Aracılığıyla paylaş

Azure Stack HCI güvenlik konuları

  • Makale

Şunlar için geçerlidir: Azure Stack HCI, sürüm 22H2 ve 21H2; Windows Server 2022, Windows Server 2019

Önemli

Azure Stack HCI artık Azure Yerel'in bir parçasıdır. Ancak Azure Stack HCI'nin eski sürümleri, örneğin 22H2, Azure Stack HCI'ye başvurmaya devam eder ve ad değişikliğini yansıtmaz. Daha fazla bilgi edinin.

Bu makalede, Azure Stack HCI işletim sistemiyle ilgili güvenlik konuları ve öneriler sağlanır:

  • 1. Bölüm, işletim sistemini sağlamlaştırmaya ve kuruluşunuz için güvenli bir temel oluşturmak üzere verileri ve kimlikleri korumaya yönelik temel güvenlik araçlarını ve teknolojilerini kapsar.
  • Bölüm 2, Bulut için Microsoft Defender aracılığıyla sağlanan kaynakları kapsar. Bkz. Microsoft Defender Bulut için Giriş.
  • Bölüm 3, kuruluşunuzun bu alanlardaki güvenlik duruşunu daha da güçlendirmek için daha gelişmiş güvenlik konularını kapsar.

Güvenlikle ilgili önemli noktalar neden önemlidir?

Güvenlik, üst düzey yönetimden bilgi çalışanına kadar kuruluşunuzdaki herkesi etkiler. Güvenlik ihlali tüm normal işleri kesintiye uğratabileceği ve kuruluşunuzun durmasına neden olabileceğinden, yetersiz güvenlik kuruluşlar için gerçek bir risktir. Olası bir saldırıyı ne kadar erken algılayabilirseniz, güvenliğin ihlal edilmesini o kadar hızlı telafi edebilirsiniz.

Bir ortamın zayıf noktalarını araştırıp bunlardan yararlandıktan sonra, saldırgan genellikle ilk güvenliğin aşılmasından sonraki 24-48 saat içinde ağdaki sistemlerin denetimini alma ayrıcalıklarını yükseltebilir. İyi güvenlik önlemleri, saldırganın hareketlerini engelleyerek bir saldırganın saatlerden haftalara ve hatta aylara kadar denetimi alması için gereken süreyi uzatmak için ortamdaki sistemleri güçlendirir. Bu makaledeki güvenlik önerilerini uygulamak, kuruluşunuzu bu tür saldırıları mümkün olan en hızlı şekilde algılayıp yanıt verecek şekilde konumlandırabilir.

1. Bölüm: Güvenli bir temel oluşturma

Aşağıdaki bölümlerde, ortamınızda Azure Stack HCI işletim sistemini çalıştıran sunucular için güvenli bir temel oluşturmaya yönelik güvenlik araçları ve teknolojileri önerilir.

Ortamı sağlamlaştırma

Bu bölümde, işletim sisteminde çalışan hizmetlerin ve sanal makinelerin (VM) nasıl korunacakları açıklanır:

  • Azure Stack HCI sertifikalı donanım , tutarlı Güvenli Önyükleme, UEFI ve TPM ayarlarını kullanıma sunar. Sanallaştırma tabanlı güvenlik ve sertifikalı donanımların birleştirilmesi, güvenliğe duyarlı iş yüklerinin korunmasına yardımcı olur. Ayrıca, hızla değişen iş yüklerini ve tehditleri hesaba katan davranış analizini ve raporlamayı etkinleştirmek için bu güvenilen altyapıyı Bulut için Microsoft Defender bağlayabilirsiniz.

    • Güvenli önyükleme , bir cihazın yalnızca Orijinal Ekipman Üreticisi (OEM) tarafından güvenilen yazılımları kullanarak önyüklenmesini sağlamaya yardımcı olmak için bilgisayar sektörü tarafından geliştirilen bir güvenlik standardıdır. Daha fazla bilgi edinmek için bkz . Güvenli önyükleme.
    • Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI), sunucunun önyükleme işlemini denetler ve ardından denetimi Windows'a veya başka bir işletim sistemine geçirir. Daha fazla bilgi edinmek için UEFI üretici yazılımı gereksinimleri bölümüne bakın.
    • Güvenilir Platform Modülü (TPM) teknolojisi donanım tabanlı, güvenlikle ilgili işlevler sağlar. TPM yongası, şifreleme anahtarları oluşturan, depolayan ve kullanımını sınırlayan güvenli bir şifreleme işlemcisidir. Daha fazla bilgi edinmek için bkz . Güvenilen Platform Modülü Teknolojisine Genel Bakış.

    Azure Stack HCI sertifikalı donanım sağlayıcıları hakkında daha fazla bilgi edinmek için Bkz . Azure Stack HCI çözümleri web sitesi.

  • Güvenlik aracı, güvenlik yönetimini ve denetimini kolaylaştırmak için hem tek sunucu hem de Azure Stack HCI kümeleri için Windows Yönetim Merkezi'nde yerel olarak kullanılabilir. Araç, sistemlerin Güvenli çekirdek durumunu görüntüleme özelliği de dahil olmak üzere sunucular ve kümeler için bazı temel güvenlik ayarlarını merkezileştirir.

    Daha fazla bilgi edinmek için bkz . Güvenli çekirdek sunucu.

  • Device Guard ve Credential Guard. Device Guard, bilinen imzası olmayan, imzasız kod ve çekirdeğe erişim kazanarak gizli bilgileri yakalayan veya sisteme zarar veren kötü amaçlı yazılımlara karşı koruma sağlar. Windows Defender Credential Guard, gizli bilgileri yalnızca ayrıcalıklı sistem yazılımlarının erişebileceği şekilde yalıtmak amacıyla sanallaştırma tabanlı güvenlik kullanır.

    Daha fazla bilgi için Windows Defender Credential Guard'ı Yönetme sayfasına bakın ve Device Guard ve Credential Guard donanım hazırlık aracını indirin.

  • Windows ve üretici yazılımı güncelleştirmeleri, hem işletim sisteminin hem de sistem donanımının saldırganlardan korunmasına yardımcı olmak için kümeler, sunucular (konuk VM'ler dahil) ve bilgisayarlar için önemlidir. Güncelleştirmeleri tek tek sistemlere uygulamak için Windows Admin Center Güncelleştirmeleri aracını kullanabilirsiniz. Donanım sağlayıcınız sürücü, üretici yazılımı ve çözüm güncelleştirmelerini almak için Windows Yönetim Merkezi desteği içeriyorsa, bu güncelleştirmeleri Windows güncelleştirmeleri ile aynı anda alabilirsiniz; aksi takdirde, bunları doğrudan satıcınızdan alın.

    Daha fazla bilgi için bkz . Kümeyi güncelleştirme.

    Aynı anda birden çok küme ve sunucudaki güncelleştirmeleri yönetmek için, Windows Yönetim Merkezi ile tümleşik isteğe bağlı Azure Update Management hizmetine abone olun. Daha fazla bilgi için Windows Yönetim Merkezi'ni kullanarak Azure Güncelleme Yönetimi bölümüne bakın.

Veri koruma

Bu bölümde, işletim sistemindeki verileri ve iş yüklerini korumak için Windows Admin Center'ın nasıl kullanılacağı açıklanır:

  • Depolama Alanları için BitLocker, veri dinlenme halinde iken korur. BitLocker'ı kullanarak işletim sistemindeki Depolama Alanları veri birimlerinin içeriğini şifreleyebilirsiniz. Verileri korumak için BitLocker kullanmak, kuruluşların FIPS 140-2 ve HIPAA gibi kamu, bölgesel ve sektöre özgü standartlarla uyumlu kalmasına yardımcı olabilir.

    Windows Yönetim Merkezi'nde BitLocker kullanma hakkında daha fazla bilgi edinmek için bkz . Birim şifrelemesini, yinelenenleri kaldırmayı ve sıkıştırmayı etkinleştirme

  • Windows ağı için SMB şifrelemesi aktarımdaki verileri korur. Sunucu İleti Bloğu (SMB), bir bilgisayardaki uygulamaların dosyaları okuyup yazmasına ve bir bilgisayar ağındaki sunucu programlarından hizmet istemesine olanak tanıyan bir ağ dosya paylaşım protokolüdür.

    SMB şifrelemesini etkinleştirmek için bkz . SMB güvenlik geliştirmeleri.

  • Windows Defender Virüsten Koruma , istemci ve sunuculardaki işletim sistemini virüslere, kötü amaçlı yazılımlara, casus yazılımlara ve diğer tehditlere karşı korur. Daha fazla bilgi edinmek için bkz. Windows Server'da Microsoft Defender Virüsten Koruma.

Kimlikleri koruma

Bu bölümde, ayrıcalıklı kimlikleri korumak için Windows Admin Center'ın nasıl kullanılacağı açıklanır:

  • Erişim denetimi , yönetim ortamınızın güvenliğini artırabilir. Windows Admin Center sunucusu kullanıyorsanız (windows 10 bilgisayarda çalışan sunucuya karşı), Windows Admin Center'ın kendisine iki erişim düzeyi denetleyebilirsiniz: ağ geçidi kullanıcıları ve ağ geçidi yöneticileri. Ağ geçidi yöneticisi kimlik sağlayıcısı seçenekleri şunlardır:

    • Akıllı kart kimlik doğrulamasını zorunlu kılmak için Active Directory veya yerel makine grupları.
    • Koşullu erişimi ve çok faktörlü kimlik doğrulamasını zorunlu kılmak için Microsoft Entra Id.

    Daha fazla bilgi edinmek için bkz . Windows Yönetim Merkezi ile kullanıcı erişim seçenekleri ve Kullanıcı Erişim Denetimi ve İzinlerini Yapılandırma.

  • Windows Yönetim Merkezi'ne gelen tarayıcı trafiği HTTPS kullanır. Windows Yönetim Merkezi'nden yönetilen sunuculara gelen trafik, Windows Uzaktan Yönetimi (WinRM) üzerinden standart PowerShell ve Windows Yönetim Araçları(WMI) kullanır. Windows Yönetim Merkezi, Yerel Yönetici Parola Çözümü'nü (LAPS), kaynak tabanlı kısıtlı delege etmeyi, Active Directory (AD) veya Microsoft Entra ID kullanarak ağ geçidi erişim denetimini ve Windows Yönetim Merkezi ağ geçidini yönetmek için rol tabanlı erişim denetimini (RBAC) destekler.

    Windows Admin Center, Windows 10'da Microsoft Edge (Windows 10, sürüm 1709 veya üzeri), Google Chrome ve Microsoft Edge Insider'ı destekler. Windows Admin Center'ı bir Windows 10 bilgisayara veya Windows sunucusuna yükleyebilirsiniz.

    Windows Admin Center'ı bir sunucuya yüklerseniz, konak sunucusunda kullanıcı arabirimi olmadan ağ geçidi olarak çalışır. Bu senaryoda yöneticiler, konaktaki kendinden imzalı bir güvenlik sertifikasıyla güvenliği sağlanan bir HTTPS oturumu aracılığıyla sunucuya oturum açabilir. Ancak, desteklenen tarayıcılar güvenilir bir VPN üzerinden yerel bir IP adresine bağlantı olsa bile otomatik olarak imzalanan bir bağlantıyı güvenli olmayan olarak değerlendirdiğinden, oturum açma işlemi için güvenilir bir sertifika yetkilisinden uygun bir SSL sertifikası kullanmak daha iyidir.

    Kuruluşunuza yönelik yükleme seçenekleri hakkında daha fazla bilgi edinmek için bkz . Size uygun yükleme türü nedir?.

  • CredSSP, Windows Yönetim Merkezi'nin birkaç durumda kimlik bilgilerini yönetmek istediğiniz sunucunun ötesindeki makinelere geçirmek için kullandığı bir kimlik doğrulama sağlayıcısıdır. Windows Yönetim Merkezi şu anda CredSSP gerektirir:

    • Yeni bir küme oluşturun.
    • Yük Devretme Kümesi veya Kümeye Duyarlı Güncelleştirme özelliklerini kullanmak için Güncelleştirmeler aracına erişin.
    • VM'lerde ayrılmış SMB depolamayı yönetme.

    Daha fazla bilgi edinmek için bkz . Windows Admin Center CredSSP kullanıyor mu?

  • Windows Yönetim Merkezi'nde kimlikleri yönetmek ve korumak için kullanabileceğiniz güvenlik araçları Active Directory, Sertifikalar, Güvenlik Duvarı, Yerel Kullanıcılar ve Gruplar ve daha fazlasıdır.

    Daha fazla bilgi edinmek için bkz . Windows Yönetim Merkezi ile Sunucuları Yönetme.

Bölüm 2: Bulut için Microsoft Defender (MDC) kullanma

Bulut için Microsoft Defender, veri merkezlerinizin güvenlik duruşunu güçlendiren ve buluttaki ve şirket içindeki hibrit iş yükleriniz arasında gelişmiş tehdit koruması sağlayan birleşik bir altyapı güvenlik yönetim sistemidir. Bulut için Defender ağınızın güvenlik durumunu değerlendirmek, iş yüklerini korumak, güvenlik uyarıları oluşturmak ve saldırıları düzeltmek ve gelecekteki tehditleri gidermek için belirli önerileri takip etmek için araçlar sağlar. Bulut için Defender, Azure hizmetleriyle otomatik sağlama ve koruma yoluyla dağıtım yükü olmadan bu hizmetlerin tümünü bulutta yüksek hızda gerçekleştirir.

Bulut için Defender, log analytics aracısını bu kaynaklara yükleyerek hem Windows sunucuları hem de Linux sunucuları için VM'leri korur. Azure, aracıların topladığı olayları, iş yüklerinizin güvenliğini sağlamak için gerçekleştirdiğiniz öneriler (sağlamlaştırma görevleri) ile ilişkilendirir. Güvenlik en iyi yöntemlerini temel alan sağlamlaştırma görevleri, güvenlik ilkelerini yönetmeyi ve zorunlu kılmayı içerir. Daha sonra tüm kaynaklarınızdaki saldırı yüzeyini azaltırken Bulut için Defender izleme aracılığıyla sonuçları izleyebilir ve uyumluluk ve idareyi zaman içinde yönetebilirsiniz.

Azure kaynaklarınıza ve aboneliklerinize kimlerin erişebileceğini yönetmek, Azure yönetim stratejinizin önemli bir parçasını oluşturur. Azure RBAC, Azure'da erişimi yönetmenin birincil yöntemidir. Daha fazla bilgi edinmek için bkz . Rol tabanlı erişim denetimiyle Azure ortamınıza erişimi yönetme.

Windows Yönetim Merkezi aracılığıyla Bulut için Defender ile çalışmak için Bir Azure aboneliği gerekir. Başlamak için bkz. Windows Admin Center Kaynaklarını Bulut için Microsoft Defender ile koruma. Başlamak için bkz Sunucu Dağıtımınız için Defender'ı Planlayın. Sunucular için Defender'ın (sunucu planları) lisanslaması hakkında daha fazla bilgi için Sunucular için Defender Planı Seçme bölümüne bakın.

Kaydoldıktan sonra, Windows Yönetim Merkezi'nde MDC'ye erişin: Tüm Bağlantılar sayfasında, bir sunucu veya VM seçin, Araçlar'ın altında Bulut için Microsoft Defender'ı seçin ve ardından Azure'da oturum aç'ı seçin.

Daha fazla bilgi için bkz. Bulut için Microsoft Defender nedir?.

Bölüm 3: Gelişmiş güvenlik ekleme

Aşağıdaki bölümlerde, ortamınızda Azure Stack HCI işletim sistemini çalıştıran sunucuları daha da sağlamlaştırmak için gelişmiş güvenlik araçları ve teknolojileri önerilir.

Ortamı sağlamlaştırma

  • Microsoft güvenlik temelleri , Microsoft'un Savunma Bakanlığı gibi ticari kuruluşlar ve ABD hükümetiyle ortaklık yoluyla edindiği güvenlik önerilerine dayanır. Güvenlik temelleri Windows Güvenlik Duvarı, Windows Defender ve diğerleri için önerilen güvenlik ayarlarını içerir.

    Güvenlik temelleri, Active Directory Etki Alanı Hizmetleri'ne (AD DS) aktarabileceğiniz ve ardından ortamı sağlamlaştırmak için etki alanına katılmış sunuculara dağıtabileceğiniz Grup İlkesi Nesnesi (GPO) yedeklemeleri olarak sağlanır. Tek başına (etki alanına katılmamış) sunucuları güvenlik temelleriyle yapılandırmak için Yerel Komut Dosyası araçlarını da kullanabilirsiniz. Güvenlik temellerini kullanmaya başlamak için Microsoft Güvenlik Uyumluluğu Araç Seti 1.0'ı indirin.

    Daha fazla bilgi edinmek için bkz . Microsoft Güvenlik Temelleri.

Veri koruma

  • Hyper-V ortamını sağlamlaştırmak, aynı fiziksel sunucuda çalışan işletim sistemini güçlendirdiğiniz gibi vm üzerinde çalışan Windows Server'ın sağlamlaştırmasını gerektirir. Sanal ortamlarda genellikle aynı fiziksel konağı paylaşan birden çok VM olduğundan, hem fiziksel konağı hem de üzerinde çalışan VM'leri korumak zorunlu olur. Konağın güvenliğini tehlikeye atan bir saldırgan, birden çok VM'yi etkileyerek iş yükleri ve hizmetleri daha fazla etkileyebilir. Bu bölümde, Bir Hyper-V ortamında Windows Server'ı sağlamlaştırmak için kullanabileceğiniz aşağıdaki yöntemler açıklanmıştır:

    • Windows Server'daki Sanal Güvenilen Platform Modülü (vTPM), VM'lerde BitLocker gibi gelişmiş güvenlik teknolojilerini kullanmanıza olanak tanıyan VM'ler için TPM'yi destekler. Hyper-V Yöneticisi'ni veya Windows PowerShell cmdlet'ini kullanarak herhangi bir 2. Nesil Hyper-V VM'sinde Enable-VMTPM TPM desteğini etkinleştirebilirsiniz.

      Not

      vTPM'nin etkinleştirilmesi VM hareketliliğini etkiler: VM'nin başlangıçta vTPM'yi etkinleştirdiğiniz konaktan farklı bir Konakta başlatılmasını sağlamak için el ile eylemler gerekir.

      Daha fazla bilgi edinmek için bkz . Enable-VMTPM.

    • Azure Stack HCI ve Windows Server'da Yazılım Tanımlı Ağ (SDN), altyapınızdaki yazılım yük dengeleyici, veri merkezi güvenlik duvarı, ağ geçitleri ve sanal anahtarlar gibi sanal ağ cihazlarını merkezi olarak yapılandırıp yönetir. Hyper-V Sanal Anahtarı, Hyper-V Ağ Sanallaştırma ve RAS Ağ Geçidi gibi sanal ağ öğeleri, SDN altyapınızın ayrılmaz öğeleri olacak şekilde tasarlanmıştır.

      Daha fazla bilgi edinmek için bkz . Yazılım Tanımlı Ağ (SDN).

      Not

      Konak Koruyucu Hizmeti tarafından korunan korumalı VM'ler Azure Stack HCI'de desteklenmez.

Kimlikleri koruma

  • Yerel Yönetici Parola Çözümü (LAPS), her bilgisayarın yerel yönetici hesabı parolasını düzenli aralıklarla yeni rastgele ve benzersiz bir değere ayarlayan, Active Directory etki alanına katılmış sistemler için basit bir mekanizmadır. Parolalar, Active Directory'deki ilgili bilgisayar nesnesinde güvenli bir gizli öznitelikte depolanır ve burada yalnızca yetkili kullanıcılar bunları alabilir. LAPS, uzak bilgisayar yönetimi için yerel hesapları etki alanı hesaplarını kullanmaya göre bazı avantajlar sağlayacak şekilde kullanır. Daha fazla bilgi edinmek için bkz . Yerel Hesapların Uzaktan Kullanımı: LAPS Her Şeyi Değiştirir.

    LAPS'yi kullanmaya başlamak için Yerel Yönetici Parola Çözümü (LAPS) indirin.

  • Microsoft Advanced Threat Analytics (ATA), ayrıcalıklı kimliklerin güvenliğini aşmaya çalışan saldırganları algılamaya yardımcı olmak için kullanabileceğiniz bir şirket içi üründür. ATA kimlik doğrulaması, yetkilendirme ve Kerberos ve DNS gibi bilgi toplama protokolleri için ağ trafiğini ayrıştırıyor. ATA, anomalileri ve bilinen saldırı düzenlerini algılamak için verileri kullanarak ağ üzerindeki kullanıcıların ve diğer varlıkların davranış profillerini oluşturur.

    Daha fazla bilgi edinmek için bkz . Advanced Threat Analytics nedir?

  • Windows Defender Remote Credential Guard , Kerberos isteklerini bağlantıyı isteyen cihaza geri yönlendirerek Uzak Masaüstü bağlantısı üzerinden kimlik bilgilerini korur. Ayrıca Uzak Masaüstü oturumları için çoklu oturum açma (SSO) sağlar. Uzak Masaüstü oturumu sırasında hedef cihazın güvenliği ihlal edilse bile, hem kimlik bilgileriniz hem de kimlik bilgisi türevleriniz hiçbir zaman ağ üzerinden hedef cihaza geçirilmediği için kimlik bilgileriniz açığa çıkmaz.

    Daha fazla bilgi için bkz . Windows Defender Credential Guard'ı yönetme.

  • Kimlikler için Microsoft Defender, kullanıcı davranışlarını ve etkinliklerini izleyerek, saldırı yüzeyini azaltarak, karma ortamda Active Directory Federal Hizmeti'ni (AD FS) koruyarak ve siber saldırı sonlandırma zinciri genelinde şüpheli etkinlikleri ve gelişmiş saldırıları belirleyerek ayrıcalıklı kimlikleri korumanıza yardımcı olur.

    Daha fazla bilgi edinmek için bkz. Kimlik için Microsoft Defender nedir?.

Sonraki adımlar

Güvenlik ve mevzuat uyumluluğu hakkında daha fazla bilgi için bkz: