Aracılığıyla paylaş

Bulut benimsemenizi güvenli bir şekilde gerçekleştirme

  • Makale

Içinde bulut varlığınızı uygularken ve iş yüklerini geçirirken, sağlam güvenlik mekanizmaları ve uygulamaları oluşturmak çok önemlidir. Bu yaklaşım, iş yüklerinizin başlangıçtan itibaren güvenli olmasını sağlar ve iş yükleri üretime geçtikten sonra güvenlik açıklarını giderme gereksinimini önler. İş yüklerinin tutarlı ve en iyi yöntemlere göre derlenmesini sağlamak için Benimseme aşamasında güvenliğin önceliğini belirleyin. Yerleşik güvenlik uygulamaları, iyi tasarlanmış ilkeler ve yordamlar aracılığıyla BT ekiplerini bulut operasyonlarına da hazırlar.

İş yüklerini buluta geçirirken veya tamamen yeni bir bulut varlığı oluştururken bu makaledeki yönergeleri uygulayabilirsiniz. Bulut Benimseme Çerçevesi Benimseme metodolojisi Geçiş, Modernleştirme, Yenilik Ve Yeniden Dağıtma senaryolarını içerir. Bulut yolculuğunuzun Benimseme aşamasında izlediğiniz yoldan bağımsız olarak, bulut varlığınızın temel öğelerini oluştururken ve iş yüklerini oluştururken veya geçirirken bu makaledeki önerileri göz önünde bulundurmanız önemlidir.

Bulut benimsemeye dahil olan yöntemleri gösteren diyagram. Diyagramda her aşama için kutular bulunur: ekipler ve roller, strateji, plan, hazır, benimseme, idare ve yönetme. Bu makalenin kutusu vurgulanmış.

Bu makale, Benimseme metodolojisi için destekleyici bir kılavuzdur. Yolculuğunuzda bu aşamada ilerlediğinizde göz önünde bulundurmanız gereken güvenlik iyileştirmesi alanları sağlar.

Güvenlik duruşu modernleştirme benimsemesi

Benimseme aşamasının bir parçası olarak güvenlik duruşunuzu modernleştirmeye çalışırken aşağıdaki önerileri göz önünde bulundurun:

  • Güvenlik temelleri: Geliştirme için net ve sağlam bir temel oluşturmak için kullanılabilirlik gereksinimlerini içeren güvenlik temellerini tanımlayın. Zaman kazanmak ve ortamlarınızı analiz etmede insan hatası riskini azaltmak için kullanıma açık bir güvenlik temeli çözümleme aracı kullanın.

  • Otomasyonu benimseyin: İnsan hatası riskini azaltmak ve tutarlılığı geliştirmek için rutin görevleri yönetmek için otomasyon araçlarını kullanın. Yük devretme ve kurtarma yordamlarını otomatikleştirebilen bulut hizmetlerinden yararlanın. Otomatikleştirmeyi düşünebilirsiniz görevler şunlardır:

    • Altyapı dağıtımları ve yönetimi
    • Yazılım geliştirme yaşam döngüsü etkinlikleri
    • Test Etme
    • İzleme ve uyarı
    • Ölçeklendirme

  • Erişim ve yetkilendirme denetimlerini Sıfır Güven: Yalnızca yetkili personelin kritik sistemlere ve verilere erişimi olduğundan emin olmak için güçlü erişim denetimleri ve kimlik yönetimi sistemleri uygulayın. Bu yaklaşım, hizmetleri kesintiye uğratabilecek kötü amaçlı etkinlikler riskini azaltır. Kesin olarak zorlanan rol tabanlı erişim denetimlerini (RBAC) standartlaştırabilir ve hizmet kullanılabilirliğini kesintiye uğratabilecek yetkisiz erişimi önlemek için çok faktörlü kimlik doğrulaması gerektirir. Daha fazla bilgi için bkz. Sıfır Güven ile kimlik güvenliğini sağlama.

Değişiklik yönetimi kurumsallaştırması

Etkin benimseme ve değişiklik yönetimi (ACM) metodolojileri, erişim denetimlerinin başarılı bir şekilde uygulanmasını ve kurumsallaştırılmasını sağlamak için çok önemlidir. En iyi yöntem ve yöntemlerden bazıları şunlardır:

  • Prosci ADKAR Modeli: Bu model, başarılı bir değişiklik için beş temel yapı bloğuna odaklanır. Bu bileşenler Farkındalık, İstek, Bilgi, Beceri ve Pekiştiricidir. Kuruluşlar, her bir öğeyi ele alarak çalışanların erişim denetimleri gereksinimini anlamasını, değişikliği desteklemeye, gerekli bilgi ve becerilere sahip olmalarını ve değişikliği sürdürmek için sürekli destek almalarını sağlayabilir.

  • Kotter'ın 8 Aşamalı Değişiklik Modeli: Bu modelde, önde gelen değişiklik için sekiz adım özetlenmiştir. Bu adımlar arasında aciliyet duygusu oluşturma, güçlü bir koalisyon oluşturma, vizyon ve strateji geliştirme, vizyonla iletişim kurma, geniş tabanlı eylem için çalışanları güçlendirme, kısa vadeli kazançlar oluşturma, kazançları birleştirme ve kültüre yeni yaklaşımlar ekleme sayılabilir. Kuruluşlar, bu adımları izleyerek erişim denetimlerinin benimsenmesini etkili bir şekilde yönetebilir.

  • Lewin'in Değişiklik Yönetimi Modeli: Bu modelin Çöz, Değiştir ve Yeniden Çöz olan üç aşaması vardır. Çözme aşamasında, kuruluşlar erişim denetimleri gereksinimini belirleyerek ve aciliyet duygusu oluşturarak değişikliğe hazırlanır. Değişiklik aşamasında yeni süreçler ve uygulamalar uygulanır. Yeniden çözme aşamasında, yeni uygulamalar sağlamlaştırılmış ve kuruluş kültürüne entegre edilmiştir.

  • Microsoft Benimseme ve değişiklik yönetimi çerçevesi: Bu çerçeve, başarı ölçütlerini tanımlayarak, paydaşlarla etkileşime geçerek ve kuruluşu hazırlayarak benimsemeyi ve değişikliği yönlendirmeye yönelik yapılandırılmış bir yaklaşım sağlar. Bu çerçeve ayrıca uygulamanın etkili olmasını sağlamak için başarıyı ölçer. Erişim denetimlerinin etkili bir şekilde benimsenmesini ve kurumsallaşmasını sağlamak için iletişim, eğitim ve desteğin önemini vurgular.

Kuruluşlar, bu ACM metodolojilerini ve en iyi uygulamaları ekleyerek erişim denetimlerinin çalışanlar tarafından uygulanmasını ve benimsenmesini sağlayabilir. Bu yaklaşım daha güvenli ve uyumlu bir kurumsal ortama neden olur.

Azure kolaylaştırma

  • Güvenlik temeli oluşturma: Microsoft Güvenli Puanı , iyileştirmeler için somut önerilerle temelleri oluşturmanıza yardımcı olabilir. Microsoft Defender XDR paketinin bir parçası olarak sağlanır ve birçok Microsoft ve Microsoft dışı ürünün güvenliğini analiz edebilir.

  • Altyapı dağıtım otomasyonu: Azure Resource Manager şablonları (ARM şablonları) ve Bicep , bildirim temelli söz dizimi kullanarak kod olarak altyapıyı (IaC) dağıtmak için Azure'a özel araçlardır. ARM şablonları JSON dilinde yazılırken, Bicep etki alanına özgü bir dildir. Hem Azure Pipelines hem de GitHub Actions sürekli tümleştirme ve sürekli teslim (CI/CD) işlem hatlarıyla kolayca tümleştirebilirsiniz.

    • Terraform , Azure'da tam olarak desteklenen bildirim temelli bir IaC aracıdır. Altyapıyı dağıtmak ve yönetmek için Terraform'u kullanabilir ve bunu CI/CD işlem hattınızla tümleştirebilirsiniz.

    • IaC'deki yanlış yapılandırmaları bulmak için Bulut için Microsoft Defender kullanabilirsiniz.

    • Azure Dağıtım Ortamları: Dağıtım Ortamları, geliştirme ekiplerinin proje tabanlı şablonları kullanarak hızlı bir şekilde tutarlı uygulama altyapısı oluşturmasını sağlar. Bu şablonlar kurulum süresini en aza indirir ve güvenlik, uyumluluk ve maliyet verimliliğini en üst düzeye çıkarır. Dağıtım ortamı, önceden tanımlanmış aboneliklerde dağıtılan Azure kaynaklarının bir koleksiyonudur. Geliştirme altyapısı yöneticileri kurumsal güvenlik ilkelerini zorunlu kılabilir ve önceden tanımlanmış bir dizi IaC şablonu sağlayabilir.

      Geliştirme altyapısı yöneticileri, dağıtım ortamlarını katalog öğeleri olarak tanımlar. Katalog öğeleri, katalog adı verilen bir GitHub veya Azure DevOps deposunda barındırılır. Katalog öğesi IaC şablonundan ve manifest.yml dosyasından oluşur.

      Dağıtım ortamlarının oluşturulması için betik oluşturabilir ve ortamları program aracılığıyla yönetebilirsiniz. İş yükü odaklı ayrıntılı yönergeler için bkz. Azure İyi Tasarlanmış Çerçeve'nin IaC yaklaşımı.

  • Rutin görev otomasyonu:

    • Azure İşlevleri: Azure İşlevleri, tercih ettiğiniz geliştirme dilini kullanarak görevleri otomatikleştirmek için kullanabileceğiniz sunucusuz bir araçtır. İşlevler, işlevlerinizi diğer hizmetlere bağlayan kapsamlı bir olay temelli tetikleyici ve bağlama kümesi sağlar. Ek kod yazmanız gerekmez.

    • Azure Otomasyonu: PowerShell ve Python, operasyonel görevleri otomatikleştirmeye yönelik popüler programlama dilleridir. Hizmetleri yeniden başlatma, günlükleri veri depoları arasında aktarma ve talebi karşılamak üzere altyapıyı ölçeklendirme gibi işlemleri gerçekleştirmek için bu dilleri kullanın. Bu işlemleri kodda ifade edebilir ve isteğe bağlı olarak çalıştırabilirsiniz. Tek tek, bu dillerin merkezi yönetim, sürüm denetimi veya çalıştırma geçmişini izleme platformu yok. Diller ayrıca izleme temelli uyarılar gibi olaylara yanıt vermek için yerel bir mekanizmaya sahip değildir. Bu özellikleri sağlamak için bir otomasyon platformuna ihtiyacınız vardır. Otomasyon , Azure ve Azure dışı sistemler dahil olmak üzere bulut ve şirket içi ortamlarda PowerShell ve Python kodunu barındırmak ve çalıştırmak için Azure tarafından barındırılan bir platform sağlar. PowerShell ve Python kodu bir Otomasyon runbook'unda depolanır. Otomasyonu şunlar için kullanın:

      • Runbook'ları isteğe bağlı olarak, zamanlamaya göre veya web kancası aracılığıyla tetikleme.

      • Çalıştırma geçmişi ve günlüğe kaydetme.

      • Gizli dizi depolarını tümleştirme.

      • Kaynak denetimini tümleştirin.

    • Azure Update Manager: Update Manager , sanal makinelerin güncelleştirmelerini yönetmek ve yönetmek için kullanabileceğiniz birleşik bir hizmettir. İş yükünüz genelinde Windows ve Linux güncelleştirme uyumluluğunu izleyebilirsiniz. Güncelleştirme Yöneticisi'ni kullanarak güncelleştirmeleri gerçek zamanlı olarak yükleyebilir veya tanımlı bir bakım penceresi içinde planlayabilirsiniz. Güncelleştirme Yöneticisi'ni kullanarak:

      • Tüm makine filonuzda uyumluluğu denetleyin.

      • Yinelenen güncelleştirmeleri zamanlayın.

      • Kritik güncelleştirmeleri dağıtın.

  • Azure Logic Apps ve Microsoft Power Automate: Onay akışları veya ChatOps tümleştirmeleri oluşturma gibi iş yükü görevlerini işlemek için özel dijital süreç otomasyonu (DPA) oluşturduğunuzda Logic Apps veya Power Automate kullanmayı göz önünde bulundurun. Yerleşik bağlayıcılardan ve şablonlardan iş akışları oluşturabilirsiniz. Logic Apps ve Power Automate aynı temel teknoloji üzerine kurulmuştur ve tetikleyici tabanlı veya zamana bağlı görevler için uygundur.

  • Otomatik ölçeklendirme: Birçok Azure teknolojisi yerleşik otomatik ölçeklendirme özelliklerine sahiptir. Ayrıca API'leri kullanarak diğer hizmetleri otomatik olarak ölçeklendirilecek şekilde programlayabilirsiniz. Daha fazla bilgi için bkz . Otomatik ölçeklendirme.

  • Azure İzleyici eylem grupları: Uyarı tetiklendiğinde otomatik olarak kendi kendini düzeltme işlemlerini çalıştırmak için Azure İzleyici eylem gruplarını kullanın. Runbook, Azure işlevi veya web kancası kullanarak bu işlemleri tanımlayabilirsiniz.

Olay hazırlığı ve yanıt benimseme

Güvenli ağ segmentasyonu ve iyi tasarlanmış abonelik ve kaynak düzenlemesi ile giriş bölgenizi veya diğer platform tasarımınızı oluşturduktan sonra, olaya hazırlık ve yanıta odaklanarak uygulamaya başlayabilirsiniz. Bu aşamada, olay yanıtı planınız da dahil olmak üzere hazırlık ve yanıt mekanizmalarınızı geliştirmek, bulut varlıklarınızın ve operasyonel uygulamalarınızın iş hedefleriyle uyumlu olmasını sağlar. Bu hizalama, verimliliği korumak ve stratejik hedeflere ulaşmak için çok önemlidir. Benimseme aşaması, olaya hazırlık ve yanıta iki açıdan yaklaşmalıdır. Bu perspektifler tehdit hazırlığı ve risk azaltma ile altyapı ve uygulama güvenliğidir.

Tehdit hazırlığı ve risk azaltma

  • Tehdit algılama: Tehditleri gerçek zamanlı olarak algılamak için gelişmiş izleme araçları ve uygulamaları uygulayın. Bu uygulama, olağan dışı etkinlikler için uyarı sistemleri ayarlamayı ve genişletilmiş algılama ve yanıt (XDR) ile güvenlik bilgileri ve olay yönetimi (SIEM) çözümlerini tümleştirmeyi içerir. Daha fazla bilgi için bkz. Sıfır Güven tehdit koruması ve XDR.

  • Güvenlik açığı yönetimi: Sistemlerin ve uygulamaların bilinen tehditlere karşı korunduğundan emin olmak için düzeltme eki yönetimi ve güvenlik güncelleştirmeleri aracılığıyla güvenlik açıklarını düzenli olarak belirleyin ve azaltın.

  • Olay yanıtı: Güvenlik olaylarını hızlı bir şekilde ele almak ve kurtarmak için algılama, analiz ve düzeltme adımlarını içeren bir olay yanıt planı geliştirin ve koruyun. İş yükü odaklı yönergeler için bkz . Güvenlik olayı yanıtı için öneriler. Bu etkinlikleri daha verimli ve insan hatasına daha az eğilimli hale getirmek için risk azaltma etkinliklerini mümkün olduğunca otomatikleştirin. Örneğin, bir SQL eklemesi algılarsanız, olayı içermesi için SQL'e tüm bağlantıları otomatik olarak kilitleyen bir runbook'nuz veya iş akışınız olabilir.

Altyapı ve uygulama güvenliği

  • Güvenli dağıtım işlem hatları: Uygulamaların güvenli bir şekilde geliştirildiğinden, test edildiğinden ve dağıtıldığından emin olmak için tümleşik güvenlik denetimleriyle CI/CD işlem hatları oluşturun. Bu çözüm statik kod analizini, güvenlik açığı taramayı ve uyumluluk denetimlerini içerir. Daha fazla bilgi için bkz. Sıfır Güven geliştirici kılavuzu.

  • IaC dağıtımları: Özel durum olmadan tüm altyapıyı kod aracılığıyla dağıtın. Bu standardı yöneterek yanlış yapılandırılmış altyapı ve yetkisiz dağıtım riskini azaltın. Tüm IaC varlıklarını uygulama kodu varlıklarıyla birlikte kullanın ve yazılım dağıtımlarıyla aynı güvenli dağıtım uygulamalarını uygulayın.

Azure kolaylaştırma

  • Tehdit algılama ve yanıt otomasyonu: Microsoft Defender XDR'de otomatik araştırma ve yanıt işleviyle tehdit algılama ve yanıt işlemini otomatikleştirin.

  • IaC dağıtım güvenliği: Azure kaynaklarını tek ve uyumlu bir birim olarak yönetmek için dağıtım yığınlarını kullanın. Reddetme ayarlarını kullanarak kullanıcıların yetkisiz değişiklikler yapmasını engelleyin.

Gizlilik ilkesini benimseyin

CIA Triad gizlilik ilkesini benimsemeye yönelik ayrıntılı strateji ve uygulama planı hazır olduktan sonra, bir sonraki adım ACM'ye odaklanmaktır. Bu adım, şifreleme ve güvenli erişim denetimlerinin kurumsal bulut ortamında etkili bir şekilde uygulanmasını ve kurumsallaşmasını sağlamayı içerir. Benimseme aşamasında, aktarımdaki hassas verileri ve bekleyen verileri korumak için veri kaybı önleme (DLP) ölçümleri uygulanır. Uygulama, şifreleme çözümleri dağıtmayı, erişim denetimlerini yapılandırmayı ve tüm çalışanları veri gizliliği ve DLP ilkelerine bağlılığın önemi konusunda eğitmektir.

Şifreleme ve güvenli erişim denetimleri uygulama

Hassas bilgileri yetkisiz erişimden korumak için güçlü şifreleme ve güvenli erişim denetimleri uygulamanız çok önemlidir. Şifreleme, verilerin yetkisiz kullanıcılar tarafından okunamamasını sağlarken, erişim denetimleri belirli verilere ve kaynaklara kimlerin erişebileceğini düzenler. Dağıttığınız bulut hizmetlerinin şifreleme özelliklerini anlayın ve iş gereksinimlerinizi karşılamak için uygun şifreleme mekanizmalarını etkinleştirin.

İlişkili standartları birleştirme ve benimseme

Şifreleme ve erişim denetimlerinin tutarlı bir şekilde uygulanmasını sağlamak için ilişkili standartları geliştirmek ve benimsemek çok önemlidir. Kuruluşlar, şifreleme ve erişim denetimlerini kullanmak için açık yönergeler ve en iyi yöntemler oluşturmalı ve bu standartların tüm çalışanlara iletildiğinden emin olmalıdır. Örneğin, bir standart tüm hassas verilerin AES-256 şifrelemesi kullanılarak şifrelenmesini ve bu verilere erişimin yalnızca yetkili personelle kısıtlanması gerektiğini belirtebilir. Kuruluşlar, bu standartları ilkelerine ve yordamlarına ekleyerek kuruluş genelinde şifreleme ve erişim denetimlerinin tutarlı bir şekilde uygulanmasını sağlayabilir. Düzenli eğitim ve destek sağlamak, bu uygulamaları çalışanlar arasında daha da pekiştirir. Diğer örnekler şunlardır:

  • Güçlü şifreleme: Mümkün olduğunda veri depolarında şifrelemeyi etkinleştirin ve kendi anahtarlarınızı yönetmeyi göz önünde bulundurun. Bulut sağlayıcınız, veri deponuzun barındırılıyor olduğu depolama alanı için bekleyen şifrelemeyi sunabilir ve Azure SQL Veritabanı saydam veri şifrelemesi gibi veritabanı şifrelemesini etkinleştirme seçeneği sunabilir. Mümkün olduğunda ek şifreleme katmanını uygulayın.

  • Erişim denetimleri: Tüm veri depolarına RBAC, koşullu erişim denetimleri, tam zamanında erişim ve yeterli erişim uygulayın. İzinleri düzenli olarak gözden geçirme uygulamasını standartlaştırın. Yapılandırma sistemlerine yazma erişimini kısıtlayın. Bu, yalnızca belirlenen bir otomasyon hesabı aracılığıyla değişikliklere izin verir. Bu hesap, genellikle Azure Pipelines'ın bir parçası olarak kapsamlı inceleme işlemlerinden sonra değişiklikler uygular.

  • Standartları benimseme: Kuruluş, hassas bilgiler içeren tüm e-postaların Microsoft Purview Bilgi Koruması kullanılarak şifrelenmesini gerektiren bir standart geliştirebilir. Bu gereksinim, hassas verilerin iletim sırasında korunmasını ve yalnızca yetkili alıcılar tarafından erişilebilir olmasını sağlar.

Azure kolaylaştırma

  • SIEM ve SOAR çözümleri: Microsoft Sentinel , SIEM ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) için akıllı ve kapsamlı bir çözüm sunan ölçeklenebilir, bulutta yerel bir SIEM'dir. Microsoft Sentinel, kuruluşunuza üst düzey bir genel bakışla tehdit algılama, araştırma, yanıt ve proaktif avcılık sağlar.

  • Azure şifrelemesi: Azure, Azure SQL Veritabanı, Azure Cosmos DB ve Azure Data Lake gibi hizmetler için şifreleme sağlar. Desteklenen şifreleme modelleri arasında hizmet tarafından yönetilen anahtarlarla sunucu tarafı şifreleme, Azure Key Vault'ta müşteri tarafından yönetilen anahtarlar ve müşteri tarafından denetlenen donanımlarda müşteri tarafından yönetilen anahtarlar bulunur. İstemci tarafı şifreleme modelleri, bir uygulama Azure'a gönderilmeden önce veri şifrelemesini destekler. Daha fazla bilgi için bkz . Azure şifrelemeye genel bakış.

  • Erişim denetimi yönetimi: Eski adıyla Azure Active Directory olan Microsoft Entra ID, kapsamlı kimlik ve erişim yönetimi özellikleri sağlar. Yalnızca yetkili kullanıcıların hassas verilere erişebildiğinden emin olmak için çok faktörlü kimlik doğrulamasını, koşullu erişim ilkelerini ve çoklu oturum açmayı destekler.

    • Microsoft Entra Kimlik Koruması, oturum açma risklerini ve erişimi engellemek, sınamak, sınırlamak veya vermek için olağan dışı kullanıcı davranışlarını belirlemek için gelişmiş makine öğrenmesi kullanır. Kimlik güvenliğinin aşılmasını önlemeye yardımcı olur, kimlik bilgisi hırsızlığına karşı koruma sağlar ve kimlik güvenliği duruşunuzla ilgili içgörüler sağlar.

    • Kimlik için Microsoft Defender, kuruluşunuz genelinde kimlik izlemenizin güvenliğini sağlamanıza yardımcı olan bulut tabanlı bir güvenlik kimliği tehdit algılama çözümüdür. Otomatik tehdit algılama ve yanıt mekanizmaları aracılığıyla kuruluşunuza yönelik gelişmiş tehditleri daha iyi tanımlamanıza, algılamanıza ve araştırmanıza yardımcı olabilir.

  • Azure gizli bilgi işlem: Bu hizmet, işlenirken verileri korur. Kullanımdaki verileri yalıtmak ve korumak için donanım tabanlı güvenilir yürütme ortamlarını kullanır ve bulut yöneticilerinin bile verilere erişememesini sağlar.

Bütünlük ilkesini benimseyin

Benimseme aşamasında planlama ve tasarımlar gerçek dünya uygulamalarına dönüştürülmektedir. Veri ve sistem bütünlüğünü sağlamak için sistemlerinizi önceki aşamalarda geliştirdiğiniz standartlara göre oluşturun. Ayrıca ilgili protokoller ve yordamlar üzerinde mühendisleri, yöneticileri ve operatörleri eğitin.

Veri bütünlüğünü benimseme

  • Veri sınıflandırması: Mümkün olduğunda otomasyon aracılığıyla ve gerektiğinde el ile veri sınıflandırma çerçevenizi uygulayın. Veri sınıflandırmanızı otomatikleştirmek ve hassas bilgileri tanımlamak için kullanıma açık araçları kullanın. Doğru sınıflandırmayı sağlamak için belgeleri ve kapsayıcıları el ile etiketle. Duyarlılık oluşturmak için bilgili kullanıcıların uzmanlığından yararlanarak analiz için veri kümeleri oluşturun.

  • Veri doğrulama ve doğrulama: Dağıttığınız hizmetlerdeki yerleşik doğrulama ve doğrulama işlevinden yararlanın. Örneğin Azure Data Factory, verileri bir kaynaktan hedef depoya taşıdığınızda veri tutarlılığını doğrulamaya yönelik yerleşik işlevlere sahiptir. Aşağıdaki gibi uygulamaları benimsemeyi göz önünde bulundurun:

    • Verilerin aktarım sırasında bozulmadığından emin olmak için SQL'de CHECKSUM ve BINARY_CHECKSUM işlevlerini kullanma.

    • Karmaları tablolarda depolama ve son değiştirme tarihi değiştiğinde karmaları değiştiren alt yordamlar oluşturma.

  • İzleme ve uyarı: İncelemelere yardımcı olmak için ayrıntılı değişiklik geçmişi bilgileriyle veri depolarınızı değişiklikler için izleyin. Uygun görünürlüğe sahip olduğunuzdan ve veri bütünlüğünü etkileyebilecek olaylar varsa verimli eylemler gerçekleştirebileceğinizden emin olmak için uyarıyı yapılandırın.

  • Yedekleme ilkeleri: Tüm uygun sistemlere yedekleme ilkeleri uygulayın. Hizmet olarak platform ve hizmet olarak yazılım hizmetlerinin yedekleme özelliklerini anlama. Örneğin, Azure SQL Veritabanı otomatik yedeklemeleri içerir ve bekletme ilkesini gerektiği gibi yapılandırabilirsiniz.

  • Tasarım standartlarını paylaşma: Kuruluş genelinde veri bütünlüğü mekanizmalarını içeren uygulama tasarım standartlarını yayımlayın ve paylaşın. Tasarım standartları, yapılandırmayı ve veri değişikliklerini uygulama düzeyinde yerel olarak izleme ve bu geçmişi veri şemasına kaydetme gibi işlev dışı gereksinimleri içermelidir. Bu yaklaşım, veri şemasının veri deposunun bir parçası olarak veri geçmişi ve yapılandırma geçmişi hakkındaki ayrıntıları ve bütünlük izlemenizi güçlendirmek için standart günlüğe kaydetme mekanizmalarını tutmasını zorunlu tutar.

Sistem bütünlüğünü benimseme

  • Güvenlik izleme: Tüm kaynakları bulut varlığınıza otomatik olarak kaydetmek ve olaylar oluştuğunda uyarının etkinleştirildiğinden ve uygun ekiplere bildirecek şekilde yapılandırıldığından emin olmak için sağlam bir izleme çözümü kullanın.

  • Otomatik yapılandırma yönetimi: Yeni sistemleri otomatik olarak kaydeden ve yapılandırmalarınızı sürekli olarak yöneten bir yapılandırma yönetim sistemi dağıtın ve yapılandırın.

  • Otomatik düzeltme eki yönetimi: Yeni sistemleri otomatik olarak kaydeden ve ilkelerinize göre düzeltme eki uygulamayı yöneten bir düzeltme eki yönetim sistemi dağıtın ve yapılandırın. Bulut platformunuza yerel araçları tercih edin.

Azure kolaylaştırma

  • Veri sınıflandırma ve etiketleme: Microsoft Purview , kuruluşunuzun nerede olursa olsun verileri yönetmesine, korumasına ve yönetmesine yardımcı olabilecek sağlam bir çözüm kümesidir. El ile ve otomatik veri sınıflandırması ve duyarlılık etiketlemesi sunar.

  • Yapılandırma yönetimi: Azure Arc , bulut tabanlı ve şirket içi sistemlerin yapılandırmalarını yönetmek için kullanabileceğiniz merkezi ve birleşik bir altyapı idaresi ve yönetim platformudur. Azure Arc'ı kullanarak güvenlik temellerinizi Azure İlkesi, Bulut için Defender ilkelerinizden ve Güvenli Puan değerlendirmelerinden genişletebilir ve tüm kaynaklarınızı tek bir yerde günlüğe kaydedebilir ve izleyebilirsiniz.

  • Düzeltme eki yönetimi: Azure Update Manager , Windows ve Linux makineleri için Azure, şirket içi ve çoklu bulut ortamları için kullanabileceğiniz birleşik bir güncelleştirme yönetimi çözümüdür. Azure İlkesi ve Azure Arc ile yönetilen makineler için yerleşik desteğe sahiptir.

Kullanılabilirlik ilkesini benimseme

Dayanıklı tasarım desenleri tanımlandıktan sonra kuruluşunuz benimseme aşamasına geçebilir. İş yükü kullanılabilirliği hakkında ayrıntılı yönergeler için İyi Tasarlanmış Çerçevenin Güvenilirlik sütununa ve Azure güvenilirliği belgelerine bakın. Bulut benimseme bağlamında, kullanılabilirliği destekleyen operasyonel uygulamaları oluşturma ve birleştirmeye odaklanılır.

Kullanılabilirliği desteklemek için operasyonel uygulamalar oluşturma

Yüksek oranda kullanılabilir bir bulut varlığını korumak için bulut sistemlerini çalıştıran ekiplerin standartlaştırılmış ve olgun uygulamalara uyması gerekir. Bu uygulamalar şunları içermelidir:

  • Operasyonel süreklilik: Kuruluşlar, saldırı koşullarında bile sürekli operasyon planlamalıdır. Bu yaklaşım, hızlı kurtarma için süreçler oluşturmayı ve tam kurtarma mümkün olana kadar kritik hizmetleri düşük düzeyde korumayı içerir.

  • Sağlam ve sürekli gözlemlenebilirlik: Bir kuruluşun güvenlik olaylarını gerçekleştiği anda algılama özelliği, olay yanıtı planlarını hızlı bir şekilde başlatmasına olanak tanır. Bu strateji, iş etkilerini mümkün olduğunca en aza indirmeye yardımcı olur. Olay algılama yalnızca tehdit algılama için en iyi yöntemleri izleyen iyi tasarlanmış bir izleme ve uyarı sistemiyle mümkündür. Daha fazla bilgi için gözlemlenebilirlik kılavuzuna ve Güvenlik izleme ve tehdit algılama kılavuzuna bakın.

  • Proaktif bakım: İlkeler aracılığıyla sistem güncelleştirmelerini standart hale getirme ve zorunlu kılma. Hizmetleri kesintiye uğratmadan sistemlere güncelleştirmeleri ve düzeltme eklerini uygulamak için düzenli bakım pencereleri zamanlayın. Tüm bileşenlerin en iyi şekilde çalıştığından emin olmak için düzenli sistem durumu denetimleri ve bakım etkinlikleri gerçekleştirin.

  • Standartlaştırılmış idare ilkeleri: Araç destekli ilkeler aracılığıyla tüm güvenlik standartlarını zorunlu kılma. Tüm sistemlerinizin varsayılan olarak iş gereksinimlerinizle uyumlu olduğundan ve ilkelerinizin kolayca denetlenebilir olduğundan emin olmak için bir ilke yönetim aracı kullanın.

  • Olağanüstü durum kurtarma hazırlığı: Olağanüstü durum oluştuğunda kurtarılabilir olduklarından emin olmak için iş yükleriniz için olağanüstü durum kurtarma planları geliştirin ve düzenli olarak test edin. Daha fazla bilgi için bkz . Olağanüstü durum kurtarma. Kurtarma etkinliklerini mümkün olduğunca otomatikleştirin. Örneğin, Azure SQL Veritabanı gibi hizmetlerde otomatik yük devretme özelliklerini kullanın.

  • Hizmet düzeyi sözleşmeleri: Bulut platformunuzun hizmetleri için sağladığı hizmet düzeyi sözleşmeleri (SLA) iş yüklerinizin bileşenleri için garantili çalışma süresini anlamanıza yardımcı olur. Bu SLA'ları temel olarak kullanarak müşterilerinize sağladığınız SLA'lar için kendi hedef ölçümlerinizi geliştirin. Microsoft, tüm bulut hizmetleri için SLA'ları çevrimiçi hizmetler için SLA'larda yayımlar.

  • Uyumluluk gereksinimleri: Sistemlerin kullanılabilirlikle ilgili standartlar da dahil olmak üzere yüksek standartlarda tasarlanıp korundığından emin olmak için Genel Veri Koruma Yönetmeliği (GDPR) ve HIPAA gibi düzenlemelere uyun. Uyumsuzluk, iş operasyonlarını kesintiye uğratabilecek yasal eylemlere ve para cezalarına neden olabilir. Uyumluluk genellikle sistem yapılandırmasıyla sınırlı değildir. Uyumluluk çerçevelerinin çoğu risk yönetimi ve olay yanıtı standartlarını da gerektirir. operasyonel standartlarınızın çerçeve gereksinimlerini karşıladığından ve personelin düzenli olarak eğitildiğinden emin olun.

Azure kolaylaştırma

İlke ve uyumluluk yönetimi:

  • Azure İlkesi, kuruluş standartlarını zorunlu kılmaya ve uygun ölçekte uyumluluğu değerlendirmeye yardımcı olan bir ilke yönetimi çözümüdür. Birçok Azure hizmeti için ilke zorlamayı otomatikleştirmek için yerleşik ilke tanımlarından yararlanın.

  • Bulut için Defender, güvenlik standartlarınız ile uyumluluğu otomatikleştirebilen güvenlik ilkeleri sağlar.

  • operasyonel süreklilik ve olağanüstü durum kurtarma: Birçok Azure hizmeti, işletimsel süreklilik ve olağanüstü durum kurtarma planlarınıza dahil edebilirsiniz yerleşik kurtarma özelliklerine sahiptir. Daha fazla bilgi için bkz . Azure hizmetleri güvenilirlik kılavuzları.

Güvenlik sürdürülebilirliğini benimseme

Bulut benimsemenizin bir parçası olarak uygulamaya koyduğunuz güvenlik mekanizmalarının ve uygulamalarının yolculuğunuza devam ederken sürdürülebilir ve sürekli olarak geliştirilebileceğinden emin olmanıza yardımcı olmak için aşağıdaki önerileri göz önünde bulundurun:

  • Bir güvenlik gözden geçirme panosu oluşturun: Projeleri sürekli gözden geçirip güvenlik denetimlerini zorunlu hale getiren bir güvenlik gözden geçirme panosu oluşturun. İyileştirme alanlarını bulmak için süreçlerinizi düzenli olarak gözden geçirin. Güvenliğin herkes için her zaman en üst sırada olmasını sağlamak için süreçler geliştirin.

  • güvenlik açığı yönetimi çözümü uygulama: Güvenlik açığı risk puanını izlemek için güvenlik açığı yönetimi bir çözüm kullanın ve riski en aza indirmek için en yüksek risk puanına göre hareket etmek üzere tanımlanmış bir süreç oluşturun. En son yaygın güvenlik açıklarını ve maruz kalma risklerini izleyin. Düzeltme için bu azaltmaları düzenli olarak uygulamak için bir ilkeniz var.

  • Üretim altyapısını sağlamlaştırma: Altyapınızı sağlamlaştırarak bulut varlığınızın güvenliğini sağlayın. Altyapınızı endüstrinin en iyi uygulamalarına göre sağlamlaştırmak için İnternet Güvenliği Merkezi (CIS) karşılaştırmaları gibi karşılaştırma kılavuzlarını izleyin.

  • MITRE ATT&CK bilgi bankası kullanın: Yaygın gerçek dünya saldırı taktikleri ve teknikleri için tehdit modelleri ve metodolojileri geliştirmeye yardımcı olmak için MITRE ATT&CK bilgi bankası kullanın.

  • Sola kaydırma: Üretim öncesi ve üretim için farklı erişim düzeylerine sahip ayrılmış ortamlar kullanın. Bu yaklaşım, geliştirmenin tüm aşamalarına güvenlik endişeleri ekleyen ve daha düşük ortamlarda esneklik sağlayan sola kaydırmanıza yardımcı olur.

Azure kolaylaştırma

Güvenlik açığı yönetimi: Microsoft Defender Güvenlik Açığı Yönetimi, en kritik varlıklarınızdaki en büyük güvenlik açıklarınızı tek bir çözümde tanımlamak, değerlendirmek, düzeltmek ve izlemek için kullanabileceğiniz kapsamlı bir risk tabanlı güvenlik açığı yönetimi çözümüdür.

Sonraki adım

Bulut varlığınızı güvenli bir şekilde yönetme