Geleneksel BT yöneticileri şirket için veri merkezleri ve bilgi işlem yönetimi konusunda oldukça fazla tecrübeleri bulunuyor. Sadece yönetim ve süreklilik konusunda değil güvenlik çözümlerinin de sağlanmasında bir o kadar iyiler ancak bulut sistemlerin hem yönetimi hem de güvenlik tasarımı, kullanılacak çözümleri büyük ölçüde farklılıklar göstermektedir. Bulut dağıtımlarınızın güvenli olup olmadığını nasıl anlarsınız? Şirket içi sistemler için kullandığınız güvenlik uygulamaları ile bulut dağıtımları arasındaki farklar nelerdir? İşte bu soruların cevaplarını sizler için bir makale serisinde anlatmaya çalışacağım ve Azure Security Benchmark‘ın ne olduğunu ve detaylarını bulabileceksiniz.
Azure Security Benchmark Nedir?
Azure Güvenlik Kıyaslaması (Azure Security Benchmark), Azure’da kullandığınız hizmetlerin çoğunun güvenliğini sağlamak için kullanabileceğiniz bir dizi yüksek etkili güvenlik önerileri içerir. Bu önerileri, çoğu Azure hizmeti için geçerli olduğu için “genel” veya “kuruluş” olarak düşünülebilir. Azure Security Benchmark önerileri daha sonra her Azure hizmeti için özelleştirilir ve bu özelleştirilmiş kılavuz hizmet önerileri makalelerinde bulunur.
Azure Güvenlik Benchmark belgeleri güvenlik denetimlerini ve hizmet önerilerini belirtir.
-
Güvenlik Denetimleri: Azure Güvenlik Benchmark önerileri güvenlik denetimleri tarafından kategorilere ayrılmıştır. Güvenlik kontrolleri, ağ güvenliği ve veri koruması gibi üretici düzeyinde agnostik güvenlik gereksinimlerini temsil eder. Her güvenlik denetiminde, bu önerileri uygulamanıza yardımcı olacak bir dizi güvenlik önerisi ve yönergeleri bulunur.
-
Hizmet Önerileri: Varsa, Azure hizmetleri için karşılaştırma önerileri, söz konusu hizmet için özel olarak hazırlanmış . Azure Security Benchmark önerilerini içerecektir.
“Control“, “Benchmark” ve “Baseline” terimleri Azure Security Benchmark belgelerinde sıklıkla kullanılır ve gelin bu terimlerin nasıl kullanıldığını anlayalım. (Sonraki yazılar için Azure’un bu terimleri nasıl kullandığını anlamanız önemlidir)
Terimler | Açıklama | Örnek |
Control – Denetim | Denetim, ele alınması gereken ve bir teknolojiye veya uygulamaya özgü olmayan bir özelliğin veya etkinliğin üst düzey bir açıklamasıdır. | Veri Koruma, güvenlik denetimlerinden biridir. Bu denetim, verilerin korunmasını sağlamak için ele alınması gereken belirli eylemler içerir. |
Benchmark – Karşılaştırma | Bir karşılaştırma, Azure gibi belirli bir teknoloji için güvenlik önerileri içerir. Öneriler ait oldukları kontrol tarafından kategorize edilir. | Azure Security Benchmark, Azure platformuna özgü güvenlik önerilerini içerir |
Baseline – Temel | Temel, bir kuruluşun güvenlik gereksinimleridir. Güvenlik gereksinimleri, kıyaslama önerilerine dayanmaktadır. Her kuruluş, temel çizgilerinde hangi kıyaslama önerilerinin ekleneceğine karar verir. | İlgili şirket, Azure Security Benchmark’ta belirli öneriler gerektirerek güvenlik temelini oluşturur. |
Azure Güvenlik Denetimlerine Genel Bakış
Azure Security Benchmark, Azure’daki uygulamalarınızın ve verilerinizin güvenliğini artırmanıza yardımcı olacak öneriler içermektedir.Bu Benchmark bulut merkezli kontrol alanlarına odaklanmaktadır ve bu denetimler, Internet Güvenlik Merkezi (Center for Internet Security – CIS) Denetimleri Sürüm 7.1 tarafından açıklananlar gibi iyi bilinen güvenlik ölçütleriyle tutarlıdır.
Azure Security Benchmark‘ta aşağıdaki denetimler kullanılır:
-
Identity and Access Control
-
Data Protection
-
Vulnerability Management
-
Inventory and Asset Management
-
Secure Configuration
-
Malware Defense
-
Data Recovery
-
Incident Response
-
Penetration Tests and Red Team Exercises
Aşağıda görümüş olduğunuz Azure Security Benchmark v1 excel tablosunu bu linkten indirebilirsiniz.
Azure Security Benchmark Önerileri:
Her öneri aşağıdaki bilgileri içerir:
Azure Kimliği – Azure ID: Öneriye karşılık gelen Azure Güvenlik Karşılaştırma Kimliği.
CIS ID (leri) – CIS IDs: Bu öneriye karşılık gelen CIS karşılaştırma önerileri.
Sorumluluk – Responsibility: Müşterinin veya hizmet sağlayıcısının (veya her ikisinin) bu öneriyi uygulamaktan sorumlu olup olmadığı. Güvenlik sorumlulukları genel bulutta paylaşılır. Bazı güvenlik denetimleri yalnızca bulut hizmeti sağlayıcısı tarafından kullanılabilir ve bu nedenle sağlayıcı bunlara hitap etmekten sorumludur. Bunlar genel gözlemlerdir – bazı bireysel hizmetler için sorumluluk Azure Güvenlik Kıyaslamasında listelenenden farklı olacaktır. Bu farklılıklar, bireysel hizmet için temel önerilerde açıklanmaktadır.
Ayrıntılar – Details: Tavsiye için gerekçe ve başvurunun nasıl uygulanacağı ile ilgili rehberlik bağlantıları. Öneri Azure Güvenlik Merkezi tarafından destekleniyorsa, bu bilgiler de listelenir.
Azure Security Benchmark makale serisinin ilkini böylelikle tamamlamış olduk, serinin ikinci yazısı Network Securiy üzerine olacak.
Bir sonraki Azure makalesinde görüşmek üzere.
Ka®a