Kategori arşivi: Azure Security

YubiKey for Windows Hello ile Güvenliğinizi Arttırın


Her geçen gün değişen ve gelişen tehditlere karşı biz
güvenlik uzmanları da sürekli olarak sahip olduğumuz teknolojileri güncel
tutmaya çalışıyor ve ek koruma önlemleri ile özellikle kullanıcı kimlik
bilgilerini daha güvenli bir şekilde yaşatmaya çalışıyoruz.

Microsoft başta olmak üzere gerek bulut sağlayıcıları
gerekse global pazarda servis sağlayıcıları şifresiz bir dünya için
çalışmalarını sürdürüyor. Güvenlik yatırımlarının en zayıf halkası olan
şifrelerin bir şekilde sızdırılması, ele geçirilmesi, tahmin edilmesi gibi
nedenlerden dolayı pek çok kritik sistemde Multi Factor Authentication MFA veya
2FA Two Factor Authentication dediğimiz şifrenin yanında gerçekten kullanıcının
kimliğini doğrulayacak ek parametreler tanımlanabilir. Örneğin en çok bilinen
uygulama yıllardır paralarımızı korumak için internet şubesine girerken
kullandığımız SMS uygulamasıdır. Şifrenizi girersiniz ancak bu şifreyi birisi
çalmış, tahmin etmiş veya siz sızdırmış olabilirsiniz, ancak internet şubesine
giriş için tek bir şifre yeterli olmaz. Telefonunuza gelen sms veya soft token
olarak adlandırdığımız mobil uygulamalardan alacağınız doğrulama kodunu
kullanmanız ek güvenlik önlemi olarak kullanılmaktadır.

Aslında VPN, sistem girişleri, portal girişleri ve
benzeri pek çok örneğini görebileceğimiz MFA – 2FA güvenliğin ön planda olduğu
sistemler için günümüzdeki en iyi alternatiflerden birisidir.

Eğer bu konuda daha görsel bir şeyler görmek
istiyorsanız bu yazıyı okumanızı tavsiye ederim.

https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/

YubiKey, Ubico firması tarafından üretilen aslında bir
2FA ürünüdür. Pek çok farlı ürün yelpazesi olmasına karşın benim makaledeki
gündemim Window Hello ile uyumlu olan modelleri olacaktır.

Ürünün web sitesi aşağıdaki gibi olup incelediğiniz
zaman zaten çok etkili bir slogan göreceksiniz;

https://www.yubico.com/

“Modern two factor authentication” Modern iki faktör
kimlik doğrulama. Evet ürünler gerçekten yeni nesil teknolojiler
barındırmaktadır.

Benim ilgilendiğim modeller Yubikey 4 Series olarak
geçen aşağıdaki modellerdir;

YubiKey 4 (Makale için bu modeli kullandım)

clip_image001

  

YubiKey 4 Nano

clip_image002

YubiKey 4C

clip_image003

YubiKey 4C Nano

clip_image004

Okumaya devam et

Active Directory Güvenliği için 10 Temel Öneri


Günümüzde güvenlik her şirket için önemli bir başlık
olmasına karşın güvenlik konseptinde derinlik ne yazık ki temel anlamda
firewall, anti virüs, son dönemde DLP gibi ana başlıklardan daha derine
inemiyor. Özellikle çok fazla bütçe ve uzman ile kurulan banka ortamlarında
bilen yaşanan büyük zafiyetlerin aslında uygulama temelli zafiyetler olduğunu
gördükçe güvenlik algısının sadece yüzeysel ürün temelli değil uygulama bazlı
yapılması gerektiğini bir kez daha görmüş oluyoruz.

Peki her uygulama için güvenlik sıkılaştırma çalışması
yapılabilir mi? Pek çok global üretici için uygulamalarının en iyi güvenlik
çözümleri, yapılandırmaları veya birlikte çalışma senaryoları bulunmaktadır,
ancak özellikle büyük şirketler için bunları tek tek hayata geçirmek var olan
karmaşık yapıyı daha içinden çıkılmaz bir hale sokabileceği gibi bütçe ve zaman
açısından yönetimi zordur. Bundan dolayı özellikle zafiyet testleri sonucunda
kritik uygulamalar hedef alınır. Ancak küçük şirketler için ne yazık ki zafiyet
taramalarının bütçesinin bile bulunması sorun olabiliyor. Madem öyle daha
minimal yapılar için neler önerebiliriz?

Tabiki bu işin doğrusu öncelikle bir veya bir den çok
uzman ile mevcut yapı için zafiyet testlerinin uygulanması, sonuçlarının
değerlendirilmesi, uygulanması ve bu zafiyetlerin kapatıldıktan sonra tekrar bir
test yapılmasıdır. Hatta buna ek olarak “security hardening” olarak bilinen ve
yine büyük kurumlar tarafından özellikle OS seviyesinde yaptırılan sıkılaştırma
çalışması sayesinde testlerde çıkmayan ancak üreticilerin önerdiği en iyi
yapılandırmaları gerçekleştirerek güvenlik seviyenizi daha yukarılara
çekebilirsiniz.

Bende pek çok müşterime aslında bu noktada herhangi bir
ürün almadan yardımcı olmak için sağlık taraması adı altında hizmet sunmaktayım.
Bu makaledeki amacım da bu sağlık taraması kapsamında yaptığım çalışmaların bir
bölümü olan Active Directory için güvenlik anlamında neleri kontrol etmeniz ve
nasıl yapılandırmanız gerektiğini paylaşmaktır. Günün sonunda sağlık taraması
sadece 27001, KVKK, güvenlik gibi başlıkları değil aynı zamanda sisteminizin ne
kadar sağlıklı çalışıp çalışmadığını ve kritik bulguların olup olmadığını
görmeniz için alabileceğiniz bir servis.

Bunu yapan ya da aslında yaptığını iddia eden pek çok
araç görebilirsiniz. Ancak birkaç temel rapor ve pasta dilimi görseller ile
kritik alt yapılarınız için yorum yapmanız doğru olmayacaktır. Nasıl zafiyet
tarama ürünlerinin olmasına karşın Pentest adı altında uzman danışmanlara ücret
ödeyip gerçek hayat senaryolarının sisteminiz üzerinde denenmesini sağlıyorsanız
yine bir uzmanın sizin yaşayan bu sisteminiz için yorum yapması çok
kıymetlidir.

Peki gelelim konumuza, güvenli bir Active Directory
için nelere dikkat etmemiz gerekiyor?

1 – Varsayılan Hesapların Kapatılması veya
Değiştirilmesi

Öncelikle ne yazık ki hala pek çok sistem yöneticisi
Active Directory ile beraber gelen Administrator olarak isimlendirilen
varsayılan hesap ile sistemlerini yönetmektedir. Bu pek çok ransomware başta
olmak üzere uzak erişim ve sonrasında verilerin şifrelenmesi ile sonuçlanan
atakları kolaylaştırmaktadır. Çünkü hala pek çok şirket dış dünyaya RDP açık
sistemler barındırmakta ve hele varsayılan kullanıcı ile bu sistemleri yönetiyor
ise zaman içerisinde şifre deneme yanılma yolu ile kolaylıkla bu sistemlere
sızmak mümkündür. Sadece ransomware değil pek çok hak yükseltme, içeriden gelen
ataklarda da varsayılan admin hesapların kullanılması büyük zafiyetlere neden
olmaktadır. Bu nedenle ilk olarak varsayılan Administrator hesabının
kopyalanarak yeni bir yönetici hesabı oluşturulması ve mevcut yönetici hesabının
tüm yetkilerinin alınması gereklidir. Bu sayede örneğin “Hakan” isminde standart
bir user olarak görünen ama oysaki “Administrator” hesabının yerine geçen yeni
bir yönetici hesabınız olacaktır. Mevcut hesabı bu şekilde kopyalayacak
uzmanlığınız yok ise en kötü “rename” yani Administrator yerine “hakan”
kullanarak” en azından varsayılan brüte force şifre bulma atakları için öne
geçebilirsiniz.

clip_image002

2 – Yönetici Hesapları Ayrıştırılması

Bir diğer sık yaptığımız hata ise tek bir kullanıcı
hesabı ile hem kişisel bilgisayarımızı hem Forest/Domain ortamını yönetiyor
olmamız. Burada her şirket için farklı çözüm oluşturabileceğimiz gibi en iyi
senaryo olarak kendi bilgisayarımız için “hakan”, uzak son kullanıcı
bilgisayarlarını yönetmek için “wrk_hakan”, domain ortamındaki sunucuları
yönetmek için “srv_hakan” ve Active Directory, Exchange, CA Server gibi kritik
alt yapı sunucuları için “ent_hakan” kullanıcı hesaplarını oluşturmanız ve en
önemlisi de örneğin srv_hakan kullanıcısının veya buna bağlı grubun üyelerinin
herhangi bir son kullanıcı bilgisayarına giriş yapmasına izin vermemeniz
gereklidir. Benzer şekilde ent_hakan da DC, Exchange gibi sunucuların dışında
herhangi bir sunucuya login olmamalıdır. Ayrıca varsayılan olarak gelen domain
admins grubu tüm bilgisayarlarda local admin olduğu için onu da kaldırmanız ve
son kullanıcı makineleri, sunucular için ayrı lokal admin grupları oluşturmanız
şarttır.

3 – Kritik Grup Üyeliklerinin Kontrolünün
Sağlanması

Güvenlik emek ister tabiki gönül ister ki hiç ürün
satın almayalım ancak bazı noktalarda temel Audit veya siem ürünleri güvenlik
için şart. SIEM belki bu madde için çok lük kalabilir ancak lepide gibi uygun
maliyetli bir Audit ürünü ile AD kritik grupların üyelik güncellemelerini
mutlaka takip etmeniz gereklidir. Bu sayede olası bir hak yükseltme veya 2.
Maddedeki senaryoyu bozan bir yönetici olması halinde bundan mutlaka haberdar
olmanız gereklidir.

clip_image004

4 – Lockout Policy

Çok temel bir policy olmasına karşın hala çok büyük
yapılarda bile Lockout policy olmadığına sağlık taraması çalışmalarım sırasında
karşılaştım. Bunun tabiki yönetimi bir hayli zor olduğu için her müşterinin
farklı bir yorumu bulunur ancak tartışmasız en temel Active Directory güvenlik
önlemi lockout policy uygulanmasıdır.

clip_image006

 

5 – Password Policy

Çok temel bir bilgi olduğu ve artık bu konuda çok ciddi
farkındalık olduğu için üzerinde çok durmayacağım, ancak burada önemli olan
nokta eğer yetkili hesap segmentasyon yapmışsanız tek sorun yöneticinizin sahip
olduğu tüm hesaplara aynı şifreyi vermesi olacaktır ki bunu engellemezseniz
aslında sizin herhangi bir ürün almadan sağladığınız hak yükseltme koruma
özelliğiniz bir anda çöp olabilir.

clip_image008

6 – Eski Kullanıcı ve Makine Hesaplarının
Temizlenmesi

Ne yazık ki pek çok sağlık taramasında bu noktanın
düzenli olarak yapılmadığını görüyoruz. Banka, Telekom veya global firmalar gibi
düzenli denetlenen firmaların dışında ne yazık ki işten ayrılmış kullanıcı
hesaplarının hala aktif olarak kaldığını görebiliyoruz. Burada gerek makine
gerekse kullanıcı hesaplarının düzenli kontrol edilmesi ve gereksiz olan
hesapların önce disable, daha sonra şirket politikasına göre silinmesi
güvenliğinizi arttıracak adımlardan birisi olacaktır.

clip_image010

7 – Düzenli Yama Yüklenmesi

Çok geleneksel olacak ama OS seviyesinde çıkan kritik
yamalar Active Directory ortamınız için çok büyük risk doğurabilir. Sadece OS
seviyesinde değil özellikle son dönemde gördüğümüz CPU zafiyetleri de ne yazık
ki çok ciddi güvenlik zafiyetlerine neden olduğu için aslında AD ortamınızı
üzerinde barındırdığınız donanımların firmware yüklemelerinden OS yamalarına
kadar güncel bir sistem kullanıyor olmanız gerekli. Şimdi yama yüzünden kesinti
yaşan müşterilerin “aman hocam bana yama deme” dediğini duyar gibiyim ama yine
hep dediğim gibi pilot dağıtım, test yapmadan yapılan her yama hangi sisteme
olur ise olsun büyük bir zarar verme potansiyeli taşır. Bu üreticilere göre
farklılık göstermek ile beraber bu kötü tecrübeler ne yazık ki sistemlerimizi
bilinen zafiyetlere karşı korumasız bırakmamız için bir bahane olamaz. Yama
yönetimi aslında başlı başına ayrı bir konu olduğu için bunu da geçiyorum
şimdilik.

clip_image012

8 – Çoklu Kimlik Doğrulama

Active Directory gibi sistemlere erişimlerin
sınırlanması ve hatta bu tür sistemlere giriş yapabilecek makinelere ise smart
card gibi ek güvenlik önlemleri ile girebiliyor olmanız ayarlanmış olması
gereklidir. Örneğin bizim en değerli varlıklarımızdan birisi olan mali
varlığımıza erişirken nasıl kimse sms veya benzeri ikinci doğrulama
mekanizmalarından vazgeçmiyor ise bir şirket için verilerde en değerli varlıklar
olduğundan suyun başındaki konumu nedeni ile AD erişimleri mutlaka MFA – 2FA
cihazları ile desteklenmelidir.

Bu basit bir örnek

https://www.cozumpark.com/blogs/donanm/archive/2018/08/05/yubikey-for-windows-hello-ile-guvenliginizi-arttirin.aspx

clip_image014

9 – İzleme

Aslında grup değişiklikleri izlenmesi başlığında izleme
noktasının öneminden bahsetmiştim, ancak bu çok özel bir izleme örneği olup her
şirketin bunu yapması bazen mümkün olmuyor, ancak bu maddeyi gerçekleştiremiyor
olsanız dahi genel olarak AD üzerindeki GPO, DNS, AD değişikliklerinden mutlaka
haberdar olmanız gerekli, aksi halde bu maddeye kadar yapmış olduğunu pek çok
değişiklik kötü amaçlı olarak geriye doğru değiştirilebilir ve bundan haberiniz
olmayabilir. Bu konuda Lepide, Netwrix, Manage Engine, Change Auditor gibi pek
çok Audit yazılımı kullanabilirsiniz. Tabiki sahip olduğunuz SIEM’ i eğiterek
kritik durumlar için yine log üretmesini sağlayarak bu ihtiyacı
karşılayabilirsiniz ama benim her zaman tercihim AD, Exchange gibi kritik
servisler için özelleşmiş Audit yazılımları almak olacaktır. SIEM olsun bana bir
zararı yok hatta tüm logları topluyor süper ama T anında o SIEM den istediğim
bilgiyi almak bazen zor bazen imkânsız olabiliyor.

10 – Yedekleme ve Felaket Senaryosu

Evet en iyi güvenlik önlemlerinden biriside tabiki çok
sağlam bir yedeğinizin olması. Veya olası bir saldırı, şifre ele geçirme ya da
servis kesintisi gibi ataklar için geri dönüş planınızın olmasıdır. Buna sahip
iseniz pek çok beklenmedik saldırı için kurtarma senaryonuz hazır
olacaktır.

Evet, elimden geldiği kadar basit olarak bir
farkındalık makalesi hazırlamaya çalıştım. Tabiki benden 27001 özelinde, KVKK
veya temel sağlık taraması alan müşterilerimin sadece Active Directory için 184
noktaya baktığımı biliyorlar, yani bu işin hepsini burada makaleye dökmek ne
yazık ki çok ciddi bir zaman alacağı için ben en azından böyle hizmetler veya
ürünler alamayan pek çok kobi çapındaki firmalar için yardımcı olmak amacı ile
bu bilgilerimi paylaştım. Ancak daha ciddi iş ihtiyaçlarınız ve bütçeniz var
ise tabiki benim gibi bir uzmandan böyle profesyonel bir tarama hizmeti ile
durum rapor edinmeniz ve sonrasında da ister mevcut ekipleriniz ile, iste
danışmanlarınız ile iyileştirme çalışmasını Active Directory gibi kritik tüm
sistemler için yapmanızı öneririm.

 

Kaynak

https://www.cozumpark.com/blogs/windows_server/archive/2018/10/07/active-directory-guvenligi-icin-10-temel-oneri.aspx

 

 

Azure Information Protection Scanner Express Installation

Geçen yıldan beri artan KVKK isteklerine pek çok
müşterimde AIP ile cevap vermekteyim. Genel olarak süreç ve hukuk tarafını
tanımlayan müşteriler teknoloji için kapımızı çalıyorlar, pek çok alanda teknik
tedbirleri tamamlamak ve GDPR veya KVKK için hazır olmak istiyorlar. Bu noktada
tabiki teknik tedbirlerde pek çok farklı çözüm veya ürün kullanabilirsiniz
ancak en temel teknik tedbir verilerin sınıflandırılmasıdır. Bu noktada
piyasada pek çok eski ve yeni ürün bulunmaktadır. Bu ürünlerden birisi ise
Azure Information Protection’ dır.

Bu konuda pek çok kaynak paylaştığım için bunlardan en
özet ve anlaşılanı aşağıdaki video olup izlemenizi tavsiye ederim.

https://tv.cozumpark.com/video/851/Azure-information-Protection

Bu makalemde ise AIP ile beraber gelen AIP scanner
yüklemesinden bahsedeceğim. Kullanıcı makinelerine yüklediğimiz agent sayesinde
burada üretilen ve işlenen verileri sınıflandırabiliyoruz ancak file server gibi
sharepoint ve benzeri ortamlardaki kütüphanelerin taranması ve sınıflandırma
ihtiyacı için aip scanner adını verdiğimiz ayrı bir agent – ürün
kullanıyoruz.

clip_image002

Yukarıda gördüğünüz gibi bir sunucu üstüne scanner
servisini kuruyoruz, internet üzerinden sınıflandırma ilkelerini alıyor, SMB
veya http/HTTPS servisleri ile sınıflandırılacak kütüphanelere bağlanıp
sonuçları SQL veri tabanında saklamaktadır.

Bu makalemde ben de bu ürünün nasıl yükleneceğinden
bahsedeceğim. Aslında ürünün yüklenmesinde pek bir sıkıntı yok daha çok
kullanımında uzmanlık gerektiren konular olup bunu da uygun olduğum bir başka
hafta sonu yazmayı düşünüyorum.

Bu arada bu ürünle gerçekten çok büyük ve global birkaç
firmada KVKK kapsamında veri sınıflandırma yaptığım için ciddi bir tecrübeye
sahip oldum. O yüzden özellikle rakip ürünlere göre artıları ve eksilerini
bilerek bu tarz ürünleri müşterilere aldırmak biz danışmanların en büyük
sorumluluğu olsa gerek.

Okumaya devam et

Varsayılan Azure Üyelik Yetki Sorunu Hakkında

Malum bulut hayatımızın bir parçası, benim ise ana iş kalemlerimin başında yer alıyor. Durum böyle olunca pek çok alanda müşterilerime sunduğum danışmanlık hizmetlerinin bir bölümünü de bulut danışmanlığı kaplıyor. Çok fazla müşteri olunca da ister istemez panelleri ayrı yönetmek yerine tek bir hesabıma yetki vermek yönetim anlamında büyük kolaylık sağlıyor.

Daha basit bir ifade ile ben bir hesap ile giriş yapıp ardından müşterilerimin panellerine rahatlıkla geçiş yapabiliyorum.

Yukarıda tabiki müşteri bilgilerini gizlemek için biraz abarttığım buzlama tekniği ile pek çok subscription’ a sahip olduğumu görebilirsiniz.

Şimdi buraya kadar her şey çok güzel, hatta eski azure kullananlar bilir bu bölüm bile sayfanın sağ en üst köşesindeyken birden daha sol tarafa doğru taşındı ve ayrı bir hızlı erişim düğmesi eklendi. Üstüne bir de böyle bir seçenek geldi;

İlk başlarda buna pek anlam veremedim, yani neden varsayılan directroy olarak bir şey seçmeliydim, en son hangi dizinde çalışmışsam ondan açılması daha mantıklı geliyordu. Taki bir müşterimdeki panelden ilgili hesabımın yetkisini kaldırana kadar. Kurumsal hesap ile güncelleme yapıp hotmail hesabımı kaldırdım, ancak ondan sonra bir daha portal.azure.com’ a giriş yapamadım. Çünkü sürekli olarak aşağıdaki gibi bir URL adresine yöneldiğini gördüm;

https://portal.azure.com/signin/index/@musteri.com.tr?loginHint=hakanschc%40hotmail.com

Sondaki adres benim giriş yaptığım adresti, ortadaki musteri.com.tr ise eskiden yetkim olan bulut tenant, ancak yetkim olmadığı için aslında ben o panele girmek istemesem bile bir şekilde en son o panel açık kaldığı için ilgili üyeliğe ulaşmaya çalışıyor ancak yetkisi olmadığı içinde ulaşamıyordu. Case açmak en doğru çözümdü muhtemel ama işte bizim aklımıza biraz farklı çalıştığı için yukarıdaki URL’ i fark ettiğim ancak bunu alıp mevcut başka bir panele girerek bu URL için yetkimin kaldırıldığı tenant domain yerine yetkili bir domain yazdım ve sonuç başarılı. Artık panelime erişim sağlayabildim. Yukarıda paylaştığım gibi varsayılan tenant ayarımı da artk yetkili olduğum bir hesap ile değiştirdim. Eğer eski panele erişebiliyorsanız kullanıcı delegasyonunuzu kaldırarak bu sorunu daha kolay çözebilirsiniz ancak eski panele erişemiyorsanız bu durumda benim çözüm hayat kurtarabilir.

Umarım faydalı bir ipucu olmuştur.

Microsoft MFA Servislerinde Sorun Yaşanmaktadır

Bu sabah Türkiye yerel saati ile 07:39′ dan beri MFA servisleri düzgün çalışmadığı için pek çok azure ve office 365 müşterisi MFA zorunlu hesapların sistemle login olurken sorun yaşadığını gördü. Sorun yine Türkiye yerel saati ile 22:06 itibariyle devam etmektedir. Aşağıdaki siteden bu tarz global sorunları takip edebilirsiniz

https://azure.microsoft.com/en-us/status/

Azure Security Center Dashboard Yenilendi

Özellikle birden çok üyelik sahibi sistem yöneticileri için hangi üyeliklerin azure security center kapsamında olduğunu çok daha iyi görebileceğimiz ve bunun gibi aslında uzun süredir azure security center kullanan müşterilerden gelen geri bildirimlere göre yenilenen dashboard gerçekten çok daha kullanışlı. Hızlı bir inceleme için aşağıdaki videoyu izleyebilirsiniz.

Buda benim ortamımdan bir ekran görüntüsü.

Azure ile Güvenliğinizi Artırmanın 3 Yolu

Milli ve Yerli gündemine sahip bir ülkede Azure gibi bir alt yapı ile güvenliğinizi arttırmanın yollarını yazmak son derece heyecanlı aslında. Tabiki ben dahil tüm bulut uzmanlarının asıl dikkat çekmeye çalıştığı nokta gerek alt yapı gerekse teknoloji yatırımlarımızı doğru bir şekilde yaparak henüz üretmediğimiz teknolojiler için harcadığımız bütçeleri sınırlandırmaktır. Bu sayede aslında gerçekten yerli ve milli olan projeler içinde ek yatırım bütçelerine sahip olabiliriz. Ancak bütçemizi gelişi güzel kullandığımız sürece aslında bu ürünlere pek fırsat verilecek gibi değil. Yani motivasyon olarak yerli ve milliyi destekliyor ancak iş satın almaya gelince pek istekli olmuyoruz. Bu tabiki ayrı bir konu ve gündem ama bu yazıyı kaleme alırken aslında Dünyanın farklı ülkelerinde olduğu gibi ülkemizde de günün sonunda yurt dışına çıkan veriler ile ilgili bir endişe olduğunu biliyor ve özellikle sağlık, finans gibi ülke için kritik verilerin yurt içinde saklanması noktasında hem fikir olduğumu belirtmek isterim. Bu nedenle zaten yurt dışı örneklerine de bakarsanız eğer bazı ülkelerde devlet alt yapıları için ayrı veri merkezleri olduğunu göreceksiniz.

 

Peki bizim odağımız neresi? Tabiki çok ciddi finans verileriniz, sağlık verileriniz veya devlet kurumuysanız devlet verilerinizi buluta koyamazsınız. Burada pek çok regülasyon gereği (BDDK, EPDK, SPK vb) bir kısıt olurken buradan gelen rüzgâr ile aslında pek çok servisi kullanma şansını kaçırıyoruz. Özel şirketler tabiki kar odaklı olduğu için aslında bulut servislerini en iyi kullanan şirketler oluyorlar. Örneğin bir yatırım gerektiğinde ilk olarak bu hizmeti buluttan hızlı bir şekilde alıp alamayacaklarına bakıyorlar çünkü aynı hizmeti yerleşik olarak almak için herhangi bir ürüne daha çok para ödeyecekleri kesin. Bu yedekleme, iş sürekliliği, güvenlik, izleme veya diğer temel ihtiyaçlar için çok açık bir şekilde görülebiliyor. Hatta son dönemde bulut alerjisi olan firmalarda bile (bulut alerjisi derken anlatmak istediğim aslında herhangi kritik bir verisini bulutta tutmayacak olsa bile bir şekilde bulut ile temas kurmak istemeyen, kimisi korktuğu için, kimisi bilmediği için uzak duran firmalar diyebiliriz) bulut yatırımlarını arttırmaya başladı. Günün sonunda çünkü örnek bir geçiş için 10TB disk alanı lazım oldu, hadi bir satın alma yapalım dediğiniz de karşınıza bir rakam çıkıyor, aynı alanı geçici olarak bulut üzerinden almak hatta kalıcı bile alsanız rakamlar çok uygun olunca ister istemez bulutu kullanmaya başlıyorlar. Veya çok ciddi boyutlardaki verileri analiz etmek için, toplu yapılan eylemleri kolaylaştırma veya otomatikleştirmek için gibi pek çok şirketin farkı ihtiyaçları için farklı çözümleri kullandığını görüyoruz. Güvenlikte son dönemde bu ürünlerin arasına girmeye başladı. Ever herkesin yerleşik sistemler için anti virüs, anti spam, IDS, IPS, DLP, Network izleme, Firewall, WAF derken şirket çapına göre çok ciddi rakamlarda güvenlik yatırımlarının olduğunu görüyoruz, ancak bir servisi veya alt yapıyı buluta çıkarınca sanki o dünyada bir güvenlik ihtiyacı yok gibi davranıyorlar. Ancak sorun yaşamaya başladıkları ancak böyle bir ihtiyacın olduğunu anlıyorlar. Bu sırada kullanmaya başladığı ürünlerin aynı zamanda yerleşik sistemler içinde çözümler sunduğunu öğrenince artık yeni yıl yatırım bütçeleri çok değişiklik gösteriyor. Bu konuda pek çok örnek ürün gösterilebilir aslında, özellikle güvenlik alanında OMS ve Azure Security Center’ ın birlikte kullanımı ile inanılmaz etkili bir güvenlik ağı kurabiliyorsunuz.

Azure Security Center hakkında merak ettiğiniz her konuda bir yazımı bulabilirsiniz;

Azure Security Center’ ı Nasıl Denerim?

Azure Security Center Free ve Standart Tier Farkları

Azure Security Center – Security Roles and Access Controls ve Security Policies and Recommendations

Azure Security Center – Data Collection and Storage

Azure Security Center – Ongoing Security Monitoring

Azure Security Center – Incident Response

Azure Security Center Alerts ve Veri Toplama Teknolojileri

Azure Security Center Custom Alert Rules

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions – non-Azure computers

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions – Advanced Threat Analytics

 

Peki nedir bu güvenliğinizi arttıracak 3 yöntem?

Öncelikle tabiki Azure Security Center gibi Microsoft tarafından sağlanan bulut güvenlik ürünleri ile güvenlik yatırımlarınızı azaltabileceğiniz gibi daha gelişmiş ürünleri kullanabilirsiniz.

Microsoft 50’ den fazla bölgede sahip olduğu Azure veri merkezileri için hem fiziksel hem de sanal güvenlik anlamında her yıl milyarlarca dolarlık yatırım yapmaktadır.  Özellikle güvenlik alanında çalışan ve tek işi bu olan 3500 personeli vardır. Evet yatırım rakamları ve personel sayısını düşündüğünüz zaman pek çok güvenlik firmasından daha büyük bir organizasyondan bahsediyoruz. Çünkü bulut güvenliği geleneksel güvenlikten çok farklıdır.  Temelde kullanılan donanımların bile özelleştirilmesinden tutunda sunulan servislere kadar milyarlarca kullanıcının eriştiği bu sistemleri sürekli olarak güvenli tutmak ciddi bir iştir.

Özetle Microsoft güvenlik konusunda son derece ciddi ve sürekli olarak yatırım yaptığı bir alan olduğu için mevcut azure güvenlik servislerini kullanmanız sizlerin de güvenlik alt yapısını daha üst seviyeye çekemeye yardımcı olacaktır.

Microsoft’ un bu alandaki bir diğer artısı ise bulut güvenlik sorumluluğunun ortak bir paydaş olduğunu müşterilerine her seferinde hatırlatmasıdır. Buna “Shared responsibility model” denmektedir.

https://sozluk.cozumpark.com/goster.aspx?id=4369&kelime=Microsoft-shared-responsibility-model

Bunun müşterilere kazanımı aslında kendi üzerlerine düşen güvenlik sorumluluklarını yerine getirmeleri durumunda aslında onlara vaat edilen SLA’ lerin geçerli olunacağının bilinmesidir. Bu sayede müşteriler hangi sorumlulukların kendilerine ait olduğunu kesin bir şekilde bilir ve ona göre yatırım yapar, personel görevlendirir.

Müşterilerin kendi sorumluluk alanlarındaki görevler içinde aslında hazır pek çok yerleşik ürün sunmaktadır. Azure Active Directory gibi tüm servisler için aslında merkezi bir kim ve erişim yönetim hizmeti sunar, bu hizmet ile beraber ister IaaS ister SaaS veya PaaS kullanın tüm bulut veya yerleşik alt yapınız için merkezi bir kimlik ve erişim yönetimine sahip olursunuz. Size düşen sadece örneğin kritik hesaplar için logon işlemlerini sıkılaştırmak, ekranlar ile izlemek ve benzeri güvenlik arttıracak çalışmaları yapmak kalıyor. Benzer şekilde Role-Base Access dediğimiz belirli yöneticileri sadece ihtiyaç duydukları yetkileri vererek gereksiz yetki nedeni ile kötüye kullanım veya hatalı eylemleri sınırlamış olursunuz.

Kimlik yönetimi yanı sıra güvenlik bir network altyapısı sunmaktadır. Virtual Network mantığı ile gerek sizin gerekse tüm müşterilerin alt yapılarını bir birinden izole etmiş ve bu alt yapıların erişim denetimini (kendi networkleriniz için) güvenli kılmak için kullanacağınız pek çok segmentasyon ve güvenlik aracını sunmuştur. İsterseniz Azure Express Route ile mevcut yerleşik network alt yapınızı direkt olarak Azure alt yapısı ile konuşturabileceğiniz gibi site-to-site vpn sayesinde de benzer deneyime sahip olabilirsiniz. Dışarıya açık web siteleriniz veya uygulamalarınız için Web Application Firewall kullanabileceğiniz gibi isterseniz RSA 2018 de duyurulan DDOS hizmetini de kullanabilirsiniz.

Tabiki en değerli varlığımız olan verilerimizin de hem saklama hem de dolaşım güvenli Microsoft için çok önemli. Burada endüstri Standartı güvenlik ve şifreleme teknolojileri kullanılarak dolaşımdaki verilerinizin başkaları tarafından izlenmesi engellenmektedir. Azure Key Vault sayesinde Azure storage üzerinde sakladığınız tüm verilerde şifreli olarak saklanmaktadır. Bu ve benzeri tüm şifreleme ve koruma özellikleri tabiki cosmos DB veya SQL içinde geçerlidir. En güzeli ise tüm bu güvenlik özelliklerini Azure Security Center üzerinden sorunsuz ve kolay bir şekilde yönetebiliyor olmanızdır.

Gelelim Azure ile size sunulan ve şirketinizin güvenlik seviyesini arttıran 3. temel özelliğe. “Intelligence” evet kullandığı ürünler gerçekten çok zeki ve özellikle milyarlarca kimlik doğrulama istekleri, ataklar, kötü içerikli mailler, sistem güncellemeleri, yetkisiz erişim denemeleri derken elinde inanılmaz bir veri bankası bulunmaktadır.

Böylesine büyük bir veri ambarına sahip olan Microsoft bu verileri aslında bizlerin güvenliği için kullanmaktadır. Dünyanın herhangi bir yerinde bir müşteriye yapılan ve tespit edilen bir saldırı belki birkaç saat sonra bize yapılacaktır, ancak anlık izleme sayesinde bu konuda hızlıca aksiyon alınmaktadır. Aslında bu mantığı güvenlik üreticilerinden iyi biliyoruz. Örneğin bir firewall üreticisi en çok Dünya üzerinde şu kadar online kutum var der, bunu sebebi ben çok satıyorum demekten öte aslında benim çok ciddi bir bilgi ağım var demektir. Yani herhangi bir yerdeki kötü içerikli kodu, atağı görür ve bunun için global bir policy yazarak diğer müşterilerimiz korurum demek istiyordur. Microsoft bu oyuncuların arasında bu konuda en büyüğü diyebiliriz. Sadece birkaç rakam ile bunu anlatmak gerekir ise bir ayda bulut hizmetleri üzerinde 300 milyar kullanıcı kimlik doğrulama işlemi, 200 milyar spam veya kötü içerikli olması nedeni ile incelenen mailden bahsediyoruz. Özetle rakamlar gerçekten ne kadar ciddi bir istihbarat ağı olduğunu daha göz önüne seriyor.

Evet makalemin sonuna geldik. Amacım sizlere bulut hizmetleri ile aslında mevcut altyapınız dahil bulut üzerindeki sistemleriniz için daha güvenli bir Dünya sunabilirsiniz. Örneğin çok büyük güvenlik yatırımları yapmak yerine bunu aslında bir nevi kiralama mantığı ile bulut üzerinden bir servis olarak alabilirsiniz, bu sayede hem hizmeti denemiş hem de bulut teknolojilerinden yararlanmaya başlamış olursunuz.

Bir sonraki makalemde görüşmek dileği ile.

Kaynak

https://azure.microsoft.com/en-us/blog/the-3-ways-azure-improves-your-security/

 

Azure Security Center İçin Yeni Özellikler Duyuruldu

Azure Security center, Azure kaynaklarınızın güvenliğini artırmak ve bu kaynakları kontrol altına almak için tehditleri  önlemeye, algılamaya ve bunlara yanıt vermenize yardımcı olur. Azure aboneliklerinizde entegre güvenlik izleme ve politika yönetimi sağlayarak fark edilmeyebilecek tehditleri tespit etmenize yardımcı olur.

Bu konuda daha önce yazmış olduğum aşağıdaki makalelerden bu konuda daha fazla bilgiye ulaşabilirsiniz;

Azure Security Center’ ı Nasıl Denerim?

Azure Security Center Free ve Standart Tier
Farkları

Azure Security Center – Security Roles and Access
Controls ve Security Policies and Recommendations

Azure Security Center – Data Collection and
Storage

Azure Security Center – Ongoing Security
Monitoring

Azure Security Center – Incident
Response

Azure Security Center Alerts ve Veri Toplama
Teknolojileri

Azure Security Center Custom Alert Rules

On-Prem Sistemler İçin Azure Security Center Kullanımı
– Azure Security Solutions – non-Azure computers

On-Prem Sistemler İçin Azure Security Center Kullanımı
– Azure Security Solutions – Advanced Threat Analytics

 

Visibility and governance at the organizational level

Yeni Dashboard sayesinde güvenlik durumunuz abonelik temelli olmaktan çıkıp organizasyon temelli bilgiler sunmaktadır.

clip_image002

Malum bugüne kadar üyelik bazlı ilerliyorduk ancak birden çok üyeliği ve büyük yapıları olan şirket yöneticileri için bu bir zafiyet teşkil etmekteydi. Yeni ana ekran sayesinde artık organizasyon
seviyesinde güvenlik durumunuzu rahatlıkla görebileceksiniz.

Improve your productivity

Okumaya devam et

Azure Security Center Hakkında Merak Ettiğiniz Her şey Bu Makalelerde

Merhaba arkadaşlar, şimdi RSA2018 de Azure Security Center için yeni özellikler duyuruldu, bende oturdum bir makalesini yazayım dedim. Sonra aklıma bir kaç tane makale yazmıştım onların linklerini vereyim bir daha security center anlatmadan yeniliklere geçerim, bu amaçla şöyle geriye dönük bir baktım ki ben bir hayli makale yazmışım bu konuda, bunları sizinle paylaşmak istedim. Evet ülkemizde belki bulut hak ettiği oranda kullanılmıyor ama kullanan içinde bulunmaz bir kaynak olmuş. Umarım beğenirsiniz.

 

Azure ile Güvenliğinizi Arttırmanin 3 Yolu

Azure Security Center – Data Collection and Storage

Azure Security Center – Incident Response

Azure Security Center – Ongoing Security Monitoring

Azure Security Center – Security Roles and Access Controls ve Security Policies and Recommendations

Azure Security Center Alerts ve Veri Toplama Teknolojileri

Azure Security Center Custom Alert Rules

Azure Security Center Free ve Standart Tier Farkları

Azure Security Center için Duyurulan Yeni Özellikler

Azure Security Center’ ı Nasıl Denerim?

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions – non-Azure computers

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions – Advanced Threat Analytics

Power BI ile Azure Security Center Kullanımı

Video Eğitim

https://tv.cozumpark.com/video/914/Microsoft-Azure-Security-Center-Security-Roles-and-Access-Controls

https://tv.cozumpark.com/video/920/Microsoft-Azure-Security-Center-Data-Collection-and-Storage

https://tv.cozumpark.com/video/924/Microsoft-Azure-Security-Center-incident-Response

Not: Yeni makaleleri elimden geldiğince buraya eklemeye çalışacağım.