Azure Security Center, Azure kaynaklarınızın güvenliğini artırmak ve bu kaynakları kontrol altına almak için tehditleri önlemeye, algılamaya ve bunlara yanıt vermenize yardımcı olur. Azure aboneliklerinizde entegre güvenlik izleme ve politika yönetimi sağlayarak fark edilmeyebilecek tehditleri tespit etmenize yardımcı olur.
Pek çok özellik sunan Security Center için birkaç tane önemli özelliği paylaşmak istiyorum;
· Tüm Azure aboneliklerinizin güvenlik durumunu öğrenme
· Saldırılara açık kaynak ve yapılandırmaları bulma ve düzeltme
· Microsoft İş Ortaklarının güvenlik çözümlerini kolayca dağıtın ve izleyin.
· Aktif tehditleri erkenden tespit edin ve hızlı tepki verin (standard version)
· Mevcut güvenlik süreçleriniz ve araçlarınızla entegrasyon yapın
Tabiki bunlar aslında kısaca özetlemek için en çok kullandığım özellikler olup tüm listeyi isteyen teknik uzmanlar için aşağıdaki gibi bir tablo hazırladım. Yani Azure Security Center bize tam olarak neler sunar sorusunun cevabı aşağıdaki tabloda yer almaktadır.
Burada yeri gelmişken hızlıca fiyatlanma modelinden bahsetmek istiyorum. Çünkü belki dikkatinizi çekmiştir ilk maddelerde “standart version” diye bir parantez açtım. Çünkü bazı özellikleri için ücretsiz kullanım hakkın e yazık ki yok.
Sürüm farkları için aşağıdaki makaleyi inceleyebilirsiniz;
Peki Azure Security Center’ a nasıl ulaşıyoruz?
Öncelikle bir Azure aboneliğinizin olması gereklidir. Eğer aboneliğiniz var ise Azure portal.azure.com adresi üzerinden giriş yapabilirsiniz. Eğer bir azure aboneliğiniz yok ise trial bir hesap açabilirsiniz.
Aşağıdaki makaleyi inceleyerek temel yapılandırma ayarlarını yapabilirsiniz;
Peki Azure Security Center için nasıl bir planlama yapmamız gerekiyor;
Aslında temel adımlar aşağıdaki gibidir;
· Security Roles and Access Controls
· Security Policies and Recommendations
· Data Collection and Storage
· Ongoing Security Monitoring
· Incident Response
İlk olarak ilgili azure hesabı ve tabiki içerisindeki kaynaklar için güvenlik sorumluları kim olacak? Yetkileri neler olacak ona karar vermeniz gerekiyor. Pek çok Azure Security Center projesinde ne yazık ki firmalar abonelik sahibi veya sistem yöneticileri otomatik olarak bu işten de sorumlu tuttukları için ilk maddenin planlamasını yani delegasyonunu yapmıyorlar.
Örneğin yukarıdaki gibi bir senaryo için aşağıdaki gibi bir rol/yetki dağılımı yapmanız gereklidir.
Jeff (Cloud Workload Owner)
•Resource Group Owner/Collaborator
David (IT Security)
•Subscription Owner/Collaborator or Security Admin
Judy (Security Operations)
•Subscription Reader or Security Reader to view Alerts
•Subscription Owner/Collaborator or Security Admin required to dismiss Alerts
Sam (Security Analyst)
•Subscription Reader to view Alerts
•Subscription Owner/Collaborator required to dismiss Alerts
•Access to the workspace may be required
Tabiki bu örnek bir çalışma olup günün sonunda Azure üzerinde varsayılan olarak gelen güvenlik grupları ( tüm liste için https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles ) veya RBAC ile şirkete özel roller ve yetkiler tanımlayabilirsiniz.
İkinci adım ise güvenlik ilkeler ve tavsiyeleri (Security Policies and Recommendations).
Birazdan detaylandıracağım ilkeler bölümü basitçe aşağıdaki şekilde de özetlendiği gibi her bir abonelik ile bağlantılı temel güvenlik ilkeleri ve önerilerini içermektedir.
Bu adım için panel erişimi sağlayacağım. Öncelikle Azure Security Center’ a Azure Portal üzerinden ulaşın.
Azure Security Center
Giriş yaptıktan sonra sol tarafta yer alan ana menüden Security Center linkine tıklayabilirsiniz.
Karşımıza yukarıdaki gibi bir karşılama ekranı çıkar, Launch Security Center butonuna basarak ilerleyelim.
Yapınıza göre aşağıdaki gibi bir ekran karşılayacaktır sizleri;
Dashboard olarak isimlendirdiğimiz bu ekran bizlere genel olarak sahip olduğumuz bulut alt yapısındaki güvenlik durumu hakkında özet bir rapor sunmaktadır.
Azure Security Center kullanımın en temel adımı Policy tanımlamaktır. Security Policy (Güvenlik ilkesi), seçilen abonelik içerisindeki kaynaklar için önerilen kontrol setini tanımlar. Azure Güvenlik Merkezi’nde, Azure abonelikleriniz için şirketinizin güvenlik gereksinimlerine, uygulama türüne veya verilerin her abonelikteki duyarlılığına göre ilkeler tanımlarsınız. Bu nedenle öncelikle Policy kısmına tıklıyoruz;
Bu bölüme tıklar tıklamaz karşımıza azure aboneliklerimiz çıkacaktır;
İlgili abonelik üzerine tıkladıktan sonra ise aşağıdaki gibi bir menü bizi karşılıyor;
Yine önceki makalelerimde burada standart tier kullanıyorsanız zaten veri toplamanın açık olduğundan bahsetmiştim. Eğer veri toplamayı kapatmak istiyorsanız öncelikle Pricing Tier bölümünden Free Tier e geçmeniz gerekli ki bu durumda zaten Azure Security Center kullanmanın bir anlamı yoktur, çünkü ortamınızdan toplanan bu veriler olmaz ise zaten güvenlik yorumları ve önerileri yapılamaz.
Temel olarak 3 bölüm var karşımızda;
Prevention policy: İlgili abonelik için temel güvenlik ilkelerini yapılandırmamızı sağlar.
Ayarların hepsi açık olarak gelmektedir ve detayları aşağıdaki gibidir;
System Updates
Windows Update veya Windows Server Update Services’tan edinilebilir güvenlik ve kritik güncelleştirmelerin günlük bir listesini alır. Alınan liste, bu sanal makine için yapılandırılmış olan hizmete bağlıdır ve eksik güncelleştirmelerin uygulanmasını önerir. Linux sistemleri için, ilke mevcut güncellemeleri olan paketleri belirlemek için dağıtımı yapılan paket yönetim sistemini kullanır. Ayrıca, Azure Cloud Services sanal makinelerinden gelen güvenlik ve kritik güncellemeleri kontrol eder.
OS vulnerabilities
Sanal makineyi saldırıya açık hale getirebilecek sorunları belirlemek için işletim sistemi yapılandırmalarını günlük olarak analiz eder. İlke, bu güvenlik açıklarını gidermek için yapılandırma değişikliklerini önermektedir. Bu konuda aşağıdaki baseline takip edilmektedir;
Center Common Configuration Identifiers and Baseline Rules
https://gallery.technet.microsoft.com/Azure-Security-Center-a789e335
Endpoint protection
Anti Virus ve benzeri kötü içerikli kodlar için herhangi bir koruma var mı onu kontrol eder. Şu anda 3 parti olarak sadece Symantec Endpoint Protection desteklenmektedir. Yani azure üzerinde TrendMicro veya Mcafee ya da başka bir üreticiye ait bir AV kullanıyorsanız bu AV henüz tespit edilemediği için uyarı alırsınız. Bu durumda bu özelliği kapatabilirsiniz.
Disk encryption
Veri güvenliği için disk şifrelemeyi önerir.
Network security groups
Network Security grupları, dış dünyaya bağlı olan sanal makineleriniz için gelen ve giden trafiğin kontrol edecek şekilde yapılandırılmasını önerir. Bir alt ağ için yapılandırılmış network security grup, aksi belirtilmediği sürece tüm sanal makine ağ arabirimleri tarafından devralınır. Bir güvenlik duvarı grubunun yapılandırıldığını kontrol etmenin yanı sıra, bu politika, gelen trafiğe izin veren kuralları tanımlamak için gelen güvenlik kurallarını değerlendirir.
Web application firewall
Eğer publis bir interface’ i olan bir sanal makineniz var ve 80/443 nolu portlar inbound trafik için açılmış ise bu durumda bu ilke gereği size bir web uygulama güvenlik duvarı kullanmanız önerilir. Basit bir ilke gibi görebilirsiniz ama emin olun çok kullanışlı. Çünkü büyük bir organizasyon yönetiyorsanız bazen danışmanların veya sistem yöneticilerinin sunucular üzerinde hangi servisleri açtığını tespit etmek çok kolay değildir, olası bir güvenlik zafiyetine neden olmaması için bilinen web servislerinin açık olduğu tespit edilmesi halinde uyarı alacaksınız.
Next generation firewall
Ortamınızı inceleyerek mevcut NSG dışında ek olarak Azure üzerinde farklı üreticilerin sunmuş olduğu yeni nesil sanal güvenlik duvarları için uyarıda bulunabilir. Yani mevcut yapınızı inceler ve bu yapı için NSG ye ek olarak örneğin F5, Citrix, KEMP, Fortinet ve benzeri diğer üreticilerin ürünlerini önerebilir.
SQL auditing & Threat detection
Bu ilke olası kötü durum senaryoları, veri hırsızlığı, erişim denetimleri, soruşturma ve benzer durumlar için SQL Audit ve SQL Database advanced threat detection özelliğinin açık olmasını önermektedir.
SQL Encryption
Bu ilke SQL veri tabanı, yedekleri ve log dosyalarının şifrelenmesini önermektedir. Olurda veri çalınsa bile okunamaması içindir.
Vulnerability assessment
VM’nize bir güvenlik açığı değerlendirme çözümü yüklemenizi öneririz.
Storage Encryption
Şu anda, bu özellik Azure Blobs ve Dosyaları için kullanılabilir. Depolama Hizmeti Şifrelemesini etkinleştirdikten sonra yalnızca yeni veriler şifrelenecek ve bu depolama hesabı içerisindeki mevcut dosyalar şifrelenmemiş olarak kalacaktır.
Diğer iki seçenek ise
Email notification: Oluşan uyarılan gönderileceği mail adresini tanımlamanızı sağlar.
Pricing tier;
Bu bölümü daha önceki makalelerimde anlatmıştım, temel olarak kullandığınız paketi belirlersiniz.
Peki temel olarak ilkeleri görmüş olduk. Burada bir tavsiyede bulunmak istiyorum. Yaptığınız tüm değişiklerin kayıt olması için Apply veya Save butonlarına basmayı unutmayın. Bazen dalgınlık olabiliyor hele ki ürünü yeni incelerken güvensizlik oluşturmasın.
Azure Security Center planlama adımlarının devamını makalemin ikinci bölümünde sizler ile paylaşacağım. Bir sonraki makalemde görüşmek dileği ile esen kalın.
Kaynak
https://docs.microsoft.com/en-us/azure/security-center/security-center-planning-and-operations-guide