Azure Security Center – Security Roles and Access Controls ve Security Policies and Recommendations

Azure Security Center, Azure kaynaklarınızın güvenliğini artırmak ve bu kaynakları kontrol altına almak için tehditleri önlemeye, algılamaya ve bunlara yanıt vermenize yardımcı olur. Azure aboneliklerinizde entegre güvenlik izleme ve politika yönetimi sağlayarak fark edilmeyebilecek tehditleri tespit etmenize yardımcı olur.

Pek çok özellik sunan Security Center için birkaç tane önemli özelliği paylaşmak istiyorum;

·       Tüm Azure aboneliklerinizin güvenlik durumunu öğrenme

·       Saldırılara açık kaynak ve yapılandırmaları bulma ve düzeltme

·       Microsoft İş Ortaklarının güvenlik çözümlerini kolayca dağıtın ve izleyin.

·       Aktif tehditleri erkenden tespit edin ve hızlı tepki verin (standard version)

·       Mevcut güvenlik süreçleriniz ve araçlarınızla entegrasyon yapın

Tabiki bunlar aslında kısaca özetlemek için en çok kullandığım özellikler olup tüm listeyi isteyen teknik uzmanlar için aşağıdaki gibi bir tablo hazırladım. Yani Azure Security Center bize tam olarak neler sunar sorusunun cevabı aşağıdaki tabloda yer almaktadır.

Burada yeri gelmişken hızlıca fiyatlanma modelinden bahsetmek istiyorum. Çünkü belki dikkatinizi çekmiştir ilk maddelerde “standart version” diye bir parantez açtım. Çünkü bazı özellikleri için ücretsiz kullanım hakkın e yazık ki yok.

Sürüm farkları için aşağıdaki makaleyi inceleyebilirsiniz;

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/16/azure-security-center-free-ve-standart-tier-farklari.aspx

Peki Azure Security Center’ a nasıl ulaşıyoruz?

Öncelikle bir Azure aboneliğinizin olması gereklidir. Eğer aboneliğiniz var ise Azure portal.azure.com adresi üzerinden giriş yapabilirsiniz. Eğer bir azure aboneliğiniz yok ise trial bir hesap açabilirsiniz.

Aşağıdaki makaleyi inceleyerek temel yapılandırma ayarlarını yapabilirsiniz;

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/16/azure-security-center-nas-l-denerim.aspx

Peki Azure Security Center için nasıl bir planlama yapmamız gerekiyor;

Aslında temel adımlar aşağıdaki gibidir;

·       Security Roles and Access Controls

·       Security Policies and Recommendations

·       Data Collection and Storage

·       Ongoing Security Monitoring

·       Incident Response

İlk olarak ilgili azure hesabı ve tabiki içerisindeki kaynaklar için güvenlik sorumluları kim olacak? Yetkileri neler olacak ona karar vermeniz gerekiyor. Pek çok Azure Security Center projesinde ne yazık ki firmalar abonelik sahibi veya sistem yöneticileri otomatik olarak bu işten de sorumlu tuttukları için ilk maddenin planlamasını yani delegasyonunu yapmıyorlar.

Örneğin yukarıdaki gibi bir senaryo için aşağıdaki gibi bir rol/yetki dağılımı yapmanız gereklidir.

Jeff (Cloud Workload Owner)

•Resource Group Owner/Collaborator

David (IT Security)

•Subscription Owner/Collaborator or Security Admin

Judy (Security Operations)

•Subscription Reader or Security Reader to view Alerts

•Subscription Owner/Collaborator or Security Admin required to dismiss Alerts

Sam (Security Analyst)

•Subscription Reader to view Alerts

•Subscription Owner/Collaborator required to dismiss Alerts

•Access to the workspace may be required

Tabiki bu örnek bir çalışma olup günün sonunda Azure üzerinde varsayılan olarak gelen güvenlik grupları ( tüm liste için https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles ) veya RBAC ile şirkete özel roller ve yetkiler tanımlayabilirsiniz.

İkinci adım ise güvenlik ilkeler ve tavsiyeleri (Security Policies and Recommendations).

Birazdan detaylandıracağım ilkeler bölümü basitçe aşağıdaki şekilde de özetlendiği gibi her bir abonelik ile bağlantılı temel güvenlik ilkeleri ve önerilerini içermektedir.

Bu adım için panel erişimi sağlayacağım. Öncelikle Azure Security Center’ a Azure Portal üzerinden ulaşın.

Azure Security Center

Giriş yaptıktan sonra sol tarafta yer alan ana menüden Security Center linkine tıklayabilirsiniz.

Karşımıza yukarıdaki gibi bir karşılama ekranı çıkar, Launch Security Center butonuna basarak ilerleyelim.

Yapınıza göre aşağıdaki gibi bir ekran karşılayacaktır sizleri;

Dashboard olarak isimlendirdiğimiz bu ekran bizlere genel olarak sahip olduğumuz bulut alt yapısındaki güvenlik durumu hakkında özet bir rapor sunmaktadır.

Azure Security Center kullanımın en temel adımı Policy tanımlamaktır. Security Policy (Güvenlik ilkesi), seçilen abonelik içerisindeki kaynaklar için önerilen kontrol setini tanımlar. Azure Güvenlik Merkezi’nde, Azure abonelikleriniz için şirketinizin güvenlik gereksinimlerine, uygulama türüne veya verilerin her abonelikteki duyarlılığına göre ilkeler tanımlarsınız. Bu nedenle öncelikle Policy kısmına tıklıyoruz;

Bu bölüme tıklar tıklamaz karşımıza azure aboneliklerimiz çıkacaktır;

 

İlgili abonelik üzerine tıkladıktan sonra ise aşağıdaki gibi bir menü bizi karşılıyor;

 

Yine önceki makalelerimde burada standart tier kullanıyorsanız zaten veri toplamanın açık olduğundan bahsetmiştim.  Eğer veri toplamayı kapatmak istiyorsanız öncelikle Pricing Tier bölümünden Free Tier e geçmeniz gerekli ki  bu durumda zaten Azure Security Center kullanmanın bir anlamı yoktur, çünkü ortamınızdan toplanan bu veriler olmaz ise zaten güvenlik yorumları ve önerileri yapılamaz.

Temel olarak 3 bölüm var karşımızda;

Prevention policy: İlgili abonelik için temel güvenlik ilkelerini yapılandırmamızı sağlar.

Ayarların hepsi açık olarak gelmektedir ve detayları aşağıdaki gibidir;

System Updates

Windows Update veya Windows Server Update Services’tan edinilebilir güvenlik ve kritik güncelleştirmelerin günlük bir listesini alır. Alınan liste, bu sanal makine için yapılandırılmış olan hizmete bağlıdır ve eksik güncelleştirmelerin uygulanmasını önerir. Linux sistemleri için, ilke mevcut güncellemeleri olan paketleri belirlemek için dağıtımı yapılan paket yönetim sistemini kullanır. Ayrıca, Azure Cloud Services sanal makinelerinden gelen güvenlik ve kritik güncellemeleri kontrol eder.

OS vulnerabilities

Sanal makineyi saldırıya açık hale getirebilecek sorunları belirlemek için işletim sistemi yapılandırmalarını günlük olarak analiz eder. İlke, bu güvenlik açıklarını gidermek için yapılandırma değişikliklerini önermektedir. Bu konuda aşağıdaki baseline takip edilmektedir;

Center Common Configuration Identifiers and Baseline Rules

https://gallery.technet.microsoft.com/Azure-Security-Center-a789e335

Endpoint protection

Anti Virus ve benzeri kötü içerikli kodlar için herhangi bir koruma var mı onu kontrol eder. Şu anda 3 parti olarak sadece Symantec Endpoint Protection desteklenmektedir. Yani azure üzerinde TrendMicro veya Mcafee ya da başka bir üreticiye ait bir AV kullanıyorsanız bu AV henüz tespit edilemediği için uyarı alırsınız. Bu durumda bu özelliği kapatabilirsiniz.

Disk encryption

Veri güvenliği için disk şifrelemeyi önerir.

Network security groups

Network Security grupları, dış dünyaya bağlı olan sanal makineleriniz için gelen ve giden trafiğin kontrol edecek şekilde yapılandırılmasını önerir. Bir alt ağ için yapılandırılmış network security grup, aksi belirtilmediği sürece tüm sanal makine ağ arabirimleri tarafından devralınır. Bir güvenlik duvarı grubunun yapılandırıldığını kontrol etmenin yanı sıra, bu politika, gelen trafiğe izin veren kuralları tanımlamak için gelen güvenlik kurallarını değerlendirir.

Web application firewall

Eğer publis bir interface’ i olan bir sanal makineniz var ve 80/443 nolu portlar inbound trafik için açılmış ise bu durumda bu ilke gereği size bir web uygulama güvenlik duvarı kullanmanız önerilir. Basit bir ilke gibi görebilirsiniz ama emin olun çok kullanışlı. Çünkü büyük bir organizasyon yönetiyorsanız bazen danışmanların veya sistem yöneticilerinin sunucular üzerinde hangi servisleri açtığını tespit etmek çok kolay değildir, olası bir güvenlik zafiyetine neden olmaması için bilinen web servislerinin açık olduğu tespit edilmesi halinde uyarı alacaksınız.

Next generation firewall

Ortamınızı inceleyerek mevcut NSG dışında ek olarak Azure üzerinde farklı üreticilerin sunmuş olduğu yeni nesil sanal güvenlik duvarları için uyarıda bulunabilir. Yani mevcut yapınızı inceler ve bu yapı için NSG ye ek olarak örneğin F5, Citrix, KEMP, Fortinet ve benzeri diğer üreticilerin ürünlerini önerebilir.

SQL auditing & Threat detection

Bu ilke olası kötü durum senaryoları, veri hırsızlığı, erişim denetimleri, soruşturma ve benzer durumlar için SQL Audit ve SQL Database advanced threat detection özelliğinin açık olmasını önermektedir.

SQL Encryption 

Bu ilke SQL veri tabanı, yedekleri ve log dosyalarının şifrelenmesini önermektedir. Olurda veri çalınsa bile okunamaması içindir.

Vulnerability assessment

VM’nize bir güvenlik açığı değerlendirme çözümü yüklemenizi öneririz.

Storage Encryption

Şu anda, bu özellik Azure Blobs ve Dosyaları için kullanılabilir. Depolama Hizmeti Şifrelemesini etkinleştirdikten sonra yalnızca yeni veriler şifrelenecek ve bu depolama hesabı içerisindeki mevcut dosyalar şifrelenmemiş olarak kalacaktır.

Diğer iki seçenek ise

Email notification: Oluşan uyarılan gönderileceği mail adresini tanımlamanızı sağlar.

Pricing tier;

Bu bölümü daha önceki makalelerimde anlatmıştım, temel olarak kullandığınız paketi belirlersiniz.

Peki temel olarak ilkeleri görmüş olduk. Burada bir tavsiyede bulunmak istiyorum. Yaptığınız tüm değişiklerin kayıt olması için Apply veya Save butonlarına basmayı unutmayın. Bazen dalgınlık olabiliyor hele ki ürünü yeni incelerken güvensizlik oluşturmasın.

Azure Security Center planlama adımlarının devamını makalemin ikinci bölümünde sizler ile paylaşacağım. Bir sonraki makalemde görüşmek dileği ile esen kalın.

Kaynak

https://docs.microsoft.com/en-us/azure/security-center/security-center-planning-and-operations-guide

 

 

 

Exit mobile version