Güvenlik Denetimi V2: Duruş ve Güvenlik Açığı Yönetimi

Not

En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.

Duruş ve Güvenlik Açığı Yönetimi, Azure güvenlik duruşu değerlendirme ve iyileştirme denetimlerine odaklanır. Buna güvenlik açığı taraması, sızma testi ve düzeltmenin yanı sıra Azure kaynaklarında güvenlik yapılandırması izleme, raporlama ve düzeltme dahildir.

İlgili yerleşik Azure İlkesi görmek için bkz. Azure Güvenlik Karşılaştırması Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları: Duruş ve Güvenlik Açığı Yönetimi

PV-1: Azure hizmetleri için güvenli yapılandırmalar oluşturun

Azure Kimliği	CIS Denetimleri v7.1 Kimlikleri	NIST SP 800-53 r4 kimlikleri
BD-1	5.1	CM-2, CM-6

Kullandıkları Azure hizmetlerini güvenli bir şekilde yapılandırmayı kolaylaştırarak altyapı ve DevOps ekipleri için güvenlik korumaları tanımlayın.

Azure Hizmetleri güvenlik yapılandırmanızı Azure Güvenlik Karşılaştırması'ndaki hizmet temelleri ile başlatın ve kuruluşunuz için gerektiği gibi özelleştirin.

azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak için Azure Güvenlik Merkezi kullanın.

Azure blueprints'i kullanarak Azure Resource Manager şablonları, Azure RBAC denetimleri ve ilkeleri dahil olmak üzere hizmetlerin ve uygulama ortamlarının dağıtımını ve yapılandırmasını tek bir şema tanımında otomatikleştirebilirsiniz.

• Kurumsal ölçekli giriş bölgesinde koruma uygulamasının çizimi

• Azure Güvenlik Merkezi'de güvenlik ilkeleriyle çalışma

• Uyumluluğu zorunlu tutmak için ilkeleri oluşturma ve yönetme

• Azure Blueprints

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Duruş yönetimi

• Altyapı ve uç nokta güvenliği

• Uygulama Güvenliği ve DevOps

PV-2: Azure hizmetleri için güvenli yapılandırmaların sürekliliğini sağlayın

Azure Kimliği	CIS Denetimleri v7.1 Kimlikleri	NIST SP 800-53 r4 kimlikleri
BD-2	5.2	CM-2, CM-6

Yapılandırma temelinizi izlemek için Azure Güvenlik Merkezi kullanın ve VM'ler, kapsayıcılar ve diğerleri gibi Azure işlem kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] kuralını kullanın.

• Azure İlkesi etkilerini anlama

• Uyumluluğu zorunlu tutmak için ilkeleri oluşturma ve yönetme

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Duruş yönetimi

• Altyapı ve uç nokta güvenliği

• Uygulama Güvenliği ve DevOps

PV-3: İşlem kaynakları için güvenli yapılandırmalar oluşturma

Azure Kimliği	CIS Denetimleri v7.1 Kimlikleri	NIST SP 800-53 r4 kimlikleri
BD-3	5.1	CM-2, CM-6

VM'ler, kapsayıcılar ve diğerleri dahil olmak üzere tüm işlem kaynaklarında güvenli yapılandırmalar oluşturmak için Azure Güvenlik Merkezi ve Azure İlkesi kullanın Ayrıca, özel işletim sistemi görüntülerini veya Azure Otomasyonu State Configuration kuruluşunuzun gerektirdiği işletim sisteminin güvenlik yapılandırmasını oluşturmak için.

• Azure Güvenlik Merkezi önerilerini izleme

• Güvenlik önerileri - başvuru kılavuzu

• Azure Otomasyonu State Configuration genel bakış

• VHD'yi karşıya yükleyin ve Azure'da yeni Windows VM'leri oluşturmak için kullanın

• Azure CLI ile özel diskten Linux VM oluşturma

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Duruş yönetimi

• Altyapı ve uç nokta güvenliği

• Uygulama Güvenliği ve DevOps

PV-4: İşlem kaynakları için güvenli yapılandırmaları sürdürme

Azure Kimliği	CIS Denetimleri v7.1 Kimlikleri	NIST SP 800-53 r4 kimlikleri
BD-4	5.2	CM-2, CM-6

VM'ler, kapsayıcılar ve diğerleri gibi Azure işlem kaynaklarınızdaki yapılandırma risklerini düzenli olarak değerlendirmek ve düzeltmek için Azure Güvenlik Merkezi ve Azure İlkesi kullanın. Ayrıca, kuruluşunuzun gerektirdiği işletim sisteminin güvenlik yapılandırmasını korumak için Azure Resource Manager şablonlarını, özel işletim sistemi görüntülerini veya Azure Otomasyonu State Configuration kullanabilirsiniz. Azure Otomasyonu State Configuration ile birlikte Microsoft VM şablonları, güvenlik gereksinimlerini karşılamaya ve sürdürmeye yardımcı olabilir.

Ayrıca, Microsoft tarafından yayımlanan Azure Market VM görüntülerinin Microsoft tarafından yönetildiğini ve korunduğunu unutmayın.

Azure Güvenlik Merkezi ayrıca kapsayıcı görüntülerindeki güvenlik açıklarını tarar ve CIS Docker Benchmark'ı temel alarak kapsayıcılarda Docker yapılandırmanızı sürekli olarak izleyebilir. Önerileri görüntülemek ve sorunları düzeltmek için Azure Güvenlik Merkezi öneriler sayfasını kullanabilirsiniz.

• Azure Güvenlik Merkezi güvenlik açığı değerlendirmesi önerilerini uygulama

• ARM şablonundan Azure sanal makinesi oluşturma

• Azure Otomasyonu State Configuration genel bakış

• Azure portal'nde Windows sanal makinesi oluşturma

• VM için şablon indirme hakkında bilgi

• Bir VHD’yi Azure’a yüklemek ve yeni bir sanal makine oluşturmak için örnek betik

• Azure Güvenlik Merkezi'de kapsayıcı güvenliği

Sorumluluk: Paylaşılan

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Duruş yönetimi

• Altyapı ve uç nokta güvenliği

• Uygulama Güvenliği ve DevOps

PV-5: Özel işletim sistemi ve kapsayıcı görüntülerini güvenli bir şekilde depolama

Azure Kimliği	CIS Denetimleri v7.1 Kimlikleri	NIST SP 800-53 r4 kimlikleri
BD-5	5.3	CM-2, CM-6

Özel görüntülerinize yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Görüntülerinizi kuruluşunuzdaki farklı kullanıcılarla, hizmet sorumlularıyla veya AD gruplarıyla paylaşmak için Azure Paylaşılan Görüntü Galerisi kullanın. Kapsayıcı görüntülerini Azure Container Registry'de depolayın ve yalnızca yetkili kullanıcıların erişimi olduğundan emin olmak için Azure RBAC'yi kullanın.

• Azure RBAC'yi anlama

• Container Registry için Azure RBAC'yi anlama

• Azure RBAC'yi yapılandırma

• Paylaşılan Görüntü Galerisi genel bakış

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Duruş yönetimi

• Altyapı ve uç nokta güvenliği

• Uygulama Güvenliği ve DevOps

PV-6: Yazılım güvenlik açığı değerlendirmeleri gerçekleştirme

Azure Kimliği	CIS Denetimleri v7.1 Kimlikleri	NIST SP 800-53 r4 kimlikleri
BD-6	3.1, 3.2, 3.3, 3.6	CA-2, RA-5

Azure sanal makinelerinizde, kapsayıcı görüntülerinizde ve SQL sunucularınızda güvenlik açığı değerlendirmeleri gerçekleştirmek için Azure Güvenlik Merkezi önerilerini izleyin. Azure Güvenlik Merkezi, sanal makineleri taramak için yerleşik bir güvenlik açığı tarayıcısına sahiptir.

Ağ cihazlarında ve web uygulamalarında güvenlik açığı değerlendirmeleri gerçekleştirmek için bir üçüncü taraf çözümü kullanın. Uzaktan tarama yaparken tek, kalıcı bir yönetim hesabı kullanmayın. Tarama hesabı için JIT (Tam Zamanında) sağlama metodolojisi uygulamayı göz önünde bulundurun. Tarama hesabının kimlik bilgileri korunmalıdır, izlenmelidir ve yalnızca güvenlik açığı taraması için kullanılmalıdır.

Tarama sonuçlarını tutarlı aralıklarla dışarı aktarın ve güvenlik açıklarının düzeltildiğini doğrulamak için sonuçları önceki taramalarla karşılaştırın. Azure Güvenlik Merkezi tarafından önerilen güvenlik açığı yönetimi önerilerini kullanırken, geçmiş tarama verilerini görüntülemek için seçilen tarama çözümünün portalında özetleyebilirsiniz.

• Azure Güvenlik Merkezi güvenlik açığı değerlendirmesi önerilerini uygulama

• Sanal makineler için tümleşik güvenlik açığı tarayıcısı

• Azure Güvenlik Merkezi güvenlik açığı tarama sonuçlarını dışarı aktarma

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Duruş yönetimi

• Altyapı ve uç nokta güvenliği

• Uygulama Güvenliği ve DevOps

DG-7: Yazılım güvenlik açıklarını hızla ve otomatik olarak düzeltme

Azure Kimliği	CIS Denetimleri v7.1 Kimlikleri	NIST SP 800-53 r4 kimlikleri
BD-7	3.7	CA-2, RA-5, SI-2

İşletim sistemlerinde ve uygulamalarda yazılım güvenlik açıklarını düzeltmek için yazılım güncelleştirmelerini hızla dağıtın.

Ortak bir risk puanlama programı (Ortak Güvenlik Açığı Puanlama Sistemi gibi) veya üçüncü taraf tarama aracınız tarafından sağlanan varsayılan risk derecelendirmelerini kullanın ve hangi uygulamaların yüksek güvenlik riski sunduğu ve hangilerinin yüksek çalışma süresi gerektirdiğini dikkate alarak ortamınıza uyarlayın.

En son güvenlik güncelleştirmelerinin Windows ve Linux VM'lerinize yüklendiğinden emin olmak için Azure Otomasyonu Güncelleştirme Yönetimi'ni veya üçüncü taraf bir çözümü kullanın. Windows VM'leri için Windows Update etkinleştirildiğinden ve otomatik olarak güncelleştirilecek şekilde ayarlandığından emin olun.

Üçüncü taraf yazılımlarda, Configuration Manager için bir üçüncü taraf düzeltme eki yönetim çözümü veya System Center Güncelleştirmeler Publisher kullanın.

• Azure'da sanal makineler için Güncelleştirme Yönetimi'nin yapılandırılması

• Azure VM'leriniz için güncelleştirmeleri ve düzeltme eklerini yönetme

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Duruş yönetimi

• Altyapı ve uç nokta güvenliği

• Uygulama Güvenliği ve DevOps

PV-8: Düzenli aralıklarla saldırı simülasyonları yapın

Azure Kimliği	CIS Denetimleri v7.1 Kimlikleri	NIST SP 800-53 r4 kimlikleri
BD-8	20	CA-8, CA-2, RA-5

Gerektiğinde, Azure kaynaklarınızda sızma testi veya kırmızı ekip etkinlikleri gerçekleştirin ve tüm kritik güvenlik bulgularının düzeltilmesini sağlayın. Sızma testlerinizin Microsoft ilkelerini ihlal etmediğinden emin olmak için Microsoft Bulut Sızma Testi Etkileşim Kuralları'na uygun hareket edin. Microsoft tarafından yönetilen bulut altyapısına, hizmetlere ve uygulamalara yönelik kırmızı takım ve canlı site sızma testi gerçekleştirmek için Microsoft'un stratejisini ve yürütme sürecini kullanın.

• Azure'da sızma testi yapma

• Sızma Testi Etkileşim Kuralları

• Microsoft Bulut ile Kırmızı Takım Oluşturma

Sorumluluk: Paylaşılan

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Duruş yönetimi

• Altyapı ve uç nokta güvenliği

• Uygulama Güvenliği ve DevOps