Azure Güvenlik Merkezi Tek Tıklamayla Düzeltme ve Azure Firewall JIT Desteği
Azure Güvenlik Merkezi, Azure ortamınızda size kuş bakışı güvenlik duruş görünümü sunar ve Azure’daki güvenli puanı kullanarak güvenlik duruşunuzu sürekli olarak izlemenizi ve iyileştirmenizi sağlar. Güvenlik Merkezi, en iyi güvenlik uygulamaları olarak önerilen sertleştirme görevlerini tanımlamanıza ve gerçekleştirmenize ve bunları makinelerinize, veri hizmetlerinize ve uygulamalarınıza uygulamanıza yardımcı olur. Bu, güvenlik politikalarınızı yönetmeyi ve uygulamayı ve Azure Sanal Makinelerinizin, Azure olmayan sunucularınızın ve Azure PaaS hizmetlerinin uyumlu olduğundan emin olmayı içerir.
Geçtiğimiz günlerde, iki yeni özellik duyuruldu: Azure Güvenlik Merkezi üzerinden tek bir tıklamayla kaynakların düzeltilmesi ve Azure Firewall JIT desteği. Artık ağ güvenlik grubu (NSG) korumalı ortamlara ek olarak Azure Güvenlik Duvarı korumalı ortamlarınızı JIT ile güvence altına alabilirsiniz.
Güvenlik avantajları sunan bu kadar çok hizmetle, iş yükünüzü güvence altına almak ve sertleştirmek için ilk olarak hangi adımların atılacağını bilmek genellikle zordur. Azure’daki güvenli puan, güvenlik önerilerinizi gözden geçirir ve sizin için öncelik verir, böylece ilk olarak hangi önerilerin gerçekleştirileceğini bilirsiniz. Bu, araştırmaya öncelik verebilmeniz için en ciddi güvenlik açıklarını bulmanıza yardımcı olur. Güvenli puan, iş yükü güvenlik duruşunuzu değerlendirmenize yardımcı olan bir araçtır.
Güvenlik yanlış yapılandırmalarının düzeltilmesini basitleştirmek ve güvenli puanınızı hızlı bir şekilde iyileştirmek için, tek bir tıklamayla kaynakların bir kısmına ilişkin bir öneriyi düzeltmenizi sağlayan yeni bir özellik sunulmaktadır. Bu işlem, düzeltmeyi uygulamak istediğiniz kaynakları seçmenize ve ayarı sizin adınıza yapılandıracak bir düzeltme işlemi başlatmanıza olanak tanır.
Düzeltmek istediğiniz kaynakları seçip Düzelt’i seçtikten sonra düzeltme gerçekleşir ve kaynaklar Sağlıklı kaynaklar sekmesine taşınır. Hata durumunda ek ayrıntılar sağlamak için etkinlik günlüğüne düzeltme işlemleri kaydedilir.
Aşağıdaki öneriler için düzeltme kullanılabilir:
- Web Apps , Function Apps ve API Apps’e yalnızca HTTPS üzerinden erişilebilmelidir
- Web Apps , Function Apps ve API Apps için uzaktan hata ayıklama kapatılmalıdır
- CORS, her kaynağın Web Apps , Function Apps ve API Apps’e erişmesine izin vermemelidir
- Depolama hesaplarına güvenli aktarım etkinleştirilmelidir
- Azure SQL Veritabanı için şeffaf veri şifreleme etkinleştirilmelidir
- Sanal makinelerinize izleme aracısı kurulmalıdır
- Azure Key Vault ve Azure Hizmet Veri Yolu’ndaki tanılama günlükleri etkinleştirilmelidir
- Service Bus’daki tanı günlükleri etkinleştirilmelidir
- SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir
- SQL sunucularınızda gelişmiş veri güvenliği etkinleştirilmelidir
- SQL tarafından yönetilen örneklerinizde güvenlik açığı değerlendirmesi etkinleştirilmelidir
- SQL yönetilen örneklerinizde gelişmiş veri güvenliği etkinleştirilmelidir
JIT VM erişimi, NSG ve Azure Güvenlik Duvarı kurallarınızı kullanarak VM’lere yalnızca gerektiğinde kontrollü erişim sağlayarak VM’nizin ağ hacimsel saldırılarına maruz kalmasını azaltır.
VM’leriniz için JIT’i etkinleştirdiğinizde, korunacak bağlantı noktalarını, bağlantı noktalarının ne kadar süre açık kalacağını ve bu bağlantı noktalarına erişilebilecekleri onaylanmış IP adreslerini belirleyen bir politika oluşturursunuz. Bu politika, kullanıcıların erişim istediklerinde neler yapabileceğini kontrol etmenize yardımcı olur.
İstekler etkinlik günlüğüne kaydedilir, böylece erişimi kolayca izleyebilir ve denetleyebilirsiniz. JIT blade, JIT özellikli mevcut sanal makineleri ve JIT’in önerildiği sanal makineleri hızlı bir şekilde tanımlamanıza yardımcı olur.
Azure Güvenlik Merkezi yakın zamanda onaylanan isteklerinizi görüntüler. Yapılandırılan VM’ler sekmesi, önceki onaylı JIT istekleri için son kullanıcıyı, saati ve açık bağlantı noktalarını yansıtır. Bir kullanıcı Azure Güvenlik Duvarı tarafından korunan bir VM için bir JIT isteği oluşturduğunda, Güvenlik Merkezi kullanıcıya sanal makinenize doğrudan Azure Güvenlik Duvarı hedef ağ adresi çevirinizden (DNAT) tercüme edilen uygun bağlantı ayrıntılarını sağlar.