Güvenlik Denetimi: Güvenli Yapılandırma

Uyarı

En up-togüncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.

Saldırganların güvenlik açığı bulunan hizmet ve ayarlardan yararlanmasını önlemek için Azure kaynaklarının güvenlik yapılandırmasını oluşturun, uygulayın ve etkin bir şekilde yönetin (izleyin, raporlayın, düzeltin).

7.1: Tüm Azure kaynakları için güvenli yapılandırmalar oluşturma

Azure Kimliği CIS kimlikleri Sorumluluk
7.1 5.1 Müşteri

Azure İlkesi takma adlarını kullanarak Azure kaynaklarınızın yapılandırmasını denetlemek veya zorunlu kılmak için özel ilkeler oluşturun. Ayrıca yerleşik Azure İlkesi tanımlarını da kullanabilirsiniz.

Ayrıca Azure Resource Manager, yapılandırmaların kuruluşunuz için güvenlik gereksinimlerini karşıladığından/aştığından emin olmak için gözden geçirilmesi gereken JavaScript Nesne Gösterimi'nde (JSON) şablonu dışarı aktarma özelliğine sahiptir.

Azure güvenlik merkezi önerilerini, Azure kaynaklarınız için güvenli bir yapılandırma temeli olarak da kullanabilirsiniz.

7.2: Güvenli işletim sistemi yapılandırmaları oluşturma

Azure Kimliği CIS kimlikleri Sorumluluk
7.2 5.1 Müşteri

Tüm işlem kaynaklarında güvenlik yapılandırmalarını korumak için Azure Güvenlik Merkezi önerilerini kullanın. Ayrıca, kuruluşunuzun gerektirdiği işletim sisteminin güvenlik yapılandırmasını oluşturmak için özel işletim sistemi görüntülerini veya Azure Otomasyonu Durum yapılandırmasını kullanabilirsiniz.

7.3: Güvenli Azure kaynak yapılandırmalarını koruma

Azure Kimliği CIS kimlikleri Sorumluluk
7.3 5.2 Müşteri

Azure kaynaklarınızda güvenli ayarları zorunlu kılmak için Azure Policy [reddet] ve [var değilse dağıt] kullanın. Ayrıca, kuruluşunuzun gerektirdiği Azure kaynaklarınızın güvenlik yapılandırmasını korumak için Azure Resource Manager şablonlarını kullanabilirsiniz.

7.4: Güvenli işletim sistemi yapılandırmalarını koruma

Azure Kimliği CIS kimlikleri Sorumluluk
7.4 5.2 Paylaşılan

Azure işlem kaynaklarınızda güvenlik açığı değerlendirmeleri gerçekleştirmek için Azure Güvenlik Merkezi'nden gelen önerileri izleyin. Ayrıca, kuruluşunuzun gerektirdiği işletim sisteminin güvenlik yapılandırmasını korumak için Azure Resource Manager şablonlarını, özel işletim sistemi görüntülerini veya Azure Otomasyonu Durumu yapılandırmasını kullanabilirsiniz. Azure Otomasyonu İstenen Durum Yapılandırması ile birlikte Microsoft sanal makine şablonları, güvenlik gereksinimlerini karşılamaya ve sürdürmeye yardımcı olabilir.

Ayrıca, Microsoft tarafından yayımlanan Azure Market Sanal Makine Görüntülerinin Microsoft tarafından yönetildiğini ve korunduğunu unutmayın.

7.5: Azure kaynaklarının yapılandırmasını güvenli bir şekilde depolama

Azure Kimliği CIS kimlikleri Sorumluluk
7.5 5.3 Müşteri

Özel Azure ilkeleri, Azure Resource Manager şablonları ve İstenen Durum Yapılandırması betikleri gibi kodunuzu güvenli bir şekilde depolamak ve yönetmek için Azure DevOps kullanın. Azure DevOps'ta yönettiğiniz kaynaklara erişmek için belirli kullanıcılara, yerleşik güvenlik gruplarına veya Azure DevOps ile tümleşikse Azure Active Directory'de (Azure AD) tanımlanan gruplara veya TFS ile tümleşikse Active Directory'ye izin verebilir veya reddedebilirsiniz.

7.6: Özel işletim sistemi görüntülerini güvenli bir şekilde depolama

Azure Kimliği CIS kimlikleri Sorumluluk
7.6 5.3 Müşteri

Özel görüntüler kullanıyorsanız, görüntülere yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Paylaşılan Görüntü Galerisi kullanarak, görüntülerinizi kuruluşunuzdaki farklı kullanıcılara, hizmet sorumlularına veya AD gruplarına paylaşabilirsiniz. Kapsayıcı görüntüleri için bunları Azure Container Registry'de depolayın ve görüntülere yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için Azure RBAC'yi kullanın.

7.7: Azure kaynakları için yapılandırma yönetimi araçlarını dağıtma

Azure Kimliği CIS kimlikleri Sorumluluk
7.7 5.4 Müşteri

Azure İlkesi'ni kullanarak Azure kaynakları için standart güvenlik yapılandırmaları tanımlayın ve uygulayın. Azure kaynaklarınızın ağ yapılandırmasını denetlemek veya zorunlu hale getirmek için Azure İlkesi kısayollarını kullanarak özel ilkeler oluşturun. Ayrıca, belirli kaynaklarınız ile ilgili yerleşik ilke tanımlarını da kullanabilirsiniz. Ayrıca, yapılandırma değişikliklerini dağıtmak için Azure Otomasyonu'na da kullanabilirsiniz.

7.8: İşletim sistemleri için yapılandırma yönetimi araçlarını dağıtma

Azure Kimliği CIS kimlikleri Sorumluluk
7,8 5.4 Müşteri

Azure Otomasyonu Durum Yapılandırması, herhangi bir bulut veya şirket içi veri merkezinde İstenen Durum Yapılandırması (DSC) düğümleri için bir yapılandırma yönetim hizmetidir. Makineleri kolayca ekleyebilir, bildirim temelli yapılandırmalar atayabilir ve her makinenin belirttiğiniz istenen duruma uyumluluğunu gösteren raporları görüntüleyebilirsiniz.

7.9: Azure kaynakları için otomatik yapılandırma izleme uygulama

Azure Kimliği CIS kimlikleri Sorumluluk
7.9 5.5 Müşteri

Azure Kaynaklarınıza yönelik temel taramalar gerçekleştirmek için Azure Güvenlik Merkezi'ni kullanın. Ayrıca, Azure kaynak yapılandırmalarını uyarmak ve denetlemek için Azure İlkesi'ni kullanın.

7.10: İşletim sistemleri için otomatik yapılandırma izleme uygulama

Azure Kimliği CIS kimlikleri Sorumluluk
7.10 5.5 Müşteri

Kapsayıcılar için işletim sistemi ve Docker Ayarları için temel taramalar gerçekleştirmek için Azure Güvenlik Merkezi'ni kullanın.

7.11: Azure gizli verilerini güvenli bir şekilde yönetme

Azure Kimliği CIS kimlikleri Sorumluluk
7.11 13.1 Müşteri

Bulut uygulamalarınız için gizli dizi yönetimini basitleştirmek ve güvenli hale getirmek için Yönetilen Hizmet Kimliği'ni Azure Key Vault ile birlikte kullanın.

7.12: Kimlikleri güvenli ve otomatik olarak yönetme

Azure Kimliği CIS kimlikleri Sorumluluk
7.12 4.1 Müşteri

Azure HIZMETLERI'ne Azure AD'de otomatik olarak yönetilen bir kimlik sağlamak için Yönetilen Kimlikler'i kullanın. Yönetilen Kimlikler, kodunuzda hiçbir kimlik bilgisi olmadan Key Vault dahil olmak üzere Azure AD kimlik doğrulamasını destekleyen tüm hizmetlerde kimlik doğrulaması yapmanıza olanak tanır.

7.13: İstenmeyen kimlik bilgilerinin açığa çıkarılma durumunu ortadan kaldırın

Azure Kimliği CIS kimlikleri Sorumluluk
7.13 18.1, 18.7 Müşteri

Kod içerisindeki kimlik bilgilerini tanımlamak için Kimlik Bilgisi Tarayıcısı'nı kullanın. Kimlik Bilgisi Tarayıcısı ayrıca bulunan kimlik bilgilerinin Azure Key Vault gibi daha güvenli konumlara taşınmasını da teşvik eder.

Sonraki Adımlar