Herkese merhabalar bu yazımızda Azure Güvenliği hakkında konuşacağız. Yazının en alt kısmında teknik kavramlar ile ilgili mini bir sözlük bulunmaktadır hepinize iyi okumalar dilerim.
Azure Security Nedir?
Azure Security, Microsoft Azure bulut platformu üzerinde verilerin, uygulamaların ve altyapının korunmasını sağlayan entegre güvenlik hizmetleri bütünüdür.
Amaç; gizlilik, bütünlük ve erişilebilirliği (CIA Triadı) garanti altına almaktır.
Azure Security’nin Temel Mimarisi
Azure güvenlik yapısı üç düzeyde işler:
-
Kontrol Katmanı: Kimlik, erişim, policy enforcement, RBAC
-
Veri Katmanı: Şifreleme, veri kaybı önleme, anahtar yönetimi
-
Gözlem Katmanı: Log analizi, uyarılar, otomatik yanıt (Sentinel, Defender)
Bu yapının kalbinde Microsoft Defender for Cloud ve Sentinel vardır.
Defender → Tehdit algılama
Sentinel → Log korelasyonu ve olay yanıtı
İmajlar
Tüm konteynerlarda olduğu gibi, Azure konteynarlarında da imajların güvenliğini sağlamak, atabileceğiniz en önemli güvenlik adımlarından biridir. Konteynerlar, depolama alanlarında saklanan imajlardan oluşturulur. Her imajın, ayrı ayrı güvenlik açıkları içerebilen ve muhtemelen tehlikeye atılabilecek birden çok yazılım katmanı vardır. Geliştirme ortamında yalnızca onaylanmış konteyner imajlarına izin vererek siber saldırganlar için saldırı yüzeyini büyük ölçüde azaltırsınız. Onaylanmamış konteyner imajlarının kullanımını izleyecek ve önleyecek açık süreçlere ve araçlara sahip olmak önemlidir.
Konteynerlerin çevreye akışını kontrol etmek için başka bir seçenek de imaj imzalama veya parmak izi almaktır. Bu, konteynerların ve konteyner imajlarının bütünlüğünü doğrulamanıza olanak tanıyan bir gözetim zinciri sağlayabilir. Herhangi bir imajı kayıt defterine göndermeden önce, kapsayıcı geliştirme tamamlandıktan sonra son bir değerlendirme olarak konteynerlar üzerinde bir güvenlik açığı taraması yapmak çok önemlidir.
Kimlik Bilgileri
En az ayrıcalık, Azure konteynerlarına da uygulanması gereken temel bir güvenlik en iyi uygulamasıdır. İmajlar veya çekirdekler aracılığıyla bir güvenlik açığından yararlanıldığında bu, saldırgana birkaç küme ve bölgeye erişim ve hatta potansiyel olarak ayrıcalıklar verir. Konteynerların, işin yapılması için gereken en düşük ayrıcalıklarla ve erişimle çalışmasını sağlamak, riske maruz kalmayı azaltır.
Bir çalışanın işleri devretmesi veya şirketten ayrılması durumunda, gereksiz ayrıcalıkları kaldırarak, konteynerlara karşı meydana gelebilecek saldırı yüzeyini azaltırsınız. Ayrıca konteyner çalışma zamanından gereksiz veya kullanılmayan ayrıcalıkları veya işlemleri kaldırarak olası saldırı yüzeyini azaltabilirsiniz.
Kayıt Defteri
Azure konteynerları, genel veya özel bir kayıt defterinde depolanan imajlardan oluşturulur. Genel kayıtlardan imajları almak daha kolay görünse de güvenliği garanti etmez. Yukarıda bahsedildiği gibi, kapsayıcı görüntüleri birden çok yazılım katmanına sahiptir ve her katmanın güvenlik açıkları olabilir.
Genel bir kayıt defterindeki imajlara, özel bir kayıt defterindeki imajlara göre kötü amaçlı yazılım eklenmiş olma olasılığı daha yüksektir. Özel kayıtlardaki imajların uygun şekilde taranması daha olasıdır ve daha az risk oluşturur. Özel kayıtlar yönetilir ve daha fazla yönetişim ve güvenlik sağlayan rol tabanlı erişim kontrolleri içerir. Özel konteyner imaj kayıtlarının bazı örnekleri arasında Azure Container Registry, Docker Trusted Registry veya Cloud Native Computing Foundation’dan açık kaynaklı Harbour projesi yer alır.
Kernel
Tüm bilgisayarlar donanım parçalarının üzerine inşa edilmiştir. İşletim sistemine gömülü bir yazılım parçası olan çekirdek, donanımın ve sistemin geri kalanının etkileşime girebilmesi için bir köprü görevi görür. Konteynerlar, sanal makinelerin aksine, paylaşılan bir çekirdeğe ek olarak hizmetler genelinde açık ağ trafiğine sahiptir. Ana bilgisayar işletim sistemi çekirdeğini paylaşma yeteneği, konteynerların en büyük avantajlarından biridir. Bununla birlikte, aynı zamanda büyük bir güvenlik endişesi kaynağıdır.
Çalışma zamanı sırasında çekirdek ve konteynerlar arasında çok fazla yalıtım yoktur. Bu, paylaşılan işletim sistemi çekirdeğinde bulunan bir güvenlik açığının daha sonra konteynerlardan yararlanmak veya bunlara erişim sağlamak için kullanılabileceği anlamına gelir. Saldırganlar, yalnızca bellek içi çekirdek verilerini değiştirerek herhangi bir kötü amaçlı kod enjekte etmeden işletim sisteminin çalışma davranışlarını değiştirebilir.
Azure Security Center
Müşteri talebi doğrultusunda ayrıca satın alınan bir PaaS Bulut hizmetidir ve bu ürün, hizmet ve çözümlerin içinde dahil değildir. Bu hizmet Satın alınan Azure ürünü ile tercih edilebileceği gibi üçüncü taraf bir bulut sağlayıcısının çözümü de kullanılabilir.
Microsoft, Azure Veri Merkezi güvenliğini sağlamak için fiziksel, altyapısal ve operasyonel güvenlik önlemlerini almaktadır. Fakat, Azure Veri merkezinde çalışan her bir müşteri bulut kaynağının Tenant seviyesinde koruması müşteri sorumluluğundadır. Microsoft ihtiyaç duyulan bu güvenlik korumasını aynı Azure Monitor ürünün de olduğu gibi sunmaktadır.
Microsoft Azure Security Center
Azure bulut bilgi işlem alt yapısında barınan ürünler için de Azure Security Center ürünü tercih edilebilir yada üçüncü taraf bir ürün yada bulut sağlayıcısı kullanılabilir.
Bu ek güvenlik çözümleri ile Azure Alt yapısında bulunan bulut kaynaklarının korunması sağlanacak ve uygulamanız gereken ek eylemler alınacaktır. Azure üzerinde almış olduğunuz bir ürün için Azure Security Center ‘i aktif duruma getirmeniz çok hızlıdır. Aynı Azure Monitor ‘de olduğu gibi Azure Security Center ürünü içinde bütünleşik korumayı tercih edebilir iş eforu ile birlikte maliyet avantajına da sahip olabilirsiniz.
Microsoft Sentinel
Microsoft Sentinel ölçeklenebilir, bulutta yerel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunar. Microsoft Sentinel, saldırı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sağlar.
Bulut için Microsoft Defender
DefenderBulut için Microsoft Defender, Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim ile tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Bulut için Microsoft Defender, Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar.
Application Insights
Application Insights , web geliştiricileri için tasarlanmış esnek bir Uygulama Performansı Yönetimi (APM) hizmetidir. Canlı web uygulamalarınızı izlemenizi ve performans sorunlarını otomatik olarak algılamanızı sağlar. Güçlü analiz araçlarıyla sorunları tanılayabilir ve uygulamalarınızla kullanıcı etkileşimleri hakkında içgörüler elde edebilirsiniz. Application Insights, geliştirme aşamasından teste ve üretime kadar uygulamanızı sürekli olarak izler.
VPN Gateway
Azure Sanal Ağ ve şirket içi siteniz arasında ağ trafiği göndermek için Azure Sanal Ağ için bir VPN ağ geçidi oluşturmanız gerekir. VPN ağ geçidi, genel bağlantı üzerinden şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. Azure ağ geçidi üzerinden Azure Sanal Ağ arasında trafik göndermek için VPN ağ geçitlerini de kullanabilirsiniz.
Hızlı Rota
Microsoft Azure ExpressRoute , bir bağlantı sağlayıcısı tarafından kolaylaştırılan ayrılmış bir özel bağlantı üzerinden şirket içi ağlarınızı Microsoft bulutuna genişletmenize olanak tanıyan özel bir WAN bağlantısıdır.
Web Uygulaması Güvenlik Duvarı
Web Uygulama Güvenlik Duvarı, standart Uygulama Teslim Kontrolü (ADC) işlevleri için uygulama ağ geçidi kullanan web uygulamalarına koruma sağlayan Azure Uygulama Ağ Geçidi özelliğidir. Web uygulaması güvenlik duvarı bunu, uygulamaları OWASP tarafından sunulan en yaygın 10 web güvenlik açığının çoğuna karşı koruyarak gerçekleştirir.
-
SQL enjeksiyon koruması
-
Komut ekleme, HTTP isteği kaçakçılığı, HTTP yanıt bölme ve uzak dosya ekleme gibi yaygın web saldırılarına karşı koruma
-
HTTP protokolü ihlallerine karşı koruma
-
HTTP protokolü anormalliklerine, örneğin eksik ana makine, kullanıcı aracısı ve kabul başlıklarına karşı koruma
-
Robotlar, gezginler ve tarayıcıları önleme
-
Yaygın uygulama yanlış yapılandırmalarının algılanması (örneğin, Apache, IIS)
Merkezi bir web uygulaması güvenlik duvarı (WAF), güvenlik yönetimini basitleştirir ve web saldırılarına karşı korumayı geliştirir. Yetkisiz erişim tehditlerine karşı daha iyi güvence sağlar ve her bir web uygulamasının güvenliğini sağlamak yerine bilinen güvenlik açıklarına merkezi olarak düzeltme eki uygulama yoluyla güvenlik tehditlerine daha hızlı yanıt verebilir. Mevcut uygulama ağ geçitleri, bir web uygulaması güvenlik duvarı içerecek şekilde kolayca yükseltilebilir.
Güvenlik Zafiyet Yönetimi
Azure Veri Merkezi Güvenlik güncelleştirme yönetimi kapsamında bilinen güvenlik açıklarına karşı koruma ve güvenlik sıkılaştırma çalışmaları yapılmaktadır.
Security Vulnerability Management
Azure, Microsoft yazılımlarına yönelik güvenlik güncelleştirme dağıtımını ve yükleme işlemleri için bütünleşik dağıtım sistemleri kullanmaktadır. Azure Veri merkezlerinde çalışan her bir yazılım Microsoft Güvenlik Yanıt Merkezi (MSRC) kaynakları içinde kullanılmakta ve yılın her gününde güvenlik olaylarını ve bulut güvenlik açıklarını izlemekte ve çözümler üretmektedir.
Güvenlik Zaafiyet yönetim operasyonları Microsoft Cyber Defense Operations Center ile bir arada yürütülmektedir.
3.3 Güvenlik Zaafiyet Taraması
Azure Veri merkezlerinde bulunan her bir sistem (sunucu işletim sistemleri, veritabanları ve ağ cihazları) için düzenli güvenlik zaafiyet taraması gerçekleştirilir.
Güvenlik zaafiyet taraması her üç aylık (özel bir durum yoksa) zaman diliminde düzenli olarak gerçekleştirilir. Gerçekleştirilen güvenlik zaafiyet taraması ve sızma testleri Azure sözleşmeleri kapsamında bağımsız denetçiler tarafından gerçekleştirilmektedir. Tespit edilen güvenlik zaafiyetleri Microsoft Güvenlik uzmanları tarafından Değişiklik yönetim ilkesine bağlı kalarak kapatılmaktadır.r.
3.4 Güvenlik İzleme Araçları
Azure Veri merkezlerinde bulunan her bir sistem Microsoft Monitoring Agent (MMA) ve System Center Operations Manager tarafından izlenmektedir.
Bu araçların tespit etmiş olduğu olaylar, eylem gerektiren durumlarda Azure Güvenlik personeline uyarılar göndermekte ve oluşan olay ve alarmlar için zamanın da önlem alınması sağlanmaktadır.
3.5 Güvenlik Zaafiyet ve Olay yönetimi
Microsoft, Azure Veri merkezi ve içinde bulunan sistemler için tespit edilen zaafiyet ve oluşan olaylar için paylaşılan vizyon ilkesine bağlı kalmakta ve hızlı cevap verebilmek için güvenlik olay yönetim işlemini uygulamaktadır.
Microsoft, Azure Veri merkezinde barınan her bir donanım ve veri merkezi içinde bulunan müşterye ait donanım ve depolama alanları üzerinde yetkisiz erişimi tespit ettiyse ya da veri kaybolması oluşturuysa aşağıdaki işlemler hızla gerçekleştirir:
- Olayının müşteriye hemen bildirilmesi.
- Olayını hızla araştırılması ve ayrıntılı bilgi toplanması
- Olay etkilerini azaltmak ve güvenlik olayından kaynaklanan hasarı en aza indirmek için makul adımların gerçekleştirilmesi.
Azure Güvenlik Zaafiyet ve olay yönetimi, yükseltme işlemleri de dahil olmak üzere güvenlik olaylarını yönetirken ve gerekli olduğu durumlarda üçüncü taraf uzmanların da çözüme katılmasına karşı da sorumludur.
4. Azure Alt Yapı Güvenlik Çözümleri
Azure Secure Foundation etiketi ile hazırlamış olduğumuz Azure Güvenli Alt Yapı makale serisinde Microsoft Azure Bulut bilgi işlem alt yapısında ki güvenlik temellerini inceledik.
Makale serimize giriş yaptığımız Azure Güvenlik Temeli konu başlığında Microsoft’un bulut bilgi işlem alt yapısında ki güvenliğe bakışını sizlere paylaştık, fiziksel ve mantıksal olmak üzere yapmış olduğu güvenlik sıkılaştırma çözümlerini inceledik.
İkinci makalemiz olan Azure Güvenlik Tasarımı ve Operasyon Yönetim makalesinde ise Microsoft’un olaylar karşısında hızla almış olduğu aksiyonları ve Operasyon yönetimini ve kurallarını sizlere aktardık.
Üçüncü makale konusu ise Azure Veri Merkezi Fiziksel Güvenlik önlemlerini masaya yatırdık ve veri merkezi fiziksel güvenlik önlemlerini ve veri merkezi girişi, fiziksel operasyon yönetimi için alınan önlem ve kuralları sizlere aktardık.
Bu bölüme kadar paylaşmış olduğumuz üç makalede Microsoft’ un güvenliğe bakışını ve Azure Veri merkezlerinde alınan fiziksel güvenlik önlemleri ve sıkılaştırma çalışmalarını kapsamaktadır. Bir önceki makalemiz de Azure Alt Yapı Koruması ‘nı inceledik ve bu makalede Microsoft Azure Veri Merkezleri içinde bulunan donanım ve üçüncü taraf yazılımlar üzerinde yapılan değişiklik yönetimini, güncelleştirme işlemlerini ve olay yönetiminde izlemiş olduğu politikaları gerçekleştirdik.
Bu bölüme kadar paylaşmış olduğumuz bütün bilgiler Microsoft Azure Veri Merkezleri içinde bulunan bütün ürün ve çözümleri kapsamakta ve her bir müşteri de bu hizmetlerden ücretsiz yararlanmaktadır.
Bu hizmetler bir bulut sağlayıcısının IaaS Bulut (infrastructure as a service) olarak bilinen bulut hizmetlerinde temel görevidir ve bulut hizmeti olarak alt yapı sorumluluklarını göstermektedir. Bu hizmetler için müşteriye ek bir ücret yansıtılmamaktadır.
Makalemizin bu bölümünden sonra ki kısım da IaaS Bulut ortamında bulunan mantıksal güvenlik çözümlerini inceleyeceğiz. Bu güvenlik çözümlerinin bazıları kullanılmakta ve hizmetlere dahil olan hizmetlerdir ve müşteri talebi doğrultusunda kullanılmaktan vazgeçilen yada bir başka üreticinin güvenlik çözümünün tercih edildiği güvenlik çözümleridir.
Bazıları ise, iş ihtiyaçları çerçevesinde güvenliği sıkılaştırmak ve kullanılan bulut hizmeti için önerilen, günümüz güvenlik tehtitleri için zorunlu olan ve kullanılmaması durumunda güvenlik riskinin müşteri tarafından kabul edildiği mantıksal güvenlik çözümleridir. Bu mantıksal güvenlik çözümleri, Microsoft’un sağlamış olduğu mantıksal güvenlik çözümleri olabildiği gibi önerilen her bir güvenlik çözümü için de farklı üretici çözümleri Azure Bulut bilgi işlem alt yapısında bulunmaktadır.
4.1 Azure Alt Yapı izleme (infrastructure monitoring)
Veri merkezi içinde bulunan her bir fiziksel sunucu, ağ cihazı, fiziksel güvenlik cihazı,veri merkezi donanımları (kabin, kamera, ışık, havalandırma, iklimlendirme, alarm vb..) bu hizmete sahiptir. Bu ürünler üzerinde yapılacak olan bakım, güncelleme ve güvenlik sıkılaştırma işlemleri Microsoft’un sorumluluğundadır ve Microsoft personelleri tarafından yada üçüncü taraf firmaların personelleri tarafından (Microsoft personelleri kontrolünde) yapılmaktadır.
Azure Active Directory
Azure Active Directory hizmeti Azure Veri merkezi bulut bilgi işlem kaynakları ve verileri için kapsamlı bir kimlik koruması ve erişim yönetimi için güvenlik çözümüdür.
Yerel veri merkezi dizini ile birlikte çalışabilmekte, kimlik yönetimi, kimlik güvenliği ve uygulama erişim yönetimi için birinci mantıksal güvenliği sağlamaktadır.
Azure Active Directory
Azure Active Directory hizmeti sahip olduğunuz on-premise uygulamaların da ilke tabanlı kimlik yönetim işlemlerini kolaylaştırır ve Azure AD Premium sürümleri ilekurumsal uygulamalarınız için gelişmiş kimlik güvenliği ve erişim güvenliğini karşılamak için deaşağıdakiler gibi ek özellikleri sunar
- Multifactor authentication
- Conditional access
- Azure IoT device-level authentication
- Access monitoring and logging
- Cloud App Discovery
- Self-Service Password Reset
Azure Active Directory, şirket içi, bulut ve mobil çözümler arasında tek bir kimlik yönetimi özelliği sağlar. Bir kimliğin güvenliğini sağladığı gibi şirket içi iş uygulamalara, Microsoft Azure veri merkezi içinde çalışan uygulamalara ve üçüncü taraf bulut sağlayıcılarında bulunan uygulamaları birleştirmekte ve uygulamaların tek bir kimlik ile oturum açma yeteneği kazandırmaktadır.
Azure IoT device-level authentication
Kullanıcı kimlik doğrulama ve kullanıcı kimlik güvenliği, Nesnelerin İnterneti olarak bilinen IOT cihazları için de geçerlidir. Azure IoT çözümleri IOT cihaz düzeyinde gelişmiş kimlik doğrulaması için X.509 sertifikalarını destekler. Iot Cihaz kimliği uçtan bulut bilgi işleme güvenli bir şekilde iletilebilir. Aygıt başına güvenlik kimlik bilgilerini yapılandırmak ve belirteçleri kullanarak erişim denetimi yapmak için IoT Hub aygıt kimliği kullanılmaktadır.
Azure IoT hub
Azure IoT Hub, paylaşılan erişim ilkelerine ve kimlik kayıt defteri güvenlik kimlik bilgilerine göre bir belirteci doğrulayarak uç noktalarda erişim sağlar. Azure IOT cihaz üzerinde ki kimlik doğrulama işlemleri simetrik anahtarlar kimlik bilgileri hiçbir zaman kablo üzerinden göndermemektedir. Her IoT hub, IoT hub’larına bağlanmasına izin verilen cihazlar ve modüller hakkında bilgileri depolar. Bir cihaz veya modülün bir IoT hub’a bağlantı yapmadan önce, IoT hub’ ın kimlik kayıt defterinde bağlantı yapılacak Iot cihaz veya modül için bir giriş olması gerekmektedir. Bir cihaz veya modülün, kimlik kayıt defterinde depolanan kimlik bilgilerine göre IoT hub’ı ile kimlik doğrulaması da yapmaları gerekir.
Rol Atama
az role assignment create \
--assignee user@domain.com \
--role "Reader" \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>
Custom Role Oluşturma
{
"Name": "SecurityAuditCustomRole",
"IsCustom": true,
"Description": "Read-only security monitoring permissions",
"Actions": [
"Microsoft.Security/*/read",
"Microsoft.Insights/*/read"
],
"NotActions": [],
"AssignableScopes": ["/subscriptions/<SUBSCRIPTION_ID>"]
}
Just-In-Time Access (PowerShell)
# VM için JIT erişimi etkinleştir
Enable-AzJitNetworkAccessPolicy -ResourceGroupName "RG-Sec" -Location "westeurope" -Name "SecuredVM"Key Vault Oluştur
az keyvault create --name SecVault --resource-group RG-Sec --location eastusGizli Anahtar Ekle
az keyvault secret set --vault-name SecVault --name "DBPassword" --value "S3cur3Pass!"Managed Identity Yetkisi Ver
az keyvault set-policy \
--name SecVault \
--object-id <IDENTITY_OBJECT_ID> \
--secret-permissions get listAnahtar Rotasyonu
az keyvault key rotation-policy update \
--vault-name SecVault \
--name "EncryptionKey" \
--value '{"attributes":{"expiryTime":"P90D"}}'NSG Oluşturma
az network nsg create \
--resource-group RG-Sec \
--name WebNSG \
--location eastusNSG Kuralı Ekleme
az network nsg rule create \
--nsg-name WebNSG \
--resource-group RG-Sec \
--name AllowHTTPS \
--priority 100 \
--protocol Tcp \
--direction Inbound \
--destination-port-ranges 443 \
--access Allow \
--description "Allow inbound HTTPS traffic"Azure Firewall Oluşturma
az network firewall create \
--name CorpFirewall \
--resource-group RG-Sec \
--location eastusHTTPS Zorunluluğu (Policy Definition)
{
"properties": {
"displayName": "Force HTTPS on Storage Accounts",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "Microsoft.Storage/storageAccounts/supportsHttpsTrafficOnly",
"equals": "false"
}
]
},
"then": {
"effect": "deny"
}
}
}
}Policy Atama (CLI)
az policy assignment create \
--name "force-https-policy" \
--display-name "Force HTTPS Traffic" \
--policy <POLICY_DEFINITION_ID> \
--scope /subscriptions/<SUBSCRIPTION_ID>Log Sorgusu (CLI)
az monitor log-analytics query \
--workspace <WORKSPACE_ID> \
--analytics-query "AzureActivity | where ActivityStatus == 'Failed'"Mini Sözlük
| Terim | Açıklama |
|---|---|
| Access Control (Erişim Kontrolü) | Kullanıcıların, sistem kaynaklarına erişimini belirleyen güvenlik politikaları. Azure’da bu genellikle RBAC (Role-Based Access Control) ile sağlanır. |
| ADC (Application Delivery Controller) | Uygulama trafiğini yöneten, yük dengeleme ve güvenlik sağlayan donanım/yazılım bileşeni. Azure’da WAF bu rolü üstlenebilir. |
| AI (Artificial Intelligence) | Yapay zekâ; Application Insights gibi hizmetlerde kullanıcı davranışlarını analiz etmek için kullanılır. |
| APM (Application Performance Monitoring) | Uygulama performansını, hatalarını ve kullanıcı deneyimini izleyen sistem. Azure’da bu görev Application Insights tarafından yapılır. |
| Application Gateway | Web uygulamalarına erişimi yöneten, yük dengeleme ve güvenlik işlevleri sunan Azure servisi. WAF bu yapı üzerine entegredir. |
| Application Insights | Azure’un web uygulamaları için gerçek zamanlı performans izleme ve hata tespit hizmeti. |
| Azure Active Directory (AAD) | Kimlik yönetimi ve erişim kontrolü sağlayan merkezi dizin servisi. Kurumsal düzeyde SSO (Single Sign-On) ve MFA (Multi-Factor Authentication) sağlar. |
| Azure Container Registry (ACR) | Özel konteyner imajlarını saklamak, yönetmek ve dağıtmak için kullanılan Azure hizmeti. |
| Azure Defender for Cloud | Azure kaynaklarını tehditlere karşı koruyan, güvenlik politikalarını yöneten entegre güvenlik çözümü (eski adıyla Security Center). |
| Azure ExpressRoute | Şirket içi ağları Microsoft bulutuna özel, şifreli ve düşük gecikmeli bağlantıyla bağlayan özel WAN çözümü. |
| Azure IoT Hub | IoT cihazları ile bulut arasında güvenli veri alışverişi sağlayan hizmet. Cihaz kimlik doğrulama, X.509 sertifikaları ve mesaj yönlendirme içerir. |
| Azure Monitor | Azure kaynaklarının performansını ve sağlık durumunu izleyen merkezi gözlemleme servisi. Application Insights ile birlikte çalışır. |
| Azure Security Center | Azure altyapısı için tehdit algılama, zafiyet analizi ve uyumluluk izleme aracı (Defender for Cloud’un eski sürümü). |
| Azure Sentinel | Microsoft’un bulut tabanlı SIEM + SOAR (Security Information and Event Management / Security Orchestration, Automation and Response) platformu. |
| Azure VPN Gateway | Şirket içi ağ ile Azure sanal ağı arasında şifreli bağlantı (IPSec) kurmak için kullanılan ağ geçidi hizmeti. |
| CIA Triadı | Confidentiality (Gizlilik), Integrity (Bütünlük), Availability (Erişilebilirlik) kavramlarını temel alan güvenlik modeli. |
| Cloud App Discovery | Kurum içindeki kullanıcıların kullandığı bulut tabanlı uygulamaları keşfederek güvenlik analizi yapılmasını sağlayan AAD özelliği. |
| Conditional Access (Koşullu Erişim) | Kullanıcının kimliği, cihazı veya konumuna göre erişim izni veren AAD güvenlik özelliği. |
| Container (Konteyner) | Uygulamaları izole ortamda çalıştıran hafif sanallaştırma teknolojisi. Azure’da AKS (Azure Kubernetes Service) ile yönetilir. |
| Container Image (Konteyner İmajı) | Konteynerin çalışması için gereken yazılım katmanlarını içeren paket. Her imaj bir veya birden fazla katman barındırabilir. |
| Data Loss Prevention (DLP) | Hassas verilerin sızmasını önlemek için kullanılan güvenlik politikası. Azure Information Protection ile birlikte kullanılır. |
| Defender for Cloud (Eski: Security Center) | Azure kaynaklarını izleyen, tehditleri tespit eden, politika yönetimi sunan güvenlik çözümü. |
| Encryption (Şifreleme) | Verilerin yetkisiz erişime karşı korunması için matematiksel olarak dönüştürülmesi. Azure’da AES-256 şifreleme yaygın olarak kullanılır. |
| ExpressRoute | Şirket ağını Azure’a özel fiber hat üzerinden bağlayarak internet üzerinden geçmeyen güvenli bağlantı sağlar. |
| Falco | Kubernetes ve konteyner ortamlarında runtime güvenlik izleme aracı (3. taraf, Azure ortamlarında da kullanılabilir). |
| IaaS (Infrastructure as a Service) | Kullanıcının donanım seviyesinden itibaren kontrol sahibi olduğu bulut hizmet modeli. Azure VM, Network, Storage bu kapsamdadır. |
| IAM (Identity and Access Management) | Kimliklerin yönetilmesi ve erişimlerin kontrol edilmesi süreçlerinin tamamıdır. Azure AD bunun merkezindedir. |
| Image Signing (İmaj İmzalama) | Konteyner imajlarının bütünlüğünü doğrulamak için dijital imza ekleme işlemi. |
| Kernel (Çekirdek) | İşletim sisteminin donanım ile uygulama arasında köprü görevi gören çekirdek bileşeni. Konteynerlar genellikle paylaşılan bir kernel kullanır. |
| Key Vault | Anahtarlar, şifreler ve sertifikaları güvenli şekilde depolayan Azure hizmeti. |
| KQL (Kusto Query Language) | Azure Sentinel ve Log Analytics’te veri analizi için kullanılan sorgulama dili. |
| Least Privilege Principle (En Az Ayrıcalık İlkesi) | Kullanıcılara yalnızca görevleri için gerekli minimum erişim verilmesi gerektiğini savunan güvenlik prensibi. |
| Log Analytics | Azure Monitor ve Sentinel tarafından kullanılan, log’ların toplanıp analiz edildiği sistem. |
| MFA (Multi-Factor Authentication) | Kullanıcı kimliğini doğrulamak için birden fazla faktör (şifre + cihaz + biyometrik vb.) kullanma yöntemi. |
| MSRC (Microsoft Security Response Center) | Microsoft’un güvenlik olaylarını takip edip çözümler üreten resmi güvenlik birimi. |
| Network Security Group (NSG) | Azure sanal ağlarında trafiği izin veya engelleme kurallarıyla filtreleyen güvenlik grubu. |
| OWASP Top 10 | Web uygulamalarında en yaygın 10 güvenlik açığını tanımlayan global güvenlik standardı. |
| PaaS (Platform as a Service) | Kullanıcının altyapıyı yönetmeden uygulamalarını geliştirebildiği bulut modeli (örnek: App Service, SQL Database). |
| RBAC (Role-Based Access Control) | Kullanıcıların rollerine göre sistem kaynaklarına erişimlerini yöneten model. |
| Runtime Security (Çalışma Zamanı Güvenliği) | Konteyner ve uygulamaların çalıştığı anda izlenmesi ve saldırı davranışlarının tespit edilmesi. |
| Security Hardening (Güvenlik Sıkılaştırma) | Sistemlerin varsayılan ayarlarının güvenlik için optimize edilmesi süreci. |
| SIEM (Security Information and Event Management) | Güvenlik loglarını toplayan, korelasyon yapan ve analiz eden sistemler. Azure Sentinel bu kategoriye girer. |
| SOAR (Security Orchestration, Automation and Response) | Olaylara otomatik müdahale eden güvenlik otomasyon sistemi. Sentinel’in ikinci ana fonksiyonudur. |
| SQL Injection | Kullanıcı girdisi yoluyla SQL sorgularına zararlı komut eklenmesiyle yapılan klasik web saldırı türü. WAF bu saldırıyı engeller. |
| Syscall (System Call) | Uygulamanın işletim sisteminden kaynaklara erişmek için yaptığı sistem çağrısı. Güvenlik araçları syscall davranışlarını izleyebilir. |
| Tenant | Azure’da her müşterinin verilerinin ve kaynaklarının ayrıldığı mantıksal alan. Multi-tenant mimarilerde izolasyon bu şekilde sağlanır. |
| Vulnerability Management (Zafiyet Yönetimi) | Güvenlik açıklarının tespiti, analizi, önceliklendirilmesi ve kapatılması süreçlerinin tümü. |
| VPN Gateway | Şirket içi sistemlerle Azure sanal ağı arasında güvenli IPSec tünel oluşturan sanal ağ geçidi. |
| WAF (Web Application Firewall) | Web uygulamalarını SQL Injection, XSS, CSRF gibi saldırılara karşı koruyan güvenlik duvarı katmanı. |
| X.509 Sertifikası | Dijital kimlik doğrulama için kullanılan sertifika standardı; IoT cihazlarında kimlik kanıtı olarak kullanılır. |