerin güvenlik sorumluluklarını nasıl paylaştığını gösteren bir çizim.

Bilgilerinizi kontrol edin

Aşağıdaki veri türlerinden hangisinin güvenlik korumaları olması gerekebilir?

Kişisel bilgiler içeren müşteri verileri

İş operasyonlarını destekleyen mali veriler

Fikri mülkiyet

Yukarıdakilerin tümü için güvenlik korumaları gerekebilir

Aşağıdakilerden hangisi ilkeler ve erişim katmanında görebileceğiniz bir saldırı örneğidir?

Güvenliği ihlal edilen kimlik bilgilerinin çevrimiçi ortamda yayınlanması

SYN akışı saldırısı

Bir çalışanı kimlik bilgilerini sunmadan veri merkezine izleme

Bir sanal makinenin disklerini şifreleyen fidye yazılımı

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et