Aracılığıyla paylaş

Bulut varlığınızı güvenli bir şekilde yönetme

  • Makale

Güvenlik idaresi, iş önceliklerinizi mimari, standartlar ve ilkeler gibi teknik uygulamalara bağlar. İdare ekipleri, zaman içinde güvenlik duruşunu sürdürmek ve iyileştirmek için gözetim ve izleme sağlar. Bu ekipler, mevzuat kurumlarının gerektirdiği uyumluluğu da rapor eder.

Risk yönetimi, uyumluluk, ilke uygulama ve sürekli izleme gibi güvenlik idaresinin temel bileşenlerini gösteren diyagram.

İş hedefleri ve risk , güvenlik için en etkili yönergeleri sağlar. Bu yaklaşım, güvenlik çalışmalarının kuruluşun temel önceliklerine odaklanmasını sağlar. Buna ek olarak, risk yönetimi çerçevesi içindeki tanıdık dili ve süreçleri kullanarak risk sahiplerine yardımcı olur.

Bulut benimsemeye dahil olan yöntemleri gösteren diyagram. Diyagramda her aşama için kutular bulunur: ekipler ve roller, strateji, plan, hazır, benimseme, idare ve yönetme. Bu makalenin kutusu vurgulanmış.

Bu makale, İdare metodolojisi için destekleyici bir kılavuzdur. Yolculuğunuzda bu aşamada ilerlediğinizde göz önünde bulundurmanız gereken güvenlik iyileştirme alanları sağlar.

Güvenlik duruşu modernleştirmesi

Yalnızca sorun raporlamayı kullanmak, güvenlik duruşunuzu korumak için etkili bir strateji değildir. Bulut çağında idare, diğer ekiplerle sürekli işbirliği yapan etkin bir yaklaşım gerektirir. Güvenlik duruşu yönetimi, gelişmekte olan ve temel bir işlevdir. Bu rol, çevresel güvenlikle ilgili kritik soruyu ele alır. güvenlik açığı yönetimi ve güvenlik uyumluluğu raporlaması gibi önemli alanları kapsar.

Şirket içi ortamda güvenlik idaresi, ortam hakkında kullanılabilen düzenli verilere dayanır. Bu yaklaşım genellikle güncel olmayan bilgilere neden olur. Bulut teknolojisi, geçerli güvenlik duruşu ve varlık kapsamı hakkında isteğe bağlı görünürlük sağlayarak bu süreçte devrim oluşturur. Bu gerçek zamanlı içgörü, idareyi daha dinamik bir kuruluşa dönüştürür. Güvenlik standartlarını izlemek, rehberlik sağlamak ve süreçleri geliştirmek için diğer güvenlik ekipleriyle daha yakın işbirliği sağlar.

İdeal durumunda idare, kuruluş genelinde sürekli iyileştirmeyi destekler. Bu devam eden süreç, sürekli güvenlik ilerlemeleri sağlamak için kuruluşun tüm bölümlerini devreye alır.

Güvenlik idaresi için temel ilkeler şunlardır:

  • Varlıkların ve varlık türlerinin sürekli bulunması: Dinamik bir bulut ortamında statik envanter mümkün değildir. Kuruluşunuzun varlıkların ve varlık türlerinin sürekli bulunmasına odaklanması gerekir. Bulutta düzenli olarak yeni hizmet türleri eklenir. İş yükü sahipleri, uygulama ve hizmet örneklerinin sayısını gerektiği gibi dinamik olarak ayarlar ve bu da sürekli değişen bir ortam oluşturur. Bu durum envanter yönetimini sürekli gelişen bir disiplin haline getirir. İdare ekiplerinin bu değişiklik hızına ayak uydurmak için varlık türlerini ve örneklerini sürekli olarak tanımlaması gerekir.

  • Varlık güvenliği duruşunun sürekli iyileştirilmesi: İdare ekipleri, buluta ve saldırganlara ayak uydurmak için standartları geliştirmeye ve zorlamaya odaklanmalıdır. Bilgi teknolojisi (BT) kuruluşları yeni tehditlere hızlı bir şekilde tepki vermeli ve buna göre uyum sağlamalıdır. Saldırganlar tekniklerini sürekli geliştirirken, savunmalar sürekli olarak iyileşir ve güncelleştirilmeleri gerekebilir. İlk kurulumda her zaman tüm gerekli güvenlik önlemlerini ekleyemezsiniz.

  • İlke temelli idare: İlkeleri bir kez tanımlayıp kaynaklar arasında otomatik olarak uyguladığınız için bu idare tutarlı bir uygulama sağlar. Bu işlem, yinelenen el ile gerçekleştirilen görevlerde boşa harcanan zamanı ve çabayı sınırlar. Genellikle Azure İlkesi veya Microsoft dışı ilke otomasyon çerçeveleri kullanılarak uygulanır.

Çevikliği korumak için en iyi yöntemler kılavuzu genellikle yinelemeli olur. Resmin tamamını oluşturmak ve sürekli olarak küçük ayarlamalar yapmak için birden çok kaynaktan alınan küçük bilgileri özetler.

Azure kolaylaştırma

  • Bulut için Microsoft Defender, otomatik veri toplama sağlama yoluyla ortamınızdaki sanal makineleri sürekli bulmanıza ve otomatik olarak yönetmenize yardımcı olabilir.

  • Bulut için Microsoft Defender uygulamalar, ortamlarınızda kullanılan birinci taraf ve Microsoft dışı bir hizmet olarak yazılım uygulamalarını sürekli keşfetmenize ve yönetmenize yardımcı olabilir.

Olay hazırlığı ve yanıtı

Güvenlik idaresi, hazırlığınızı korumak için kritik öneme sahiptir. Standartları sıkı bir şekilde uygulamak için sağlam idare mekanizmaları ve uygulamaları, hazırlık ve yanıt mekanizmalarının ve operasyonel uygulamaların uygulanmasını desteklemelidir. Olay hazırlığı ve yanıt standartlarını yönetmeye yardımcı olmak için aşağıdaki önerileri göz önünde bulundurun:

Olay hazırlığı idaresi

  • İdareyi otomatikleştirme: İdareyi mümkün olduğunca otomatikleştirmek için araçları kullanın. Altyapı dağıtımları için ilkeleri yönetmek, sağlamlaştırma önlemleri uygulamak, verileri korumak ve kimlik ve erişim yönetimi standartlarını korumak için araçları kullanabilirsiniz. Bu güvenlik önlemlerinin idaresini otomatikleştirerek ortamınızdaki tüm kaynakların kendi güvenlik standartlarınız ve işletmeniz için gerekli olan tüm uyumluluk çerçeveleriyle uyumlu olduğundan emin olabilirsiniz. Daha fazla bilgi için bkz . Bulut idare ilkelerini zorunlu kılma.

  • Microsoft'un güvenlik temellerine uyma: Bulut varlığınızdaki hizmetler için Microsoft'un güvenlik temelleri olarak sunulan güvenlik önerilerini anlayın. Bu temeller, mevcut dağıtımlarınızın düzgün bir şekilde güvenli hale getirildiğinden ve yeni dağıtımların başlangıçtan doğru yapılandırıldığından emin olmanıza yardımcı olabilir. Bu yaklaşım yanlış yapılandırma riskini azaltır.

Olay yanıtı idaresi

  • Olay yanıt planının idaresi: Olay yanıtı planı, varlığınızdaki diğer kritik belgelerle aynı özenle korunmalıdır. Olay yanıtı planınız şu şekilde olmalıdır:

    • Ekiplerin en son sürümde çalıştığından ve sürüm oluşturmanın denetlenediğinden emin olmak için sürüm denetlendi.

    • Yüksek oranda kullanılabilir ve güvenli depolama alanında depolanır.

    • Düzenli olarak gözden geçirilir ve ortamda yapılan değişiklikler gerektiğinde güncelleştirilir.

  • Olay yanıtı eğitiminin idaresi: Güvenlik olayı yanıtına yönelik eğitim malzemeleri denetlenebilirlik ve en son sürümün herhangi bir zamanda kullanıldığından emin olmak için sürüm denetiminden geçirilmelidir. Ayrıca düzenli olarak gözden geçirilmeli ve olay yanıt planında güncelleştirmeler yapıldığında güncelleştirilmelidir.

Azure kolaylaştırma

  • Azure İlkesi, kuruluş standartlarını zorunlu kılmaya ve uygun ölçekte uyumluluğu değerlendirmeye yardımcı olmak için kullanabileceğiniz bir ilke yönetimi çözümüdür. Birçok Azure hizmeti için ilke zorlamayı otomatikleştirmek için yerleşik ilke tanımlarından yararlanın.

  • Bulut için Defender, güvenlik standartlarınız ile uyumluluğu otomatikleştirebilen güvenlik ilkeleri sağlar.

Gizlilik idaresi

Etkili idare, kurumsal bulut ortamlarında güvenlik ve uyumluluğu korumak için çok önemlidir. İdare, verilerin güvenli bir şekilde ve mevzuat gereksinimlerine uygun olarak yönetilmesini sağlayan ilkeleri, yordamları ve denetimleri içerir. Hassas bilgilerin korunması ve güvenin korunması için gerekli olan karar alma, sorumluluk ve sürekli iyileştirme için bir çerçeve sağlar. Bu çerçeve, CIA Triad'ın gizlilik ilkesinin karşılanması açısından çok önemlidir. Hassas verilerin yalnızca yetkili kullanıcılar ve işlemler için erişilebilir olmasını sağlamanıza yardımcı olur.

  • Teknik ilkeler: Bu ilkeler erişim denetimi ilkelerini, veri şifreleme ilkelerini ve veri maskeleme veya belirteç oluşturma ilkelerini içerir. Bu ilkelerin amacı, sıkı erişim denetimleri ve sağlam şifreleme yöntemleri aracılığıyla veri gizliliğini koruyarak güvenli bir ortam oluşturmaktır.

  • Yazılı ilkeler: Yazılı ilkeler, kurumsal ortamın tamamı için idare çerçevesi görevi görür. Veri işleme, erişim ve koruma için gereksinimleri ve parametreleri oluşturur. Bu belgeler kuruluş genelinde tutarlılık ve uyumluluk sağlar ve çalışanlar ve BT personeli için net yönergeler sağlar. Yazılı ilkeler, güvenlik uygulamalarındaki boşlukları belirlemeye ve gidermeye yardımcı olan denetimler ve değerlendirmeler için de bir başvuru noktası görevi görür.

  • Veri kaybı koruması: Gizlilik gereksinimlerine sürekli uyumluluk sağlamak için veri kaybı önleme (DLP) önlemlerinin sürekli izlenmesi ve denetlenmesi gerekir. Bu süreç, DLP ilkelerini düzenli olarak gözden geçirmeyi ve güncelleştirmeyi, güvenlik değerlendirmeleri yürütmeyi ve veri gizliliğini tehlikeye atabilecek olaylara yanıt vermeyi içerir. Hassas verileri korumaya yönelik tutarlı ve ölçeklenebilir bir yaklaşım sağlamak için kuruluş genelinde program aracılığıyla DLP oluşturun.

Uyumluluğu ve uygulama yöntemlerini izleme

Kurumsal bulut ortamlarında gizlilik ilkesini korumak için uyumluluğu izlemek ve ilkeleri zorunlu tutmak kritik önem taşır. Bu eylemler güçlü güvenlik standartları için gereklidir. Bu süreçler, hassas verilerin yetkisiz erişim ve ihlallere karşı korunmasına yardımcı olmak için tüm güvenlik önlemlerinin tutarlı bir şekilde uygulanmasını ve etkili olmasını sağlar. Düzenli değerlendirmeler, otomatik izleme ve kapsamlı eğitim programları, oluşturulan ilkelere ve yordamlara uyulmasını sağlamak için gereklidir.

  • Düzenli denetimler ve değerlendirmeler: İlkelerin izlenmekte olduğundan emin olmak ve iyileştirme alanlarını belirlemek için düzenli güvenlik denetimleri ve değerlendirmeleri gerçekleştirin. Bu denetimler mevzuat, sektör ve kuruluş standartlarını ve gereksinimlerini kapsamalıdır ve tarafsız bir değerlendirme sağlamak için üçüncü taraf değerlendiriciler içerebilir. Onaylı bir değerlendirme ve denetim programı, yüksek güvenlik ve uyumluluk standartlarının korunmasına yardımcı olur ve veri gizliliğinin tüm yönlerinin ayrıntılı bir şekilde gözden geçirilmesini ve ele alınmasını sağlar.

  • Otomatik uyumluluk izleme: Azure İlkesi gibi araçlar, güvenlik ilkeleriyle uyumluluğun izlenmesini otomatikleştirir ve gerçek zamanlı içgörüler ve uyarılar sağlar. Bu işlevsellik, güvenlik standartlarına sürekli bağlı kalınmasını sağlamaya yardımcı olur. Otomatik izleme, ilke ihlallerini hızla algılamanıza ve yanıtlamanıza yardımcı olur ve bu da veri ihlali riskini azaltır. Ayrıca yapılandırmaları ve erişim denetimlerini oluşturulan ilkelere karşı düzenli olarak denetleyerek sürekli uyumluluk sağlar.

  • Eğitim ve farkındalık programları: Çalışanları, güvenlik bilincine sahip bir kültürü teşvik etmek için veri gizliliği ilkeleri ve en iyi uygulamalar hakkında eğitin. Düzenli eğitim oturumları ve farkındalık programları, tüm personel üyelerinin veri gizliliğini korumadaki rollerini ve sorumluluklarını anlamasını sağlamaya yardımcı olur. Bu programlar, ilkelerdeki ve yeni ortaya çıkan tehditlerdeki değişiklikleri yansıtacak şekilde düzenli olarak güncelleştirilmelidir. Bu strateji, çalışanların her zaman en son bilgi ve becerilerle donatılmasını sağlar.

Bütünlük idaresi

Bütünlük korumalarınızı etkili bir şekilde korumak için iyi tasarlanmış bir idare stratejisine ihtiyacınız vardır. Bu strateji, tüm ilkelerin ve yordamların belgelenip uygulanmasını ve tüm sistemlerin uyumluluk açısından sürekli denetlenmesini sağlamalıdır.

Daha önce Gizlilik idaresi bölümünde açıklanan kılavuz, bütünlük ilkesi için de geçerlidir. Aşağıdaki öneriler bütünlüğe özeldir:

  • Otomatik veri kalitesi idaresi: Verilerinizi idare etmek için kullanıma açık bir çözüm kullanmayı göz önünde bulundurun. Veri idaresi ekibinizin el ile kalite doğrulama yükünü hafifletmek için önceden oluşturulmuş bir çözüm kullanın. Bu strateji, doğrulama işlemi sırasında verilere yetkisiz erişim ve değişiklik riskini de azaltır.

  • Otomatik sistem bütünlüğü idaresi: Sistem bütünlüğü idarenizi otomatikleştirmek için merkezi ve birleşik bir araç kullanmayı göz önünde bulundurun. Örneğin Azure Arc, birden çok bulut, şirket içi veri merkezi ve uç sitedeki sistemleri yönetmenize olanak tanır. Bunun gibi bir sistem kullanarak idare sorumluluklarınızı basitleştirebilir ve operasyonel yükü azaltabilirsiniz.

Azure kolaylaştırma

  • Microsoft Purview Veri Kalitesi kullanıcıların ilk çalıştırma (OOB) kuralları ve yapay zeka tarafından oluşturulan kurallar dahil olmak üzere kodsuz/düşük kodlu kurallar kullanarak veri kalitesini değerlendirmesine olanak tanır. Bu kurallar sütun düzeyinde uygulanır ve ardından veri varlıkları, veri ürünleri ve iş etki alanları için puan sağlamak üzere toplanır. Bu yaklaşım, her etki alanında veri kalitesinin kapsamlı bir şekilde görünür olmasını sağlar.

Kullanılabilirlik idaresi

Bulut varlığınızda standartlaştırdığınız mimari tasarımları, bunların sapmadığından ve tutarlı olmayan tasarım desenleri nedeniyle kullanılabilirliğinizin tehlikeye atılmadığından emin olmak için idare gerektirir. Benzer şekilde, olağanüstü durum kurtarma planlarınızın da iyi korundığından emin olmak için idare edilmesi gerekir.

Kullanılabilirlik tasarımı idaresi

  • Standart tasarım desenlerini koruyun: Altyapı ve uygulama tasarım desenlerini sıkı bir şekilde birleştirin ve sıkı bir şekilde uygulayın. Tasarım standartlarının güncel kalmasını ve yetkisiz erişim veya değişiklikten korunmasını sağlamak için bakımlarını idare edin. Bu standartları diğer ilkelerle aynı özenle ele alır. Mümkün olduğunda, tasarım desenlerini korumayı otomatikleştirin. Örneğin, hangi kaynak türlerinin dağıtılacağını denetlemek ve dağıtımlara izin verilen bölgeleri belirtmek için ilkeleri etkinleştirebilirsiniz.

Olağanüstü durum kurtarma idaresi

  • Olağanüstü durum kurtarma planlarının idaresi: Olağanüstü durum kurtarma planlarını olay yanıtı planlarıyla aynı önem düzeyiyle değerlendirin. Olağanüstü durum kurtarma planları şu şekilde olmalıdır:

    • Ekiplerin her zaman en son sürümle çalıştığından ve sürüm oluşturmanın doğruluk ve uyumluluk açısından denetlendiğinden emin olmak için sürüm denetimi.

    • Yüksek oranda kullanılabilir ve güvenli depolama alanında depolanır.

    • Düzenli olarak gözden geçirilir ve ortamda değişiklikler gerektiğinde güncelleştirilir.

  • Olağanüstü durum kurtarma tatbikatlarının idaresi: Olağanüstü durum kurtarma tatbikatları yalnızca planlarla ilgili eğitim için değildir, aynı zamanda planın kendisini geliştirmek için öğrenme fırsatları olarak da görev yapar. Ayrıca operasyonel veya tasarım standartlarını iyileştirmeye yardımcı olabilir. Olağanüstü durum kurtarma tatbikatlarının titiz bir şekilde kaydedilmesi, iyileştirme alanlarının belirlenmesine yardımcı olur ve olağanüstü durumlara hazırlıklı olmak için denetim gereksinimleriyle uyumluluğu sağlar. Bu kayıtları planlarla aynı depoda depolayarak her şeyin düzenli ve güvenli kalmasına yardımcı olabilirsiniz.

Güvenli idareyi sürdürme

Modern Hizmet Yönetimi (MSM)

Modern Hizmet Yönetimi (MSM), bulut ortamında BT hizmetlerini yönetmek ve iyileştirmek için tasarlanmış bir dizi uygulama ve araçtır. MSM'nin amacı BT hizmetlerini iş gereksinimleriyle uyumlu hale getirmektir. Bu yaklaşım, yüksek güvenlik ve uyumluluk standartlarını korurken verimli hizmet teslimi sağlar. MSM, karmaşık bulut ortamlarını yönetmek için yapılandırılmış bir yaklaşım sağlar. MSM ayrıca kuruluşların değişikliklere hızlı bir şekilde yanıt vermesini, riskleri azaltmasını ve sürekli iyileştirmeyi sağlamasına olanak tanır. Ayrıca MSM, veri korumayı zorunlu kılan ve erişim denetimlerini izleyen araçlar ve uygulamalar içerdiğinden gizlilik ilkesiyle ilgilidir.

  • Birleşik güvenlik yönetimi: MSM araçları, bulut ortamının bütüncül bir görünümünü sağlamak için çeşitli güvenlik işlevlerini tümleştirerek kapsamlı güvenlik yönetimi sağlar. Bu yaklaşım, güvenlik ilkelerinin uygulanmasına yardımcı olur ve tehditleri gerçek zamanlı olarak algılar ve yanıtlar.

  • İlke yönetimi ve uyumluluğu: MSM, bulut ortamında ilkelerin oluşturulmasını, uygulanmasını ve izlenmesini kolaylaştırır. Tüm kaynakların kuruluş standartlarına ve mevzuat gereksinimlerine uygun olmasını sağlar. Ayrıca gerçek zamanlı içgörüler ve uyarılar sağlar.

  • Sürekli izleme ve geliştirme: MSM, olası sorunları önceden belirlemek ve çözmek için bulut ortamının sürekli izlenmesini vurgular. Bu yaklaşım, BT hizmetlerinin iş hedefleriyle uyumlu kalmasını sağlayan sürekli iyileştirmeyi ve iyileştirmeyi destekler.

Sonraki adım

Gelişmiş güvenlikle bulut varlığınızı yönetme