Güvenlik Denetimi V2: Ağ Güvenliği
Not
En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.
Ağ Güvenliği, Azure ağlarının güvenliğini sağlama ve koruma denetimlerini kapsar. Buna sanal ağların güvenliğini sağlama, özel bağlantılar kurma, dış saldırıları önleme ve azaltma ve DNS güvenliğini sağlama dahildir.
İlgili yerleşik Azure İlkesi görmek için bkz. Azure Güvenlik Karşılaştırması Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları: Ağ Güvenliği
NS-1: İç trafik için güvenlik uygulama
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Tüm Azure sanal ağlarının iş risklerine uygun bir kurumsal segmentasyon ilkesine uygun olduğundan emin olun. Kuruluş için daha yüksek risk oluşturabilecek tüm sistemlerin kendi sanal ağı içinde yalıtılması ve ağ güvenlik grubu (NSG) ve/veya Azure Güvenlik Duvarı ile yeterince güvenli hale getirilmesi gerekir.
Uygulamalarınıza ve kurumsal segmentasyon stratejinize bağlı olarak, ağ güvenlik grubu kurallarına göre iç kaynaklar arasındaki trafiği kısıtlayın veya trafiğe izin verin. Belirli iyi tanımlanmış uygulamalar (3 katmanlı uygulama gibi) için bu, yüksek oranda güvenli bir "varsayılan olarak reddet, özel durum tarafından izin ver" yaklaşımı olabilir. Birbiriyle etkileşim kuran çok sayıda uygulamanız ve uç noktanız varsa bu durum iyi ölçeklendirilmeyebilir. Azure Güvenlik Duvarı, çok sayıda kurumsal segment veya uç üzerinde merkezi yönetim gerektiren durumlarda da kullanabilirsiniz (merkez/uç topolojisinde).
Dış ağ trafiği kurallarına göre bağlantı noktalarını ve kaynak IP'leri sınırlayan ağ güvenlik grubu yapılandırmalarını önermek için Azure Güvenlik Merkezi Uyarlamalı Ağ Sağlamlaştırma'sını kullanın.
Ssl/TLSv1, SMBv1, LM/NTLMv1, wDigest, İmzasız LDAP Bağlamaları ve Kerberos'taki zayıf şifrelemeler gibi eski güvenli olmayan protokollerin kullanımını keşfetmek için Azure Sentinel'i kullanın.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-2: Özel ağları birbirine bağlama
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| NS-2 | Yok | CA-3, AC-17, MA-4 |
Azure veri merkezleriyle birlikte bulundurma ortamındaki şirket içi altyapı arasında özel bağlantılar oluşturmak için Azure ExpressRoute veya Azure sanal özel ağı (VPN) kullanın. ExpressRoute bağlantıları genel İnternet üzerinden gitmez ve tipik İnternet bağlantılarına göre daha fazla güvenilirlik, daha yüksek hız ve daha düşük gecikme süreleri sunar. Noktadan siteye VPN ve siteden siteye VPN için, bu VPN seçeneklerinin ve Azure ExpressRoute'un herhangi bir bileşimini kullanarak şirket içi cihazları veya ağları bir sanal ağa bağlayabilirsiniz.
Azure'da iki veya daha fazla sanal ağı birbirine bağlamak için sanal ağ eşleme veya Özel Bağlantı kullanın. Eşlenen sanal ağlar arasındaki ağ trafiği özeldir ve Azure omurga ağında tutulur.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-3: Azure hizmetlerine özel ağ erişimi sağlayın
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| NS-3 | 14.1 | AC-4, CA-3, SC-7 |
İnternet'ten geçmeden sanal ağlarınızdan Azure hizmetlerine özel erişimi etkinleştirmek için Azure Özel Bağlantı kullanın. Azure Özel Bağlantı henüz kullanılamadığı durumlarda Azure Sanal Ağ hizmet uç noktalarını kullanın. Azure Sanal Ağ hizmet uç noktaları, Azure omurga ağı üzerinden iyileştirilmiş bir yol aracılığıyla hizmetlere güvenli erişim sağlar.
Özel erişim, Azure hizmetleri tarafından sunulan kimlik doğrulaması ve trafik güvenliğine ek olarak ayrıntılı bir savunma önlemidir.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-4: Uygulamaları ve hizmetleri dış ağ saldırılarına karşı koruma
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Dağıtılmış hizmet reddi (DDoS) Saldırıları, uygulamaya özgü saldırılar ve istenmeyen ve kötü amaçlı olabilecek İnternet trafiği dahil olmak üzere Azure kaynaklarını dış ağlardan gelen saldırılara karşı koruyun. Azure bunun için yerel özellikler içerir:
Uygulamaları ve hizmetleri İnternet'ten ve diğer dış konumlardan gelen kötü amaçlı olabilecek trafiğe karşı korumak için Azure Güvenlik Duvarı kullanın.
Uygulamalarınızı, hizmetlerinizi ve API'lerinizi uygulama katmanı saldırılarına karşı korumak için Azure Application Gateway, Azure Front Door ve Azure Content Delivery Network'teki (CDN) Web Uygulaması Güvenlik Duvarı (WAF) özelliklerini kullanın.
Azure sanal ağlarınızda DDoS standart korumasını etkinleştirerek varlıklarınızı DDoS saldırılarına karşı koruyun.
Yukarıdakilerle ilgili yanlış yapılandırma risklerini algılamak için Azure Güvenlik Merkezi kullanın.
Azure portal kullanarak Azure DDoS Koruması Standardını yönetme
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-5: İzinsiz giriş algılama/yetkisiz erişim önleme sistemlerini (IDS/IPS) dağıtma
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Bilinen kötü amaçlı IP adreslerine ve etki alanlarına gelen ve giden trafiği engellemek için tehdit bilgileri tabanlı Azure Güvenlik Duvarı filtreleme kullanın. IP adresleri ve etki alanları, Microsoft Tehdit Analizi akışından alınır. Yük denetimi gerektiğinde Premium IDPS özelliğini Azure Güvenlik Duvarı kullanabilir veya yük denetleme özelliklerine sahip Azure Market üçüncü taraf yetkisiz erişim algılama/yetkisiz erişim önleme sistemi (IDS/IPS) dağıtabilirsiniz. Alternatif olarak, ağ tabanlı IDS/IPS yerine konak tabanlı IDS/IPS veya konak tabanlı uç nokta algılama ve yanıt (EDR) çözümünü kullanabilirsiniz.
Not: IDS/IPS kullanımı için bir mevzuat veya başka bir gereksiniminiz varsa, SIEM çözümünüz için her zaman yüksek kaliteli uyarılar sağlayacak şekilde ayarlandığından emin olun.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-6: Ağ güvenlik kurallarını basitleştirme
| Azure Kimliği | CIS Denetimleri v7.1 kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| NS-6 | 1,5 | IA-4 |
Hizmet etiketlerini ve uygulama güvenlik gruplarını (ASG) kullanarak ağ güvenlik kurallarını basitleştirin.
Ağ güvenlik gruplarında veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlamak için Sanal Ağ hizmet etiketlerini kullanın. Hizmet etiketlerini güvenlik kuralı oluştururken belirli IP adreslerinin yerine kullanabilirsiniz. Bir kuralın kaynak veya hedef alanında hizmet etiketi adını belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir.
Karmaşık güvenlik yapılandırmasını basitleştirmeye yardımcı olması için uygulama güvenlik gruplarını da kullanabilirsiniz. Uygulama güvenlik grupları, ağ güvenlik gruplarındaki açık IP adreslerine dayalı ilke tanımlamak yerine, ağ güvenliğini bir uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza olanak tanıyarak sanal makineleri gruplandırmanıza ve ağ güvenlik ilkelerini bu gruplara göre tanımlamanıza olanak tanır.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
NS-7: Güvenli Etki Alanı Adı Hizmeti (DNS)
| Azure Kimliği | CIS Denetimleri v7.1 kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| NS-7 | Yok | SC-20, SC-21 |
Dns güvenliği için en iyi yöntemleri izleyerek, DNS'yi sallama, DNS yükseltme saldırıları, DNS zehirleme ve kimlik sahtekarlığı gibi yaygın saldırılara karşı azaltmaya yönelik en iyi yöntemleri izleyin.
Yetkili DNS hizmetiniz olarak Azure DNS kullanıldığında, DNS bölgelerinin ve kayıtlarının Azure RBAC ve kaynak kilitleri kullanılarak yanlışlıkla veya kötü amaçlı değişikliklere karşı korunduğundan emin olun.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):