Azure Local (eski adıyla Azure Stack HCI), Microsoft’un “secure-by-default” yaklaşımını en net yansıtan ürünlerden biri. Yani sistem daha ilk kurulduğu anda 300’den fazla güvenlik ayarı aktif olarak geliyor. Bu, özellikle dağıtık lokasyonlarda çalışan altyapılar için ciddi bir avantaj. Genellikle bu tür yapıları ana veri merkezlerinde kullanan müşterilerin gözünden kaçmış olsa da özellikle edge lokasyonlar için aslında varsayılan güvenlik çok büyük önem arz etmektedir. Tabi ki bu ana veri merkezleri için güvenliğin önemsiz olduğunu göstermez. Peki bu güvenlik yaklaşımı pratikte ne sağlıyor?
Güvenlik Varsayılanları (Security Defaults)
Azure Local tarafında en kritik konulardan biri başlangıç güvenlik baseline’ıdır.
Sistem kurulduğu anda Legacy protokoller ve zayıf şifreleme algoritmaları devre dışı bırakılıyor, CIS ve DISA STIG gibi standartlara uyum sağlanıyor ve Azure Arc üzerinden merkezi olarak güvenlik durumu izlenebiliyor. Tabi ki özellikle geriye dönük uyum açısından bu bir takım sorunlar çıkarabilir ancak windows platformları olduğu için eğer istenir ise bu protokolleri tekrar aktifleştirebilirsiniz. Buradaki en kritik nokta ise drift control mekanizması. Ne yapıyor? Her 90 dakikada bir sistemin güvenlik ayarlarını kontrol ediyor ve eğer birisi ayarları değiştirirse, otomatik olarak eski (güvenli) haline getiriyor, bu bizim eğitim verdiğimiz zamandaki deepfreeze uygulamasına benziyor ama tabi ki harika bir özellik. Bu da özellikle operasyonel hatalardan kaynaklanan riskleri ciddi şekilde azaltıyor.
Application Control
Azure Local’da Application Control varsayılan olarak açık geliyor. Burada mantık çok net, sistemde sadece izin verilen uygulamalar çalışır, diğer her şey bloklanır.
İki modu var:
- Enforcement Mode → Güvenilmeyen her şey bloklanır (önerilen)
- Audit Mode → Çalışır ama loglanır
Enterprise ortamda net öneri her zaman Enforcement Mode kullanın, ancak tabi ki hayat her zaman buna izin vermez, pek çok projemizde bu nedenle etki ve risk analizi için önce Audit mode, sonra enforce mode ile ilerliyoruz. Bu yapı sayesinde malware çalışamaz, yetkisiz script veya binary’ler devreye giremez ve kernel seviyesinde bile kontrol sağlanır
BitLocker ile Veri Şifreleme
Azure Local’da data-at-rest encryption default olarak aktif geliyor. Yani hem altyapı diskleri hem workload diskleri BitLocker ile şifrelenmiş durumda. Burada kritik öneri Recovery key’leri mutlaka sistem dışında güvenli bir yerde saklayın. Malum yoksa ciddi manada sorun yaşarsınız. Bu özellik özellikle Fiziksel güvenlik risklerine karşı Edge lokasyonlar için çok kritik bir katman sağlıyor.
Local Kullanıcılar: Küçük Ama Kritik Detay
Sistemde default olarak iki built-in hesap geliyor:
ASBuiltInAdmin(aktif)ASBuiltInGuest(pasif)
Best practice:
- Kendi admin hesabınızı oluşturun
- Default Administrator (RID 500) hesabını disable edin
Bu, klasik ama hala en çok atlanan güvenlik açıklarından biri.
Secret Management ve Otomatik Rotasyon
Azure Local içerisinde çalışan servisler sürekli olarak:
- Sertifikalar
- Kimlik doğrulama bilgileri
kullanıyor.
Bu noktada sistem:
- Sertifikaları otomatik oluşturuyor
- Süresi dolmadan otomatik rotate ediyor
- Geçerliliğini sürekli izliyor
Yani klasik “sertifika süresi doldu, sistem çöktü” senaryosu burada minimize edilmiş durumda.
SIEM Entegrasyonu (Syslog Forwarding)
Kurumsal tarafta en kritik ihtiyaçlardan biri de log yönetimi. Azure Local bu işi native olarak çözüyor, syslog üzerinden log forwarding, CEF formatında veri gönderimi ve TCP/UDP ve encryption seçenekleri ile mevcut SIEM altyapınıza (Splunk, QRadar vs.) direkt entegre olabiliyor.
Microsoft Defender ile Native Koruma
Azure Local, Microsoft Defender Antivirus ile birlikte geliyor ve aktif. Sağladıkları en temel özellikler; Real-time protection, Cloud-based threat intelligence ve Otomatik sample submission
Microsoft Defender for Cloud (Preview)
Bir üst katmanda ise Defender for Cloud devreye giriyor.
Ne sağlıyor?
- Security posture assessment
- Threat detection
- Otomatik öneriler ve remediation
Basic plan ücretsiz olarak geliyor. Daha gelişmiş koruma için Defender for Servers planı devreye giriyor.
Evet baktığınız zaman Azure Local, Azure veri merkezi için local bir işletim sistemi sunmasının yanında Azure’ da olduğu gibi varsayılan güvenli bir platform sunuyor. Eğer bu konuda daha fazla bilgi almak isterseniz aşağıdaki linki inceleyebilirsiniz;
Manage system security with Microsoft Defender for Cloud (preview) – Azure Local | Microsoft Learn
