Risk ve Uyumluluk Değerlendirmesi için Azure Araçları
Microsoft Azure hizmetlerine taşınma kararı verirken başta uyumluluk olmak üzere risk değerlendirmesi yapabilmeniz için geniş bir çözüm yelpazesi sunmaktadır. Buluta taşınırken yapılması gereken risk değerlendirmesinin temel amacı sistemlerinizi ya da veriyi buluta çıkarırken yeni ya da tanımlanmamış risklerin çıkmamasını sağlamak ya da en azından olası risklerin ne olacağını tanımlayarak önlem almanızı sağlayarak olası bir sistem kesintisi, para ve prestij kaybını engellemektir. Yapılacak değerlendirmeler güvenlik, gizlilik, denetim, uyumluluk ve şeffaflık ilkelerini göz önünde bulundurarak tespit edilecek risklerin kabul edilebilecek risk seviyesinin içinde kalmasını sağlamalıdır. Bu noktada kullanılabilecek araçları 2’ye ayırmak gerekirse;
SELF SERVİS KAYNAKLAR
Etkin Azure abonelikleri içerisinde self servis mantığında kullanabileceğiniz birçok araç vardır. Bunları kısaca tanımak gerekirse;
Service Trust Portal
STP Microsoft’un güvenlik, gizlilik ve uyumluluk açılarından kontrol edilmesi sonucundan ortaya çıkan audit raporlarını bulabileceğiniz bir portaldir. Bu sayfa Microsoft’un tüm online hizmetleri ile alakalı olarak üçüncü kişilerin yani bağımsız denetleme kuruluşlarının denetleme raporlarını bulabilirsiniz. Bu sayfayı kullanmak için yetkili bir Microsoft bulut hesabınız olmalıdır. Burada PIC, SEC 17a-4, EBA gibi kontrol raporları bulunmaktadır.
Audit Reports
STP’ye çok benzemek ile birlikte belirli aralıklarla üçüncü kişiler tarafından gerçekleştirilen ISO, SCO, NIST, FedRAMP, GDPR bilgilerini içerir. Yine STP üzerinden erişilmektedir.
Compliance Manager
Microsoft yapay zeka özelliklerini de kullanarak veri koruma yeteneklerinizi geliştirecek ve genel uyumluluk durumunuzu gösteren bazı entegre çözümler de sunmaktadır. Compliance Manager 3 farklı yeteneği ile uyumluluk işlemlerini tek bir kontrol panel üzerinden sunabilir.
- Risk Değerlendirme
- Uyumluluk Puanı
- Öneriler
Sızma Testleri
Microsoft düzenli olarak hem kendi Microsoft Security Development Lifecycle gereği hem de diğer PCI, FedRAMP, ISO 27001 gibi gereksinimler için sızma ve zafiyet testlerinden geçmektedir. Detaylı bilgi
https://servicetrust.microsoft.com/ViewPage/TrustDocuments
DİĞER AZURE KAYNAKLARI
Aşağıda belirtilen araçlar Microsoft Azure üzerinde bulunan altyapınıza ait denetim ve izleme özellikleri sunmaktadır.
Azure Monitor
Azure Monitor hem Azure üzerindeki hem de yerel veri merkezinizdeki uygulamalar üzerinde telemetri özellikleri kullanarak veri toplar ve analiz eder böylece uygulamaların hem performansını hem de erişilebilirliği yükseltmeye yardımcı olur.
Azure Security Center
AZC yerel veri merkezi, Azure, Hibrit ya da diğer bulut platformlarında koşan iş yüklerinizin gelişmiş tehdit korumasını yapan böylece güvenlik duruşunu sağlamlaştırılan tümleşik bir altyapı güvenlik yönetim sistemidir.
Azure Sentinel
Azure Sentinel saniyeler içerisinde kurumunuzun sahip olduğu tüm kaynaklardan gelen geniş ölçekli büyük verinin yapay zeka destekli analizini yapan ve bulut tabanlı olarak çalışan SIEM sistemidir. CEF ya da Syslog biçimlerini desteklemesiyle birlikte bunları destekleyen tüm çok tercih edilen güvenlik çözümlerine ait verinin işlenmesi mümkündür.
Azure Service Health
Azure Service Health Microsoft tarafından yönetilen Azure altyapısı ve servislerinin takip edildiği ve böylece işinizi etkileyecek olan kesinti ya da hizmet kalite düşüşlerini bildiren Azure hizmetidir. Aynı zamanda öncesinde planlı bakım ve değişiklikler ile ilgili bilgileri de sunmaktadır.