Azure AğGüvenliği Hizmetleriyle Zero Trust Etkinleştirme
COVID-19 pandemisinden bu yana hızlanan dijital dönüşüm hızıyla kuruluşlar, iş yüklerini sürekli olarak buluta geçirmeye ve iş yüklerinin güvenli olmasını sağlamaya çalışıyor. Ayrıca, kuruluşların modern ortamın karmaşıklığına daha etkin bir şekilde uyum sağlayan, hibrit çalışma alanını kucaklayan ve nerede olurlarsa olsunlar uygulamaları ve verileri koruyan yeni bir güvenlik modeline ihtiyaçları var. Microsoft’un Zero Trust Framework’ü, varlıkları her yerde üç ilkeye bağlı kalarak korur:
- Açıkça doğrulama: Kullanıcı kimliği, konum, cihaz sağlığı, hizmet veya iş yükü, veri sınıflandırması ve anormallikler dahil olmak üzere mevcut tüm veri noktalarına göre her zaman kimlik doğrulaması yapın ve yetkilendirin.
- En az ayrıcalıklı erişimi kullanma: Tam zamanında ve yeteri kadar erişim (JIT ve JEA), risk tabanlı uyarlanabilir politikalar ve hem verilerin hem de üretkenliğin güvence altına alınmasına yardımcı olmak için veri korumasıyla kullanıcı erişimini sınırlayın.
- İhlal varsayımı: Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı desteklemek ve savunmayı geliştirmek için analitiği kullanın.
Ağ güvenlik duvarı
Ağ güvenlik duvarları tipik olarak uç ağlarda konuşlandırılır ve güvenilen ve güvenilmeyen bölgeler arasındaki trafiği filtreler. Zero Trust yaklaşımı bu modeli genişletir ve dahili ağlar, ana bilgisayarlar ve uygulamalar arasındaki trafiğin filtrelenmesini önerir.
Zero Trust yaklaşımı, ihlali varsayar ve kötü aktörlerin her yerde olduğu gerçeğini kabul eder. Güvenilir ve güvenilmeyen bölgeler arasında bir duvar inşa etmek yerine, tüm erişim girişimlerini doğrulamamızı, JIT ve JEA’ya kullanıcı erişimini sınırlamamızı ve kaynakların kendilerini sağlamlaştırmamızı önerir. Ancak bu, güvenlik bölgelerini korumamızı engellemez. Aslında, ağ güvenlik duvarı, ağı daha küçük bölgelere ayırarak ve aralarında hangi trafiğin akmasına izin verildiğini kontrol ederek ağ iletişimi için bir tür kontrol ve denge sağlar. Bu derinlemesine güvenlik uygulaması, bizi belirli bir bağlantının hassas bir sınırı geçip geçmemesi gerektiğini düşünmeye zorlar.
Sıfır Güven ağlarında güvenlik duvarı nerede yapılmalıdır? Ağınız doğası gereği savunmasız olduğundan, ana bilgisayar düzeyinde ve bunun dışında güvenlik duvarı uygulanmalıdır. Azure’da, farklı ağ konumlarında dağıtılan filtreleme ve güvenlik duvarı hizmetleri sunulmaktadır: ana bilgisayarda ve sanal ağlar veya alt ağlar arasında.
Azure network security group (NSG)
Azure sanal ağındaki Azure kaynaklarına giden ve gelen ağ trafiğini filtrelemek için Azure ağ güvenlik grubunu kullanabilirsiniz. NSG, sanal makinelerin (VM’ler) dışında ana bilgisayar düzeyinde uygulanır. Kullanıcı yapılandırması açısından NSG, bir alt ağ veya VM NIC ile ilişkilendirilebilir. Bir NSG’yi bir alt ağ ile ilişkilendirmek, daha sonra tartışacağımız bir çevre filtreleme biçimidir. Sıfır Güven ağları bağlamında NSG’nin daha alakalı uygulaması, belirli bir VM ile ilişkilendirilir (örneğin, bir VM NIC’ye bir NSG atama yoluyla). VM başına filtreleme politikasını destekleyerek VM’i kendi güvenliğinde katılımcı yapar. Tüm güvenlik duvarlarını merkezi bir güvenlik duvarına devretmek yerine, her VM’nin kendi ağ trafiğini filtrelemesini sağlama hedefine hizmet eder.
Ana bilgisayar güvenlik duvarı, konuk işletim sistemi düzeyinde uygulanabilirken Azure NSG, güvenliği ihlal edilen bir VM’ye karşı koruma sağlar. Sanal makineye erişim elde eden ve ayrıcalığını yükselten bir saldırgan, ana bilgisayardaki güvenlik duvarını kaldırabilir. NSG, güvenlik duvarı sistemine yönelik saldırılara karşı güçlü garantiler sağlayan ana bilgisayar düzeyinde filtrelemeyi izole ederek VM’nin dışında uygulanır.
NSG, hem gelen filtrelemeyi (bir sanal makineye giren trafiği düzenler) hem de giden filtrelemeyi (bir sanal makineden ayrılan trafiği düzenler) sağlar. Özellikle sanal ağdaki kaynaklar arasında giden filtreleme, iş yüklerini daha da sertleştirmek için Zero Trust ağlarında önemli bir role sahiptir. Örneğin, gelen NSG kurallarındaki bir yanlış yapılandırma, keşfedilmesi çok zor olan bu önemli gelen filtreleme savunma katmanının kaybına neden olabilir. Yaygın NSG giden filtreleme, bu tür kritik yanlış yapılandırma gerçekleştiğinde bile alt ağları korur.
Azure uygulama güvenlik grupları (ASG’ler), bir uygulamanın yapısının bir uzantısı olarak ağ güvenliğini yapılandırarak NSG’lerin yapılandırmasını ve yönetimini basitleştirir. ASG’ler, VM’leri gruplamanıza ve bu gruplara dayalı ağ güvenlik ilkeleri tanımlamanıza olanak tanır. ASG’leri kullanarak, açık IP adreslerinin manuel bakımına gerek kalmadan ağ güvenliğini geniş ölçekte yeniden kullanabilirsiniz. Aşağıdaki basitleştirilmiş örnekte, bir alt ağ düzeyinde bir NSG1 uygulanmaktadır ve iki VM’yi bir WebASG (web uygulaması katmanı ASG) ve başka bir VM’yi LogicASG (iş mantığı uygulama katmanı ASG) ile ilişkilendirimektedir.
Azure Firewall
Ana bilgisayar düzeyinde filtreleme, mikro çevreler oluşturmak için ideal olsa da, sanal ağ veya alt ağ düzeyinde güvenlik duvarı, başka bir önemli koruma katmanı ekler. Yetkisiz trafiğe ve internetten gelebilecek olası saldırılara karşı mümkün olduğunca çok altyapıyı korur. Ayrıca, saldırı durumunda patlama yarıçapını en aza indirmek için doğu-batı trafiğini korumaya da hizmet eder.
Azure Güvenlik Duvarı, güvenlik duvarı için yerel bir ağ güvenlik hizmetidir. NSG ile birlikte uygulanan bu iki hizmet, Sıfır Güven ağlarında önemli kontroller ve dengeler sağlar. Azure Güvenlik Duvarı, genel kuralları ve kaba taneli ana bilgisayar ilkesini uygularken, NSG ince taneli ilke ayarlar. Çevre ile ana bilgisayar filtreleme arasındaki bu ayrım, güvenlik duvarı ilkesinin yönetimini basitleştirebilir.
Zero Trust modelinin en iyi uygulaması, uçtan uca şifreleme elde etmek için aktarım halindeki verileri her zaman şifrelemektir. Bununla birlikte, operasyonel bir perspektiften bakıldığında, müşteriler genellikle kendi verilerine görünürlük sahibi olmayı ve ayrıca şifrelenmemiş veriler üzerinde ek güvenlik hizmetleri uygulamayı isterler.
Azure Güvenlik Duvarı Premium, taşıma katmanı güvenliği (TLS) denetimi ile trafiğin tam şifresini çözme ve şifrelemesini gerçekleştirerek izinsiz giriş algılama ve önleme sistemlerinden (IDPS) yararlanma ve müşterilere verilerin kendisinde görünürlük sağlar.
DDoS Protection
Zero Trust, ağdaki hemen hemen her şeyin kimliğini doğrulamaya ve yetkilendirmeye çalışır, ancak DDoS saldırılarına, özellikle de hacimsel saldırılara karşı iyi bir hafifletme sağlamaz. Paket alabilen herhangi bir sistem, Sıfır Güven mimarisi kullananlar bile DDoS saldırılarına karşı savunmasızdır. Sonuç olarak, herhangi bir Zero Trust uygulamasının DDoS saldırılarına karşı tam olarak korunması zorunludur.
Azure DDoS Koruma , DDoS saldırılarına karşı savunmak için DDoS azaltma özellikleri sağlar. Sanal bir ağda internete yönelik herhangi bir kaynağın korunmasına yardımcı olmak için otomatik olarak ayarlanır. Korumanın herhangi bir yeni veya mevcut sanal ağda etkinleştirilmesi kolaydır ve herhangi bir uygulama veya kaynak değişikliği gerektirmez.