Microsoft Azure Altyapı Güvenliği
Çoğu kurumlar veri merkezi altyapısını güvence altına almanın çok fazla kaynak ve yatırım gerektirdiğini düşünüyor. Güvenli altyapıyı korumak için güvenlik uzmanları işe alma zorluklarının net bir yatırım getirisi yoktur. Bu sürekli değişen güvenlik ortamına ayak uydurmak için, maliyetlerini düşürürken ve karmaşıklığı azaltarak altyapılarını koruyabilmeleri önemlidir. Azure, bu zorluklarla başa çıkmak için eşsiz bir konumdadır. Microsoft Azure, fiziksel, altyapı ve operasyonel güvenlik konusunda güvenli bir temel sağlar. Microsoft, Azure platformunun güvenliği de dahil olmak üzere her yıl milyarlarca dolardan fazla parayı yatırım amaçlı harcıyor; böylece kurumların verilerini ve iş yükleri korunabiliyor.
- Güvenli ağ altyapısı
Bulutu benimsemek, kaynakları ölçeklendirirken ve çevik davranırken altyapı maliyetlerini düşürmenize yardımcı olur. Ağ paylaşılsa bile, Microsoft’un Azure ağının ve müşterilerinin ağlarının ayrı ve güvenli kalmasını sağlamak için çeşitli mekanizmaları vardır. Yönetlen (Microsoft tarafından yönetilen) ağlar ve müşteri ağları, performansı artırmak ve platformda hareket eden trafiğin güvenli olmasını sağlamak için Azure’da yalıtılmıştır.
Yönetilen ağlar Microsoft tarafından yönetilir ve yalnızca aygıtların ve yöneticilerin Azure’a bağlanabilmesi için kullanılabilir. Aygıtlar veya yöneticiler Azure’a bağlanmak istediklerinde, tam zamanında erişim ve ayrıcalıklı erişim iş istasyonları gibi denetimler, yetkisiz kişilerin Azure ağına erişmemesini sağlamak için erişilebilirliği sınırlar. Ek olarak, ağ kablolaması, ağı destekleyen ve güvence altına alan donanım ve ağın izlenmesine yönelik sistemlerin entegrasyonu Microsoft tarafından yönetilmektedir.
Müşteri ağları, yönetim ağlarını hedefleyen saldırılara karşı korumak için yönetim ağlarından ayrılır. Müşteri ağları, ağ sanallaştırma yöntemleri kullanılarak birbirlerinden ayrılır, böylece müşteriler diğer müşterilerin ağlarına erişemez. Verilerin güvenceye alınması için farklı ağlar kullanmanın yanı sıra, Azure’un altyapısı üzerinden aktarılan tüm veriler, verilerin gizliliğini ve bütünlüğünü sağlamak için otomatik olarak şifrelenir. Azure ağı üzerinden hareket eden müşteri trafiğini şifrelemek, yetkisiz kullanıcıların altyapıya erişmesini önlemeye yardımcı olur. Azure’un güvenli ağında, DDoS saldırılarına karşı koruma sağlayan yerleşik mekanizmalar da vardır. DDoS saldırıları, kapasiteyi aşacak kadar trafik oluşturarak hizmetlere erişimi engellemeye çalışımaktır. DDoS korumaları, saldırıların hizmetleri azaltmadığından emin olmak için Azure platformunda yerleşik olarak bulunur. Bu korumalar trafiği sürekli izler ve bu saldırıları tespit etmek ve saptırmak için temizleyiciler ve müşteri trafiği profili kullanır.
Microsoft, ağları ayırır, verilerin gizliliğini sağlar ve DDoS saldırılarına karşı etkin bir şekilde çalışır; böylece veri merkezi güvenlik kaynaklarını kurumunuzdaki başka bir alana yeniden atayabilirsiniz.
- Güvenli donanımlar ve firmware
Güvenlik kontrolleri, varsayılan olarak güvenli olmasını sağlamak için Azure ürün yazılımı ve donanımına entegre edilmiştir ve kullanım ömrü boyunca güvende olmaya devam eder.
Microsoft kısa süre önce, bellenimin güvenliğini sağlamak için Project Cerberus’u duyurdu. Cerberus, yetkisiz erişime ve kötü amaçlı güncellemelere karşı koruyan, CPU, bellek ve programlanabilir giriş / çıkıştan oluşan bir yongadır. Mikrodenetleyici ayrıca üretici yazılımının önyükleme, önyükleme zamanı ve çalışma zamanı bütünlüğünü güvence altına alır. Donanımlar, kötü amaçlı kodun algılanmasını ve durdurulmasını sağlamak için işletim sistemi yüklenmeden önce önyükleme ortamına erişebilir. Ürün yazılımları düzenli kod incelemelerinden geçer. Herhangi bir tehdidin işinizi etkilemeden önce algılanmasını ve azaltılmasını sağlamak için donanım ve donanım yazılımının güvenliği izlenir.
Donanımdaki en son gelişmelerden biri, yürütmeyi ve verileri altta yatan işletim sistemi ve operatörlerden ayırmak için Hyper-V ve Intel SGX yonga özellikli sunucuları kullanan gizli bilgi işlemdir. Azure kullanımdaki, taşıma halindeki ve dinlenme halindeki verileri şifreleyebilir. Azure, hem yazılım hem de donanım tabanlı Güvenilir Yürütme Ortamlarını (TEE’ler) destekleyen ilk bulut platformudur. Güvenilir Yürütme Ortamları, müşteri verilerinin depolandığı bir sunucudaki belleğin bir kısmıdır. Yetkisiz yöneticilerin veya işlemlerin bu verilere erişmesini önlemek için yalnızca sistemler erişime sahiptir.
- Güvenlik testleri ve izleme
Microsoft, 24x7x365 müşterileri adına çalışan 3.500’ün üzerinde siber güvenlik uzmanına sahiptir. Bu sayı, kırmızı ve mavi takım çalışmaları ile olası açıkları tespit eden 200’den fazla uzmanı içermektedir. Kırmızı takım Azure’in altyapısını tehlikeye atmaya çalışmakta, mavi takım kırmızı takım tarafından yapılan saldırılara karşı savunma yapmaktadır. Her kırmızı ve mavi ekip çalışmasının sonunda, ekip Azure operasyonel güvenlik sürecine ne öğrendiklerini kodlar, böylece ekip sürekli tespit ve cevaplamada daha etkili olur.
Azure’un altyapısının güvenliğini konusundan bahsettik. Ancak, ağınız için Azure’da kurulum yapmakla yükümlü olacağınız hizmetler vardır. Örneğin, ağ erişim kontrollerini, yük dengeleyicilerini veya şirket içi ağ sanal cihazlarını yapılandırmanız gerekmektdir. Azure ExpressRoute adlı bir hizmet, şirket içi ortamınızdan Azure’a güvenli bir bağlantı kurmanıza yardımcı olur. Platformda otomatik olarak etkinleştirilen temel DDoS korumalarından yararlanmaya ek olarak, katman 3-7 saldırılarına karşı daha fazla koruma için yeni bir hizmet olan Azure DDoS Koruma Standardı’nı kullanabilirsiniz. Örneğin, UDP floods, yükseltme floods veya IPv4 ve IPv6’yı hedef alan saldırılara karşı volümetrik saldırılara karşı koruma sağlayabilir. Katman 3 ve Katman 4 saldırıları tespit edilir ve temizleyicilere gönderilir.
Scrubbers , trafiğin kötü amaçlı olup olmadığını ve ağ üzerinden seyahat etmenin güvenli olup olmadığını belirler. Katman 7’de, HTTP ve SQL protokollerini hedef alan saldırılara karşı korunulabilmektedir.