Güvenli bulut varlığınızı hazırlama
Bulut benimseme yolculuğunun Hazır aşamasında, varlığın temelini oluşturmaya odaklanırsınız. Microsoft Azure giriş bölgesi yaklaşımı, kuruluşlara ve büyük kuruluşlara varlıklarını uygularken izlemeleri gereken daha güvenli, ölçeklenebilir, modüler bir tasarım düzeni sağlar. Daha küçük kuruluşlar ve startup'lar, giriş bölgesi yaklaşımının sağladığı kuruluş düzeyine ihtiyaç duymayabilir, ancak giriş bölgesi felsefesinin anlaşılması, kuruluşların temel bir tasarımı katmanlaştırmalarına ve yüksek düzeyde güvenlik ve ölçeklenebilirlik kazanmalarına yardımcı olabilir.
Bulut benimseme stratejinizi ve planınızı tanımladıktan sonra temeli tasarlayarak uygulama aşamasına başlayabilirsiniz. Temel tasarımınızın ve uygulamanızın güvenliği önceliklendirmesini sağlamak için bu kılavuzdaki önerileri kullanın.
Bu makale, Hazır metodolojisi için destekleyici bir kılavuzdur. Yolculuğunuzda bu aşamada ilerlediğinizde göz önünde bulundurmanız gereken güvenlik iyileştirmesi alanlarını açıklar.
Güvenlik duruşu modernleştirmesi
Güvenlik duruşunuzu modernleştirmenin ilk uygulama adımları giriş bölgenizi veya bulut temelinizi oluşturmak ve kimlik, yetkilendirme ve erişim platformunuzu oluşturmak veya modernleştirmek.
Giriş bölgesi yaklaşımını benimseme: Giriş bölgesi yaklaşımını benimseme veya giriş bölgesi yaklaşımının tasarım ilkelerini kullanım örneğiniz için pratik olacak şekilde birleştirme, uygulamanızı iyileştirilmiş bir şekilde başlatmanıza olanak tanır. Bulut varlığınız geliştikçe, varlıklarınızın farklı etki alanlarının ayrı tutulması, tüm varlığın daha güvenli ve yönetilebilir kalmasına yardımcı olur.
- Eksiksiz bir kurumsal giriş bölgesini benimsemeyi planlamıyorsanız tasarım alanlarını anlamanız ve bulut varlığınızla ilgili yönergeler uygulamanız gerekir. Temelinizin mimarisi ne olursa olsun, bu tasarım alanlarının tümünü düşünmeniz ve her alana özgü denetimleri uygulamanız gerekir. Örneğin, yönetim gruplarının kullanılması, yalnızca birkaç abonelik olsa bile bulut varlığınızı yönetmenize yardımcı olabilir.
Bulut kaynaklarını dağıtmak için denetimli ortamlar sağlayan güvenli, ölçeklenebilir giriş bölgeleri geliştirin. Bu bölgeler, güvenlik ilkelerinin tutarlı bir şekilde uygulandığını ve kaynakların güvenlik gereksinimlerine göre ayrıştırıldığından emin olmanıza yardımcı olur. Bu konuda ayrıntılı yönergeler için güvenlik tasarımı alanına bakın.
- Modern kimlik, yetkilendirme ve erişim: Sıfır Güven ilkelerine bağlı olarak, kimlik, yetkilendirme ve erişime yönelik modern yaklaşım varsayılan olarak güvenden özel duruma geçer. Bu ilkelerden, kullanıcıların, cihazların, sistemlerin ve uygulamaların yalnızca ihtiyaç duydukları kaynaklara ve yalnızca ihtiyaçlarını karşılamak için ihtiyaç duydukları sürece erişmesine izin verilmesi gerekir. Aynı kılavuz, varlığınızın temel öğeleri için de geçerlidir: çalıştırdığınız iş yükleri için izlediğiniz önerileri izleyerek aboneliklere, ağ kaynaklarına, idare çözümlerine, kimlik ve erişim yönetimi (IAM) platformuna ve kiracılara yönelik izinleri sıkı bir şekilde denetleyin. Bu konuda ayrıntılı yönergeler için kimlik ve erişim yönetimi tasarım alanına bakın.
Azure kolaylaştırma
Azure giriş bölgesi hızlandırıcıları: Microsoft, hızlı bir başlangıç yapmak için giriş bölgesine kolayca dağıtılabilen belirli bir iş yükü türünün önceden paketlenmiş dağıtımları olan birkaç giriş bölgesi hızlandırıcısı tutar. Bunlar Azure Integration Services, Azure Kubernetes Service (AKS), Azure API Management ve diğerleri için hızlandırıcılar içerir. Modern uygulama konularıyla ilgili hızlandırıcıların ve diğer konuların tam listesi için Azure için Bulut Benimseme Çerçevesi belgesinin Modern uygulama platformu senaryosu bölümüne bakın.
Azure giriş bölgeleri Terraform modülü: Azure giriş bölgeleri Terraform modülünü kullanarak giriş bölgesi dağıtımlarınızı otomasyon ile iyileştirebilirsiniz. Giriş bölgelerini dağıtmak için sürekli tümleştirme ve sürekli dağıtım (CI/CD) işlem hattınızı kullanarak tüm giriş bölgelerinizin aynı şekilde dağıtıldığından ve tüm güvenlik mekanizmalarının kullanıldığından emin olabilirsiniz.
Microsoft Entra: Microsoft Entra bir kimlik ve ağ erişim ürünleri ailesidir. Kuruluşların Sıfır Güven bir güvenlik stratejisi uygulamasına ve kimlikleri doğrulayan, erişim koşullarını doğrulayan, izinleri denetleen, bağlantı kanallarını şifreleyen ve güvenliğin aşıldığını izleyen bir güven dokusu oluşturmasına olanak tanır.
Olay hazırlığı ve yanıtı için hazırlanma
Stratejinizi tanımladıktan ve olay hazırlığı ve yanıtı için planınızı geliştirdikten sonra uygulamanıza başlayabilirsiniz. İster tam kurumsal giriş bölgesi tasarımını ister daha küçük bir temel tasarımı benimseyin, yüksek düzeyde güvenlik sağlamak için ağ ayrımları kritik önem taşır.
Ağ segmentasyonu: Saldırı yüzeylerini en aza indirmek ve olası ihlalleri içermek için uygun segmentlere ayırma ve yalıtım ile bir ağ mimarisi tasarlar. Trafiği yönetmek ve denetlemek için sanal özel bulutlar (VPC' ler), alt ağlar ve güvenlik grupları gibi teknikleri kullanın. Bu konuda ayrıntılı yönergeler için Ağ segmentasyonu planlama makalesine bakın. Azure giriş bölgesi ağ güvenlik kılavuzlarının geri kalanını gözden geçirmeyi unutmayın. Bu kılavuz, gelen ve giden bağlantı, ağ şifrelemesi ve trafik denetimi önerileri içerir.
Azure kolaylaştırma
- Azure Sanal WAN: Azure Sanal WAN, tek bir işlem arabirimi sağlamak için birçok ağ, güvenlik ve yönlendirme işlevini bir araya getiren bir ağ hizmetidir. Tasarım, dallar (VPN/SD-WAN cihazları), kullanıcılar (Azure VPN/OpenVPN/IKEv2 istemcileri), Azure ExpressRoute bağlantı hatları ve sanal ağlar için yerleşik ölçek ve performansa sahip bir merkez-uç mimarisidir. Giriş bölgelerinizi uyguladığınızda Azure Sanal WAN segmentasyon ve güvenlik mekanizmaları aracılığıyla ağınızı iyileştirmenize yardımcı olabilir.
Gizlilik için hazırlanma
Hazır aşamasında, iş yüklerinizi gizlilik açısından hazırlamak, IAM ilkelerinizin ve standartlarınızın uygulandığından ve uygulandığından emin olmak için bir süreçtir. Bu hazırlık, iş yüklerini dağıttığınızda verilerinizin varsayılan olarak güvenliğinin sağlanmasını sağlar. Aşağıdakiler için iyi yönetilen ilkelere ve standartlara sahip olduğundan emin olun:
En az ayrıcalık ilkesi. Kullanıcılara görevlerini gerçekleştirmek için gereken en düşük erişimi verin.
Rol tabanlı erişim denetimi (RBAC). İş sorumluluklarına göre roller ve izinler atayın. Bunun yapılması, erişimi verimli bir şekilde yönetmenize yardımcı olur ve yetkisiz erişim riskini azaltır.
Çok faktörlü kimlik doğrulaması (MFA). Ek bir güvenlik katmanı eklemek için MFA uygulayın.
Koşullu erişim denetimleri. Koşullu erişim denetimleri, belirli koşullara göre ilkeleri zorunlu kılarak ek güvenlik sağlar. İlkeler MFA'yı zorunlu kılmayı, coğrafyaya göre erişimi engellemeyi ve diğer birçok senaryoyı içerebilir. Bir IAM platformu seçtiğinizde koşullu erişimin desteklendiğinden ve uygulamanın gereksinimlerinizi karşıladığından emin olun.
Azure kolaylaştırma
- Microsoft Entra Koşullu Erişim, Microsoft Sıfır Güven ilke altyapısıdır. İlke kararlarını zorunlu kılma sırasında çeşitli kaynaklardan gelen sinyalleri dikkate alır.
Bütünlük için hazırlanma
Gizlilik hazırlıklarınızda olduğu gibi, veri ve sistem bütünlüğü için iyi yönetilen ilkelere ve standartlara sahip olduğunuzdan emin olun, böylece iş yüklerini varsayılan olarak gelişmiş güvenlikle dağıtın. Aşağıdaki alanlar için ilkeler ve standartlar tanımlayın.
Veri yönetimi uygulamaları
Veri sınıflandırması: Üst düzey veri güvenliği riski kategorilerini tanımlayan bir veri sınıflandırma çerçevesi ve duyarlılık etiketi taksonomisi oluşturun. Bu taksonomiyi veri envanterinden etkinlik içgörülerinden ilke yönetimine ve araştırma önceliklendirmesine kadar her şeyi basitleştirmek için kullanacaksınız. Bu konuda ayrıntılı yönergeler için bkz . İyi tasarlanmış bir veri sınıflandırma çerçevesi oluşturma.
Veri doğrulama ve doğrulama: Veri mühendislerinizin ve yöneticilerinizin yükünü azaltmak ve insan hatası riskini azaltmak için veri doğrulama ve doğrulamayı otomatik hale getiren araçlara yatırım yapın.
Yedekleme ilkeleri: Tüm verilerin düzenli olarak yedeklendiğinden emin olmak için yedekleme ilkelerini koordine edin. Yedeklemelerin başarılı olduğundan ve verilerin doğru ve tutarlı olduğundan emin olmak için yedeklemeleri ve geri yüklemeleri düzenli olarak test edin. Bu ilkeleri kuruluşunuzun kurtarma süresi hedefi (RTO) ve kurtarma noktası hedefi (RPO) hedefleriyle uyumlu hale getirme.
Güçlü şifreleme: Bulut sağlayıcınızın bekleyen ve aktarımdaki verilerinizi varsayılan olarak şifrelediğinden emin olun. Azure'da verileriniz uçtan uca şifrelenir. Ayrıntılar için Microsoft Güven Merkezi'ne bakın. İş yüklerinizde kullandığınız hizmetler için güçlü şifrelemenin desteklendiğinden ve iş gereksinimlerinizi karşılayacak şekilde uygun şekilde yapılandırıldığından emin olun.
Sistem bütünlüğü tasarım desenleri
Güvenlik izleme: Bulut sistemlerinizde yetkisiz değişiklikleri algılamak için genel izleme ve gözlemlenebilirlik stratejinizin bir parçası olarak sağlam bir güvenlik izleme platformu tasarlayın. Ayrıntılı genel yönergeler için Metodoloji izlemeyi yönetme bölümüne bakın. Güvenlik izleme hakkında öneriler için bkz. Sıfır Güven Görünürlük, otomasyon ve düzenleme kılavuzu.
- SIEM ve tehdit algılama: Şüpheli etkinlikleri ve altyapınıza yönelik olası tehditleri algılamak için güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) araçları ve tehdit algılama araçlarını kullanın.
Otomatik yapılandırma yönetimi: Yapılandırma yönetimini otomatikleştirmek için araç kullanımını koordine edin. Otomasyon, tüm sistem yapılandırmalarının tutarlı, insan hatasından uzak ve otomatik olarak zorlandığından emin olmanıza yardımcı olur.
Otomatik düzeltme eki yönetimi: Sanal makineler için güncelleştirmeleri yönetmek ve yönetmek için araç kullanımını codify. Otomatik düzeltme eki uygulama, tüm sistemlere düzenli olarak düzeltme eki uygulama ve sistem sürümlerinin tutarlı olmasını sağlamaya yardımcı olur.
Otomatik altyapı dağıtımları: Tüm dağıtımlar için kod olarak altyapı (IaC) kullanımını codify. CI/CD işlem hatlarınızın bir parçası olarak IaC'yi dağıtın. IaC dağıtımları için yazılım dağıtımlarıyla aynı güvenli dağıtım uygulamalarını uygulayın.
Azure kolaylaştırma
Azure İlkesi ve Bulut için Microsoft Defender, bulut varlığınızda güvenlik ilkelerini tanımlamanıza ve zorunlu kılmanıza yardımcı olmak için birlikte çalışır. Her iki çözüm de temel öğelerinizin ve iş yükü kaynaklarınızın idaresini destekler.
Azure Update Manager , yerel Azure güncelleştirme ve düzeltme eki yönetimi çözümüdür. Bunu şirket içi sistemlere ve Arc özellikli sistemlere genişletebilirsiniz.
Microsoft Sentinel , Microsoft SIEM ve SOAR çözümüdür. Siber tehdit algılama, araştırma ve yanıt, proaktif avcılık ve kuruluşunuz genelinde kapsamlı bir görünüm sağlar.
Kullanılabilirlik için hazırlanma
İş yüklerinizi dayanıklılık için tasarlamak, işletmenizin arızalara ve güvenlik olaylarına dayanabilmesini ve etkilenen sistemlerle ilgili sorunlar giderilirken işlemlerin devam etmesini sağlamaya yardımcı olur. Bulut Benimseme Çerçevesi ilkeleriyle uyumlu olan aşağıdaki öneriler, dayanıklı iş yükleri tasarlamanıza yardımcı olabilir:
Dayanıklı uygulama tasarımı uygulayın. Hem altyapı hem de altyapı dışı olaylara karşı dayanıklılığı geliştiren ve Bulut Benimseme Çerçevesi daha geniş ilkeleriyle uyumlu olan uygulama tasarım desenlerini benimseyin. Sürekli çalışma ve hızlı kurtarma sağlamak için kendi kendini iyileştiren ve kendini koruma mekanizmaları içeren tasarımlar üzerinde standartlaştırma. Dayanıklı tasarım desenleri hakkında ayrıntılı yönergeler için bkz. İyi Tasarlanmış Çerçevenin Güvenilirlik sütunu.
Sunucusuz mimariyi benimseyin. Sunucu yönetimi ek yükünü azaltmak, taleple otomatik olarak ölçeklendirmek ve kullanılabilirliği iyileştirmek için hizmet olarak platform (PaaS), hizmet olarak yazılım (SaaS) ve hizmet olarak işlev (FaaS) dahil sunucusuz teknolojileri kullanın. Bu yaklaşım, iş yüklerini modernleştirmeye ve operasyonel verimliliği iyileştirmeye Bulut Benimseme Çerçevesi vurguyu destekler.
Mikro hizmetleri ve kapsayıcıyı kullanma. Monolitik uygulamaları bağımsız olarak dağıtabileceğiniz ve ölçeklendirebileceğiniz daha küçük, bağımsız hizmetlere ayırarak önlemek için mikro hizmetler ve kapsayıcılama uygulayın. Bu yaklaşım, bulut ortamlarında çeviklik ve ölçeklenebilirlik Bulut Benimseme Çerçevesi ilkeleriyle uyumlu hale gelir.
Hizmetleri ayırma. Olayların patlama yarıçapını azaltmak için hizmetleri birbirinden stratejik olarak yalıtın. Bu strateji, bir bileşendeki hataların sistemin tamamını etkilememesini sağlamaya yardımcı olur. Sağlam hizmet sınırlarını ve operasyonel dayanıklılığı teşvik ederek Bulut Benimseme Çerçevesi idare modelini destekler.
Otomatik ölçeklendirmeyi etkinleştirin. Uygulama mimarinizin trafik ani artışları sırasında kullanılabilirliği koruyabilmesi için çeşitli yükleri işlemek için otomatik ölçeklendirmeyi desteklediğine emin olun. Bu uygulama, ölçeklenebilir ve duyarlı bulut ortamları oluşturmaya yönelik Bulut Benimseme Çerçevesi kılavuzla uyumludur ve maliyetleri yönetilebilir ve öngörülebilir tutmanıza yardımcı olabilir.
Hata yalıtımı uygulayın. Tek tek görevlerin veya işlevlerin hatalarını yalıtmak için uygulamanızı tasarlayın. Bunun yapılması, yaygın kesintileri önlemeye ve dayanıklılığı artırmaya yardımcı olabilir. Bu yaklaşım, güvenilir ve hataya dayanıklı sistemler oluşturmaya Bulut Benimseme Çerçevesi odaklanmayı destekler.
Yüksek kullanılabilirlik sağlayın. Sürekli işlemi sürdürmek için yerleşik yedeklilik ve olağanüstü durum kurtarma mekanizmalarını birleştirir. Bu yaklaşım, yüksek kullanılabilirlik ve iş sürekliliği planlaması için en iyi Bulut Benimseme Çerçevesi yöntemleri destekler.
Otomatik yük devretmeyi planlayın. Sorunsuz yük devretmeyi ve kesintisiz hizmeti desteklemek için uygulamaları birden çok bölgeye dağıtın. Bu yaklaşım, coğrafi yedeklilik ve olağanüstü durum kurtarma için Bulut Benimseme Çerçevesi stratejisiyle uyumlu hale gelir.
Güvenlik sürdürülebilirliğine hazırlanma
Hazır aşamasında, uzun vadeli güvenlik sürdürülebilirliğine hazırlanmak, varlığınızın temel öğelerinin ilk iş yükleri için en iyi güvenlik uygulamalarına bağlı kalmasını, ancak aynı zamanda ölçeklenebilir olmasını sağlamayı içerir. Bunu yapmak, varlığınız büyüdükçe ve geliştikçe güvenliğinizin tehlikeye atılmayacağından ve güvenliğinizin yönetiminin çok karmaşık ve zahmetli olmayacağından emin olmanıza yardımcı olur. Bu da gölge BT davranışlarından kaçınmanıza yardımcı olur. Bu amaçla, Hazır aşamasında, uzun vadeli iş hedeflerinizin büyük mimari yeniden tasarımlar veya operasyonel uygulamalara yönelik büyük elden geçirmeler olmadan nasıl gerçekleştirilebileceğini düşünün. Giriş bölgesi tasarımından çok daha basit bir temel oluşturmayı seçseniz bile, ağ ve kritik iş yükleri gibi varlıklarınızın önemli öğelerini yeniden dağıtmaya gerek kalmadan temel tasarımınızı kurumsal bir mimariye geçirebileceğinizden emin olun. Varlığınız büyüdükçe büyüyebilen ancak yine de güvenli kalan bir tasarım oluşturmak, bulut yolculuğunuzun başarısına yol açar.
Mevcut Azure ayak izini giriş bölgesi mimarisine taşıma önerileri için bkz . Mevcut Azure ortamını Azure giriş bölgesi kavramsal mimarisine geçirme.