Aracılığıyla paylaş

Güvenlik sınaması için öneriler

  • Makale

Bu Power Platform Well-Architected Güvenlik denetim listesi önerisi için geçerlidir:

SE:09 Güvenlik sorunlarını önlemek, tehdit önleme uygulamalarını doğrulamak ve tehdit algılama mekanizmalarını test etmek için yaklaşımları birleştiren kapsamlı bir test rejimi oluşturun.

Sıkı test iyi güvenlik tasarımının temelidir. Sınama, denetimlerin tasarlandığı gibi çalıştığından emin olmak için taktik bir doğrulama formudur. Sınama aynı zamanda sistemdeki açıkları algılamanın da proaktif bir yoludur.

Çeşitli açılardan yaklaşımlardan cadence ve doğrulama yoluyla test duyarlığı oluşturun. Bir dış saldırgan gibi sistemi sınayan platform ve altyapıyı sınayan iç bakış noktaları ile dışarıdan değerlendirmeler eklemeniz gerekir.

Bu kılavuz, iş yükünüzün güvenlik duruşunu sınamaya yönelik öneriler sunar. İş yükünüzün saldırılara karşı dayanıklılığını geliştirmek ve kaynakların gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için bu sınama yöntemlerini uygulayın.

Tanımlar

Terim Açıklama
Uygulama güvenlik testi (AST) Koddaki güvenlik açıklarını denetlemek için beyaz kutu ve kara kutu sınama yöntemleri kullanan bir Microsoft Güvenlik Geliştirme Yaşam Döngüsü (SDL) tekniği.
Kara kutu sınamaları Sistemin dahili bilgileri olmadan dışarıdan görünür olan uygulama davranışını doğrulayan bir test yöntemi.
Mavi takım Bir savaş oyunu idmanında kırmızı takımın saldırılarına karşı savunma sağlayan bir takım.
Sızma testi Bir sistemin güvenlik savunmalarını doğrulamak için etik hack tekniklerini kullanan bir test yöntemi.
Kırmızı takım Bir düşman rolünde olan ve bir savaş oyunu alıştırmasında sisteme girmeye çalışan bir takım.
Güvenlik Geliştirme Yaşam Döngüsü (SDL) SDL, Microsoft tarafından sağlanan güvenlik güvencesi ve uyumluluk gereksinimlerini destekleyen katı uygulamalar kümesidir.
Güvenlik geliştirme yaşam döngüsü (SDLC) Çok aşamalı, sistematik olarak yazılım sistemleri geliştirmek için bir süreç.
Beyaz kutu sınamaları Kodun yapısının uygulayıcısı tarafından bilinen bir test yöntemi.

Temel tasarım stratejileri

Test, özellikle güvenlik için pazara açılamaz bir stratejidir. Güvenlik sorunlarına yönelik olarak yararlanılmadan önce proaktif şekilde keşfetmenize ve ele almanızı ve uyguladığınız güvenlik denetimlerinin tasarlandığı gibi çalıştığını doğrulamanıza olanak sağlar.

Sınamanın kapsamı uygulama, altyapı ve otomatik ve insan süreçlerini içermelidir.

Not

Bu kılavuz, sınama ve olay yanıtı arasında bir ayrım yapar. Sınama, üretimden önce sorunları ideal şekilde düzelten bir algılama mekanizması olsa da, olay yanıtının bir parçası olarak yapılan iyileştirme veya araştırmayla karıştırılmamalıdır. Güvenlik olaylarından kurtulmanın en önemli yönü, Güvenlik olayı yanıtına yönelik öneriler bölümündeaçıklanmaktadır.

Test planlamada yer alın. İş yükü takımı sınama servis taleplerini tasarlamayabilir. Bu görev genellikle kuruluşta merkezileştirilir veya dış güvenlik uzmanları tarafından tamamlanır. Güvenlik güvencesinin uygulamanın işlevselliğiyle tümleşmesini sağlamak için iş yükü ekibi bu tasarım sürecine dahil olmalıdır.

Saldırgan gibi düşünün. Sistem saldırıldığını varsayan varsayımıyla test durumlarınızı tasarlayın. Böylece olası açıkları açığa çıkarır ve testleri uygun şekilde önceliklendirebilirsiniz.

Testleri yapılandırılmış şekilde ve tekrarlanabilir bir işlemle çalıştırın. Kadro, test türleri, sürüş faktörleri ve amaçlanan sonuçlarla ilgili test makinenizi oluşturun.

İş için doğru aracı kullanın. İş yüküyle çalışmak üzere yapılandırılan araçları kullanın. Bir aracınız yoksa, aracı satın alın. Derlemeyin. Güvenlik araçları oldukça özelleştirilebilir ve kendi araçlarınızı oluşturmak risklere neden olabilir. Merkezi SecOps takımının sunduğu uzmanlık ve araçlardan ya da iş yükü takımının bu uzmanlık alanına sahip değilse harici araçlar kullanarak yararlanın.

Ayrı ortamlar ayarlayın. Testler zararlı veya yok edici olarak sınıflandırılabilir. Yok edici testler invaziv değildir. Bir sorun olduğunu gösterirler, ancak sorunu düzeltmek için işlevselliği değiştirmezler. Zararlı testler invazivdir ve veritabanından veri silerek işlevselliğe zarar verebilir.

Üretim ortamlarında sınama en iyi bilgileri sağlar ancak en fazla kesintiye neden olur. Üretim ortamlarında yalnızca başarısız testler yapma eğilimindedir. Üretim dışı ortamlarda sınama genellikle daha az kesintiye neden olur, ancak üretim ortamının yapılandırmasını güvenlik açısından önemli şekillerde doğru bir şekilde temsil etmeyebilir.

Ortam kopyalama özelliğini kullanarak, üretim ortamınızın ayrı bir kopyasını oluşturabilirsiniz. Ayarlanmış dağıtım kanallarınız varsa, çözümlerinizi özel bir sınama ortamına da dağıtabilirsiniz.

Her zaman test sonuçlarını değerlendirin. Sonuçlar eylemleri önceliklendirmek ve iyileştirmeleri yukarı yönlü yapmak için kullanılmazsa sınama boşa harcanan bir çabadır. Açığa çıkardığınız en iyi uygulamalar da dahil olmak üzere güvenlik kılavuzlarını belge edin. Sonuçları ve iyileştirme planlarını yakalayan belgeler, takımı saldırganların güvenliği ihlal etmeye çalışma yöntemleri hakkında eğitir. Geliştiriciler, yöneticiler ve testciler için düzenli güvenlik eğitimi gerçekleştirin.

Test planlarınızı tasarlarken aşağıdaki soruları düşünün:

  • Sınamanın hangi sıklıkta çalışmasını beklersiniz ve ortamınızı nasıl etkiler?
  • Çalıştırmanız gereken farklı test türleri nelerdir?

Testlerin ne sıklıkla çalışmasını beklersiniz?

Değişikliklerin güvenlik risklerine neden olmadığından ve herhangi bir gerileme olmadığından emin olmak için iş yükünü düzenli olarak sınayın. Ekibin aynı zamanda, herhangi bir anda gerçekleştirilebilecek kuruluş güvenlik doğrulamalarına yanıt vermeye hazır olması gerekir. Ayrıca bir güvenlik olayına yanıt olarak çalıştırabileceğiniz sınamalar da vardır. Aşağıdaki bölümlerde test sıklığı konusunda öneriler sağlanmaktadır.

Rutin testler

Rutin testler standart çalışma yordamlarınızın bir parçası olarak ve uyumluluk gereksinimlerini karşılamak üzere düzenli bir kadroyla yapılır. Çeşitli testler farklı ataklarında çalıştırılabilir, ancak anahtarı şudur; bunlar düzenli aralıklarla ve zamanlama üzerine yürütülürler.

Her aşamada savunma derinliği sağladığı için bu testleri SDLC'nize tümleştirmeniz gerekir. Kimlik, veri depolama ve iletme ile iletişim kanallarına ilişkin güvenceyi doğrulamak için test paketini farklılaştırın. Herhangi bir gerileme olmadığından emin olmak için, aynı testleri yaşam döngüsü boyunca farklı noktalarda gerçekleştirin. Rutin testler bir ilk kıyaslama oluşturulmasına yardımcı olur. Ancak bu yalnızca bir başlangıç noktasıdır. Yaşam döngüsünün aynı noktasında yeni sorunları ortaya çıkardıkça, yeni test durumları eklersiniz. Tekrar eden testler de iyileştirir.

Her aşamada bu sınamalar, bu değişikliklerin güvenlik etkisini saptamak için eklenen veya kaldırılan veya yapılandırma ayarları değiştirilen kodları doğrulamalıdır. Testlerin otomasyondaki etkinliğini eş incelemelerle dengelenmiş şekilde geliştirmeniz gerekir.

Otomatik kanal veya zamanlanmış sınama çalışmasının parçası olarak güvenlik sınamalarını çalıştırmayı düşünebilirsiniz. Güvenlik sorunlarını ne kadar çabuk bulursanız, bunlara neden olan kod veya yapılandırma değişikliğini bulmak o kadar kolay olur.

Yalnızca otomatik testlere güvenmeyin. Yalnızca insan uzmanlığının yakalayabileceği açıkları algılamak için el ile test kullanın. El ile testler keşif amaçlı kullanım durumları ve bilinmeyen risklerin bulunması için iyidir.

Doğaçlama testleri

Doğaçlama testleri, güvenlik savunmalarının zamanında doğrulanması sağlar. O zaman iş yükünü etkileyebilecek güvenlik uyarıları bu sınamaları tetikler. Organizasyon zorunluluğu, uyarı bir acil duruma iletmesi durumunda savunma stratejilerinin verimliliğini doğrulamak için bir duraklatma ve sınama zihniti gerektirebilir.

Doğaçlama testlerinin yararı gerçek bir olay için hazırlıklılığıdır. Bu testler, kullanıcı onay sınamalarını (UAT) yapmaya zorlama işlevi olabilir.

Güvenlik ekibi tüm iş yüklerini denetleyebilir ve gerektiğinde bu sınamaları çalıştırabilir. İş yükü sahibi olarak, güvenlik ekiplerini kullanmanız ve bunlarla işbirliği yapmanız gerekir. Hazırlık yapabilmeniz için güvenlik takımlarıyla yeterli müşteri adayı zamanı görüşmesi yapın. Bu kesintilerin gerekli olduğunu ekibinize ve paydaşlarınıza onaylayıp onlarla iletişim kurun.

Diğer durumlarda, sınamaları çalıştırmanız ve sistemin güvenlik durumunu potansiyel bir tehditle karşılaştırarak bildirmeniz gerekebilir.

Ödünleşim: Doğaçlama testler kesintiye neden olan olaylar olduğundan, görevlerin yeniden önceliklendirilmesini bekleyin ve bu da diğer planlı işleri geciktirebilir.

Risk: Bilinmeyenin riski vardır. Doğaçlama testleri belirlenen süreçler veya araçlar olmadan bir kerelik çabalar olabilir. Fakat baskın risk, işin ritminin potansiyel olarak kesintiye uğraması. Bu riskleri yararlara göre değerlendirmeniz gerekir.

Güvenlik olayı testleri

Kaynağında bir güvenlik olayının nedenini algılayan sınamalar vardır. Olayın tekrarlenmediğinden emin olmak için bu güvenlik boşluklarının giderilmesi gerekir.

Olaylar aynı zamanda mevcut açıkları ortaya çıkararak zaman içinde test durumlarını iyileştirir. Takım, olaydan alınan dersleri uygulamalı ve düzenli olarak iyileştirmeleri eklemelidir.

Farklı test türleri nelerdir?

Testler teknolojiye ve test yöntemlerine göre kategorilere ayırılabilir. Eksiksiz bir kapsama sahip olmak için bu kategorileri ve yaklaşımları bu kategorilerin içinde birleştirin.

Birden fazla test ve test türü ekleyerek şunları açığa çıkarabilirsiniz:

  • Güvenlik kontrollerindeki veya karşılayan denetimlerdeki boşluklar.
  • Yanlış yapılandırmalar.
  • Gözlemlenebilirlik ve algılama yöntemlerindeki boşluklar.

İyi bir tehdit modellemesi alıştırması, test kapsamını ve sıklığı sağlamak için temel alanlara işaret edebilir. Tehdit modellemesi ile ilgili öneriler için, bir Geliştirme yaşam döngüsünün güvenliğini sağlama önerilerine bakın.

Bu bölümlerde açıklanan testlerin çoğu rutin testler olarak çalıştırılabilir. Ancak tekrarlanabilirlik bazı durumlarda maliyetlere neden olabilir ve kesintiye neden olabilir. Bu takasları dikkate alın.

Teknoloji yığınını doğrulayan sınamalar

İşte bazı test türleri ve bunların odak alanları. Liste kapsamlı değildir. Uygulama yığını, ön uç, arka uç, API'ler, veritabanları ve tüm dış tümleştirmeler dahil tüm yığını sınayın.

  • Veri güvenliği: Verilerin yetkisiz erişime ve kurcalamaya karşı uygun şekilde korunduğundan emin olmak için veri şifreleme ve erişim kontrollerinin etkinliğini test edin.
  • Ağ ve bağlantı: İş yüküne yalnızca beklenen, izin verilen ve güvenli trafiğe izin verdiklerinden emin olmak için güvenlik duvarlarınızı test edin.
  • Uygulama: Güvenli kodlama uygulamalarını takip ettiğinizden emin olmak ve bellek bozulması ve ayrıcalık sorunları gibi çalışma zamanı hatalarını yakalamak için uygulama güvenlik testi (AST) teknikleri aracılığıyla kaynak kodunu test edin.
  • Kimlik: Rol atamalarının ve koşullu denetimlerin amaçlandığı gibi çalışıp çalışmadığını değerlendirin.

Test metodolojisi

Test yöntemlerine birçok bakış açısı vardır. Gerçek dünya saldırıları benzeterek tehdit avcılığı sağlayan testleri öneriyoruz. Potansiyel tehdit aktörlerini, tekniklerini ve iş yüküne yönelik bir tehdit oluşturan açıklarını belirleyebilirler. Saldırıları mümkün olduğunca gerçekçi hale getirin. Tehdit modellemesi sırasında tanımladığınız tüm potansiyel tehdit vektörlerini kullanın.

Gerçek hayattan gelen saldırılarla sınanmalarının bazı avantajları şunlardır:

  • Bu saldırıları rutin sınamanın bir parçası yaptığınızda, iş yükünü kontrol etmek ve savunma türünün bir saldırıyı karşılayabildiğinden emin olmak için dışarıdan bir bakış açısı kullanırsınız.
  • Takım, öğrendikleri derslere dayanarak bilgilerini ve beceri düzeylerini yükselter. Takım durumsal farkındalığı artırır ve olaylara yanıt vermeye hazır olduğunu kendi kendine değerlendirebilir.

Risk: Genel olarak test yapmak performansı etkileyebilir. Zararlı testler verinin silinmesi veya bozuk olması durumunda iş sürekliliği sorunları olabilir. Bilgilere maruz kalma ile ilişkili riskler de vardır; verilerin gizliliğini korumaya özen gösterin. Sınamayı tamamladıktan sonra verilerin bütünlüğünü sağlayın.

Bazı kara kutu ve beyaz kutu testleri, penetrasyon testleri ve savaş oyunu alıştırmaları benzetimini yapılan testlere örnek olarak verilebilir.

Kara kutu ve beyaz kutu sınamaları

Bu test türleri iki farklı yaklaşım sunar. Kara kutu testlerinde sistemin iç kısmı görünmez. Beyaz kutu testlerinde, sınayıcı uygulamanın iyi bir şekilde anlaşılmasına ve hatta denemenin yürütülmesi için kod, günlük, kaynak topolojisi ve yapılandırmalara erişime sahiptir.

Risk: İki tür arasındaki fark peşin maliyettir. Beyaz kutu sınamaları, sistemi anlamak için zaman alınırken pahalı olabilir. Bazı durumlarda, beyaz kutu sınamaları özelleştirilmiş araçlar satın almanızı gerektirir. Kara kutu testlerinin artırmaya ihtiyacı yoktur, ancak bu kadar etkili olmayabilir. Sorunları açığa çıkarmak için fazladan çaba çaba gerekebileceği. Zaman yatırımları olacak.

Penetrasyon sınaması yoluyla saldırıların benzetimini yapabilen testler

Kuruluşun BT veya uygulama takımlarının bir parçası olmayan güvenlik uzmanları pent sınaması veya pentesting yapar. Sisteme, kötü amaçlı aktörlerin bir saldırı ortaya çıkardıkları şekilde bakıyorlar. Amaçları, bilgi toplayarak, açıkları çözümleyerek ve sonuçları raporlayarak güvenlik açıklarını bulmaktır.

Ödünleşim: Sızma testleri doğaçlamadır ve aksaklıklar ve parasal yatırım açısından pahalı olabilir, çünkü sızma testi genellikle üçüncü taraf uygulayıcılar tarafından ücretli bir tekliftir.

Risk: Sızma testi alıştırması çalışma zamanı ortamını etkileyebilir ve normal trafiğin kullanılabilirliğini bozabilir.

Uygulayanların bütün organizasyondaki hassas verilere erişmesi gerekebilir. Erişimin kötü amaçlı kullanılmaması için katılım kurallarını uygulayın. İlgili bilgiler bölümündelistelenen kaynaklara bakın.

Savaş oynu egzersizleri yoluyla saldırıların benzetimini yapabilen testler

Bu benzetimli saldırı yönteminde iki takım vardır:

  • Kırmızı takım gerçek dünya saldırılarını modelleme girişiminde bulunan düşmandır. Başarılıysalar, güvenlik tasarımınızda boşluklar bulur ve ihlallerinin patlama çapındaki kapsama alanı değerlendirmenize olanak sağlarsınız.
  • Mavi takım, saldırılara karşı savunmada bulunan iş yükü takımıdır. Saldırıları tespit etme, yanıtlama ve iyileştirme yeteneklerini sınarlar. Bunlar, iş yükü kaynaklarını korumak için uygulanan savunmaları doğrular.

Savaş oyunları egzersizleri rutin testler şeklinde yürütülürlerse savunma çalışmalarınızın tasarlandığı şekilde görünürlük ve güvence sağlayabilir. Savaş oyunu alıştırmaları iş yüklerinizin içindeki seviyelerde sınanabilir.

Gerçekçi saldırı senaryolarını benzetim yapmak için popüler bir seçim, Attack simülasyon eğitimi için Office 365 için Microsoft Defender'dır.

Daha fazla bilgi için, Saldırı simülasyon eğitimi için Öngörüler ve raporlara bakın.

Kırmızı takım ve mavi takım kurulumu hakkında bilgi için bkz . Microsoft Bulut Kırmızı Ekip Oluşturma.

Power Platform kolaylaştırma

Microsoft Power Platform için Microsoft Sentinel çözümü müşterilerin aşağıdaki gibi çeşitli şüpheli etkinlikleri algılamasına olanak tanır:

  • Yetkisiz coğrafi konumlardan Power Apps yürütme
  • Power Apps tarafından şüpheli verilerin yok edilmesi
  • Power Apps toplu silme
  • Power Apps üzerinden yapılan kimlik avı saldırıları
  • Ayrılan çalışanlar tarafından Power Automate akış faaliyeti
  • Ortama eklenen Microsoft Power Platform bağlayıcıları
  • Microsoft Power Platform veri kaybını önleme ilkeleri güncelleştirme veya kaldırma

Daha fazla bilgi için, bkz. Microsoft Power Platform için Microsoft Sentinel çözümü genel bakışı.

Ürün belgeleri için, Microsoft Sentinel'deki arama özelliklerine bakın.

Bulut için Microsoft Defender, çeşitli teknoloji alanları için güvenlik açığı tarama olanağı sunar. Daha fazla bilgi için bkz Microsoft Defender Güvenlik Açığı Yönetimi ile açık taramayı etkinleştirme.

DevSecOPS uygulaması, güvenlik sınamasını sürekli ve sürekli bir iyileştirme zihniyetinin bir parçası olarak bütünleştirir. Savaş oyunu alıştırmaları Microsoft'taki işin ritmiyle bütünleştirilen yaygın bir uygulamadır. Daha fazla bilgi için bkz. DevOps'ta Güvenlik (DevSecOps).

Azure DevOps , sürekli tümleştirme/sürekli dağıtım (CI/CD) kanallarının bir parçası olarak otomatikleşebilen üçüncü taraf araçları destekler. Daha fazla bilgi için bkz DevSecOps ile Azure ve GitHub'ı Etkinleştirme.

En son sızma testleri ve güvenlik değerlendirmeleri, Microsoft servis güven portalı'nda bulunabilir.

Microsoft, Microsoft bulut hizmetleri için kapsamlı sınamalar yapar. Bu testler kuruluşunuz için Service Trust Portal'da yayınlanan sonuçlarla birlikte penetrasyon testlerini içerir. Kuruluşunuz kendi penetrasyon testinizi Microsoft Power Platform ve Microsoft Dynamics 365 hizmetlerinde gerçekleştirebilir. Tüm giriş sınamaları Microsoft Bulut Penetrasyon Katılım Test Kurallarına uymalıdır. Microsoft Bulut'un, diğer müşterilere ait varlıklarınızı ve varlıklarınızı barındırmak için çoğu durumda paylaşılan altyapıyı kullandığını anımsamak önemlidir. Varlıklarınızla tüm penetrasyon testlerini sınırlamalı ve çevrenizdeki diğer müşteriler için istenmeyen sonuçlardan kaçınmalısınız.

Erişimin kötü amaçlı kullanılmaması için katılım kurallarını uygulayın. Benzetimli saldırıları planlama ve gerçekleştirme konusunda rehberlik için bkz:

Azure'da hizmet reddi (DoS) saldırılarının benzetimini yapabilirsiniz. Azure DDoS Koruma simülasyon testinde belirtilen ilkeleri takip etmeyi unutmayın.

Güvenlik denetim listesi

Eksiksiz bir öneri kümesine bakın.

Güvenlik kontrol listesi