Önceki

Sonraki

Kullanılabilirliği korumak için tasarlama

Tamamlandı

Güçlü güvenlik denetimleri kullanarak bir güvenlik olayı durumunda sistem ve iş yükü kapalı kalma süresini ve düşüşü önleyin veya en aza indirin. Olay sırasında ve sistem kurtarıldıktan sonra veri bütünlüğünü korumanız gerekir.

Kullanılabilirlik mimarisi seçimlerini güvenlik mimarisi seçenekleriyle dengelemeniz gerekir. Kullanıcıların verilere erişimi olduğundan ve verilere erişilebilir olduğundan emin olmak için sistemin kullanılabilirlik garantileri olmalıdır. Güvenlik açısından bakıldığında, kullanıcılar izin verilen erişim kapsamı içinde çalışmalı ve verilere güvenilmelidir. Güvenlik denetimleri kötü aktörleri engellemelidir, ancak geçerli kullanıcıların sisteme ve verilere erişimini engellememelidir.

Örnek senaryo

Contoso Concierge, Birleşik Devletler 50'den fazla otel markasında kullanılan bir otel yönetimi yazılım sistemi çalıştırıyor. Rezervasyon, konuk check-in ve konuk hizmetleri ile temizlik personelini takip etme sorumluluğundadır. Birleşik Devletler iki bölgeden oluşan bulut tabanlı bir sistemdir. Çoğunlukla sanal makine ölçek kümelerinde barındırılır. Otellerdeki müşteriler tarayıcı tabanlıdır.

Sağlam güvenlik sayesinde güvenilirliği artırın

Saldırıların ve kod açıklarının kaynak tükenmesine ve erişimi engellemesine neden olmasını önlemek için güvenlik denetimlerini ve tasarım desenlerini kullanın.

Bu yaklaşımı benimsemek, sistemin dağıtılmış hizmet reddi (DDoS) saldırıları gibi kötü amaçlı eylemlerden kaynaklanan kapalı kalma süresi yaşamamasını sağlamaya yardımcı olur.

Contoso'nun sınaması

• İş yükü ekibi ve iş yükünün paydaşları, birçok otel konuğu iş ve eğlence seyahati için bu sisteme bağımlı olduğundan bu sistemin güvenilirliğini en büyük öneme sahip olarak değerlendirmektedir. Otellerin işlerini yürütmesi için uygun olmalı.
• Ekip, uygulama güncelleştirmelerini güvenilir bir şekilde yayınlamak için güvenli dağıtım uygulamalarının kullanılması da dahil olmak üzere güvenilirliğin yüksek kalmasını sağlamak için işlevsel ve işlevsel olmayan gereksinimleri test etmek için önemli kaynaklara yatırım yaptı.
• Ekip, güvenilirlik üzerine yoğun bir şekilde odaklanmış olsa da, güvenliğe daha az özen göstermiştir. Kısa süre önce, bir saldırganın birçok otel için tüm sistemi çökertmek için kullandığı bir kod kusuru içeren bir güncelleştirme yayınlandı. Saldırı, bir akşam dört saatten fazla bir süre boyunca bir bölgedeki uygulama sunucularını bunalttı ve müşteriler ve otel konukları için sorunlara neden oldu.
• Saldırgan, önceden oluşturulmuş folio bilgilerini almak üzere bölgesel bir depolama hesabına yönelik istekleri proxy olarak kullanmak için Contoso uygulama sunucularını kullandı. Uygulama sunucularının belleğe yüklenirken uygulama sunucusundaki kaynakları tüketmesine neden olan ve istemci yeniden denemeleri sorunu tüm uygulama sunucularına dağıtan sıralı olarak büyük bir kötü amaçlı folio oluşturuldu.

Yaklaşımı ve sonuçları uygulama

• Ekip, uygulama sunucularını folio istek akışından kaldırmak için bir tasarım deseni inceledi ve bunun yerine Vale Anahtarı yaklaşımını tercih etti. Bu, sorunu engellemese de, etkiyi yalıtırdı.
• Ayrıca sisteme daha fazla giriş doğrulaması ekleyerek girişi temizleyerek gelecekte bunun gibi kötü amaçlı girişimlerin önlenmesine yardımcı olur.
• Artık girdi temizleme ve güçlendirilmiş bir tasarım ile bir risk türü azaltıldı.

Saldırı vektörlerini proaktif olarak sınırlayın

Uygulama kodu, ağ protokolleri, kimlik sistemleri, kötü amaçlı yazılım koruması ve diğer alanlardaki güvenlik açıklarından yararlanan saldırı vektörleri için önleyici önlemler uygulayın.

Kod tarayıcıları uygulayın, en son güvenlik düzeltme eklerini uygulayın, yazılımı güncelleştirin ve sisteminizi sürekli olarak etkili kötü amaçlı yazılımdan koruma yazılımıyla koruyun. Bunu yapmak, iş sürekliliğini sağlamak için saldırı yüzeyini azaltmaya yardımcı olur.

Contoso'nun sınaması

• Sistemi barındırmak için kullanılan VM'ler en son Ubuntu işletim sistemine sahip Azure Market görüntülerdir. Bir VM için önyükleme işlemleri birkaç sertifika ayarlar, bazı SSH yapılandırmalarını ayarlar ve uygulama kodunu yükler, ancak kötü amaçlı yazılımdan koruma araçları çalıştırılır.
• Azure Uygulaması lication Gateway çözümün önüne geçse de, yalnızca İnternet ağ geçidi olarak kullanılır; web uygulaması güvenlik duvarı (WAF) işlevi şu anda etkin değildir.
• Bu yapılandırma seçeneklerinin her ikisi de işlem ortamını koddaki güvenlik açıklarından veya istenmeyen kötü amaçlı yazılım yüklemesinden korumasız bırakır.

Yaklaşımı ve sonuçları uygulama

• Contoso'daki güvenlik ekibine danışıldıktan sonra sanal makineler artık kurumsal olarak yönetilen bir virüsten koruma çözümüne kaydedilir.
• Ekip ayrıca SQL ekleme denemeleri gibi bilinen riskli istekleri ağ geçidi düzeyinde ortadan kaldırarak uygulama kodunu korumaya yardımcı olmak için WAF işlevini etkinleştirmeye ve ayarlamaya karar verir.
• Uygulama ve uygulama platformu artık sistemin kullanılabilirliğini etkileyebilecek açıklardan yararlanmalara karşı korunmaya yardımcı olmak için ek savunmaya sahiptir.

Kurtarma stratejinizin güvenliğini sağlama

Kurtarma kaynaklarınızda ve işlemlerinizde güvenlik denetimleri ve yedekleme sıklığı dahil olmak üzere birincil ortamda yaptığınız güvenlik katılığının en az aynı düzeyini uygulayın.

Olağanüstü durum kurtarmada korunan bir güvenli sistem durumunuz olmalıdır. Bunu yaparsanız, güvenli bir ikincil sisteme veya konuma yük devredebilir ve bir tehdit oluşturmayacak yedeklemeleri geri yükleyebilirsiniz.

İyi tasarlanmış bir işlem, bir güvenlik olayının kurtarma işlemini engellemesini engelleyebilir. Bozuk yedekleme verileri veya şifresi kaldırılabilen şifrelenmiş veriler kurtarmayı yavaşlatabilir.

Contoso'nun sınaması

• Sistem bölgeler arasında etkin-etkin olarak çalışsa da, ekibin en kötü senaryolarda iş sürekliliğini geri yüklemeye yardımcı olacak bir olağanüstü durum kurtarma planı vardır.
• Bu planın bir bölümü, yedekleri ABD'deki üçüncü bir bölgeye göndermeyi içerir.
• Ne yazık ki, yedeklemeler sık izlenmedi ve nispeten gevşek güvenlik denetimleri olan bir sisteme giriş yaptı. Bir tatbikat sırasında tüm yedeklemelere kötü amaçlı yazılım bulaştığını fark ettiler. O sırada gerçek bir olağanüstü durumla karşılanmış olsalardı, başarılı bir şekilde kurtarılamazlardı.

Yaklaşımı ve sonuçları uygulama

• Ekip, verileri korumak için ek ağ ve kimlik denetimleri ekleyerek yedekleme konumunun güvenliğini sağlamak için zaman ve çaba harcaması yaptı. Değişiklik yapılmasını önlemek için yedeklemeler artık sabit depolama alanında da depolanır.
• Ekip, güvenlik denetimlerini gözden geçirdikten sonra kurtarma işlemi sırasında uygulamanın bir süre boyunca WAF olmadan çalıştığını bulur. Bu boşluğu kapatmak için işlemlerin sırasını değiştirir.
• Ekip artık yedeklemelerin ve sistem için kurtarma işleminin artık kötüye kullanımı kolay bir saldırı vektörünün olmadığından emin.

Bilgilerinizi kontrol edin

1.

Contoso, sistemini bunaltan bir saldırıya yanıt vermek için güvenlik denetimlerini nasıl kullandı?

Bunun gibi patlama yarıçapı saldırılarını en aza indiren bir tasarım deseni benimsediler.

Genel kullanıma yönelik hizmetlere erişimi engellediler.

Bir üçüncü taraf DDoS koruma hizmetine yatırım yaptılar.

Uygulamalarında sanal makine sayısını artırdılar.

2.

Saldırı vektörlerini sınırlamak için kullanılabilecek bir önleyici ölçü örneği nedir?

Kaynak durumunu izleme

Kötü amaçlı yazılımdan koruma çözümü kullanma

Sanal makinelerde otomatik ölçeklendirmeyi etkinleştirme

Kötü amaçlı trafiği engellemek için Azure Traffic Manager'ı kullanma

3.

Doğru veya yanlış: Bir kurtarma ortamında çalışırken üretim ortamına kıyasla rahat bir güvenlik duruşu elde etmek normaldir.

Doğru

False

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et