Dijital dünyamız daha ısrarcı, sofistike ve güdümlü siber suçlularla değişiyor. Riskler arttıkça ve tehditler arttıkça, güven her zamankinden daha önemlidir. Müşterilerin, kuruluşlarını kurmak ve yönetmek için yatırım yaptıkları teknoloji platformlarına güvenebilmeleri gerekir. En büyük bulut hizmeti sağlayıcılarından biri olarak, müşterilerimizin en başından itibaren güvende olmalarına ve yerleşik, gömülü ve kullanıma hazır bulut platformlarımızın güvenliğiyle daha fazlasını yapmalarına yardımcı olarak güven oluşturuyoruz.
Microsoft Azure’da güvenlik yaklaşımımız, platformlarımızın ve teknolojilerimizin tasarım, geliştirme ve dağıtımının tüm aşamalarında oluşturulan koruma katmanlarıyla derinlemesine savunmaya odaklanır. Ayrıca şeffaflığa odaklanarak müşterilerimizin bugünün siber tehditlerini azaltmaya ve yarının siber tehditlerine hazırlanmaya yardımcı olmak amacıyla tekliflerimizi öğrenmek ve geliştirmek için sürekli olarak nasıl çalıştığımızın farkında olmalarını sağlıyoruz.
Bu blogda, geçmişimizden, bugünümüzden ve geleceğimizden kapsamlı güvenlik taahhütlerinin yanı sıra sürekli öğrenme ve büyüme için fırsatlar gördüğümüz yerleri vurguluyoruz. Bu bölüm, son bulut güvenlik açıklarından öğrendiğimiz dersleri ve teknolojilerimizin ve süreçlerimizin müşteriler için güvenli olmasını sağlamak amacıyla bu öğrenimleri nasıl uyguladığımızı paylaşmayı amaçlayan 4 bölümlük bir Azure Yerleşik Güvenlik serisini başlatıyor. Öğrendiklerimizi ve değişikliklerimizi şeffaf bir şekilde paylaşmak, müşterilerimizle güven oluşturma taahhüdümüzün bir parçasıdır ve diğer bulut sağlayıcılarını da aynı şeyi yapmaya teşvik etmesini umuyoruz.
Güvenlik taahhütlerimizin geçmişi, bugünü ve geleceği
Microsoft, onlarca yıldır müşteri güvenliğine ve platformlarımızın güvenliğini artırmaya derinden odaklanmıştır ve odaklanmaya devam etmektedir. Bu bağlılık, şirket içi ve yazılım günlerimizden günümüzün bulut öncelikli ortamlarına kadar en iyi güvenlik uygulamalarına öncülük etme konusundaki uzun geçmişimizde açıkça görülmektedir. Bunun parlak bir örneği, 2004 yılında, etkisi çok geniş kapsamlı olan uygulamalara ve hizmetlere sıfırdan nasıl güvenlik ekleneceğine dair bir çerçeve olan Güvenlik Geliştirme Yaşam Döngüsü’ne (SDL) öncülük etmemizdir. SDL şu anda uluslararası uygulama güvenliği standartları (ISO/IEC 27034-1) ve Beyaz Saray’ın Siber Güvenlik Yürütme Emri de dahil olmak üzere kilit girişimlerde yerleşik güvenliğin temeli olarak kullanılmaktadır.1.
Güvenlik liderlerinin ve uygulayıcılarının bildiği gibi, güvenliğin işi asla yapılmaz. Sürekli uyanıklık hayati önem taşır. Bu nedenle Microsoft şu anda kapsamlı bir hata ödül programının yanı sıra iç güvenlik araştırmalarına da büyük yatırımlar yapmaktadır. Microsoft, dahili olarak sürekli olarak güvenlik açığı bulmaya, saldırı eğilimlerini anlamaya ve güvenlik sorunlarının kalıplarını ele almaya odaklanan 8.500’den fazla güvenlik uzmanına sahiptir. Birinci sınıf güvenlik araştırmamız ve tehdit istihbaratımız, müşterileri, Microsoft’u, açık kaynaklı yazılımları ve endüstri ortaklarımızı korumaya yardımcı olur.
Ayrıca sektörün en proaktif Bug Bounty Programlarından birine yatırım yapıyoruz. Yalnızca 2021’de Microsoft, çok çeşitli teknolojilerde 13,7 milyon dolarlık hata ödülü verdi. Geçen yıl ortaya çıkan bir eğilim, Azure da dahil olmak üzere çeşitli bulut sağlayıcılarını etkileyen harici olarak bildirilen güvenlik açıklarında bir artış oldu. Güvenlik açıkları sektörde nadir olmasa da, önde gelen bir bulut sağlayıcısı ve bir numaralı güvenlik satıcısı olarak Microsoft, araştırmacılar ve güvenlik rakipleri için daha fazla ilgi çekicidir. Bu nedenle, genel ödül programımız 2014’ten başlayarak bulut hizmetlerini içeren ilk program oldu ve 2021’de programı, kiracılar arası hata raporları için daha yüksek ödüller içerecek şekilde daha da genişlettik. Beklendiği gibi, bu açıkça Azure’da daha da fazla dış güvenlik araştırmacısının ilgisini çekti ve birden fazla kiracılar arası hata ödülünün verilmesiyle sonuçlandı. Nedenleri ne olursa olsun, bu bulgular belirli Azure hizmetlerinin ve müşterilerimizin güvenliğini daha da güvenli hale getirmeye yardımcı oldu.
Son olarak, güvenliğin bir takım sporu olduğuna inanıyoruz ve işbirliğine odaklanmamız, NIST Güvenli Yazılım Geliştirme Çerçevesi’ne (SSDF) katılımımız gibi güvenlik ekosistemine yaptığımız katkılarda kanıtlanmıştır.2ve OpenSSF Alpha-Omega projesine yaptığımız 5 milyon dolarlık yatırımla Açık Kaynak Kodlu Yazılım’ın (OSS) güvenlik duruşunu iyileştirmek3.
Güvenliğe olan bağlılığımız, SDL’nin günümüz güvenlik açığı keşfine, hata ödül programlarına, işbirliği katkılarına on yıllardır süren liderliğimizde görüldüğü gibi sarsılmaz ve beş yıl boyunca 20 milyar dolardan fazla yatırım yapma taahhüdümüzle geleceğe doğru devam ediyor.4 siber güvenlikte. Microsoft’ta en başından beri yerleşik güvenlik yeni olmasa da, güvenlik ortamının sürekli değişip geliştiğini ve bununla birlikte öğrendiklerimizin de değişmesi gerektiğini anlıyoruz.
Daha güvenli bir bulut için en son öğrendiklerimiz ve geliştirmelerimiz
Microsoft’ta kültürümüzün temel bir parçası büyüme zihniyetidir. İç ve dış güvenlik araştırmacılarından elde edilen bulgular, tüm platformlarımızı ve ürünlerimizi daha da güvenli hale getirme yeteneğimiz için kritik öneme sahiptir. Azure’daki bir güvenlik açığına ilişkin her rapor için, dahili veya harici olarak keşfedilen ayrıntılı kök neden analizi ve olay sonrası incelemeler gerçekleştiririz. Bu incelemeler, kuruluşun her düzeyinde öğrenilen dersleri yansıtmamıza ve uygulamamıza yardımcı olur ve Microsoft’ta güvenliği sürekli olarak geliştirip geliştirmemizi sağlamak için çok önemlidir.
Son Azure güvenlik açığı raporlarından elde ettiğimiz içgörülere dayanarak, üç temel boyutta iyileştirme yapıyoruz. Bu gelişmeler yanıt sürecimizi geliştirir, iç güvenlik araştırmamızı genişletir ve çok kiracılı hizmetleri güvence altına alma şeklimizi sürekli olarak geliştirir.
1. Entegre yanıt
Geçen yıldan alınan birkaç ders, dikkatimizi, yanıt zaman çizelgelerini hızlandırmak gibi iyileştirme ihtiyacının farkında olduğumuz alanlara odakladı. Bunu Entegre Yanıt süreçlerimiz boyunca ele alıyoruz ve iç ve dış müdahale mekanizmalarını birleştiriyoruz. Güvenlik LiveSite İncelemelerimizin hem sıklığını hem de kapsamını yönetici düzeyinde ve altında artırarak başladık. Ayrıca dış güvenlik vaka yönetimimizin ve iç olay iletişim ve yönetim sistemlerimizin entegrasyonunu da geliştiriyoruz. Bu değişiklikler, bildirilen güvenlik açıklarının katılımı ve düzeltilmesi için ortalama süreyi azaltarak hızlı yanıtımızı daha da hassaslaştırır.
2. Bulut Varyantı Avı
Bulut güvenliği eğilimlerine yanıt olarak, varyant avlama programımızı küresel ve özel bir Bulut Varyantı Avı işlevini içerecek şekilde genişlettik. Varyant avı, etkilenen hizmetteki ek ve benzer güvenlik açıklarını tanımlar ve diğer hizmetlerdeki benzer güvenlik açıklarını tanımlayarak keşif ve düzeltmenin daha kapsamlı olmasını sağlar. Bu aynı zamanda güvenlik açığı modellerinin daha derin bir şekilde anlaşılmasına yol açar ve daha sonra bütünsel azaltıcı etkenleri ve düzeltmeleri yönlendirir. Aşağıda, Bulut Varyantı Avı çalışmalarımızdan birkaç önemli nokta bulunmaktadır:
- Azure Otomasyonu’nda değişkenleri belirledik ve iki düzineden fazla benzersiz sorunu düzelttik.
- Azure Data Factory/Synapse’de, hizmeti daha da sağlamlaştıran ve türevleri ele alan önemli tasarım geliştirmeleri belirledik. Ayrıca, risklerin daha geniş bir şekilde ele alınmasını sağlamak için tedarikçimiz ve diğer bulut sağlayıcılarıyla birlikte çalıştık.
- Azure Açık Yönetim Altyapısı’nda birden çok değişken belirledik, araştırmacılarımız CVE-2022-29149’u yayınladı ve müşteriler için düzeltme süresini kısaltmak amacıyla Otomatik Uzantı Yükseltme özelliklerinin oluşturulmasını sağladık. Otomatik Uzantı Yükseltme özelliğimiz Azure Log Analytics, Azure Tanılama ve Azure İstenen Durum Yapılandırması müşterilerinden zaten yararlanmaktadır.
Ek olarak, Cloud Variant Hunting, tüm hizmetlerimizdeki olası sorunları proaktif olarak tanımlar ve düzeltir. Bu, bilinen ve yeni güvenlik açığı sınıflarının çoğunu içerir ve önümüzdeki aylarda müşterilerimize ve genel olarak topluma fayda sağlamak için araştırmamızın daha fazla ayrıntısını paylaşacağız.
3. Güvenli çoklu kiracılık
Tüm güvenlik istihbaratı kaynaklarımızdan edindiğimiz bilgilere dayanarak, potansiyel güvenlik risklerinin erken tespitini ve düzeltilmesini sağlamak için Microsoft’ta kullandığımız otomasyonun yanı sıra Güvenli Çok Kiracılık gereksinimlerimizi geliştirmeye devam ediyoruz. Son birkaç yılda Azure ve diğer bulut güvenliği vakalarını analiz ederken, hem iç hem de dış güvenlik araştırmacılarımız bazı yalıtım engellerini aşmanın benzersiz yollarını buldular. Microsoft, bunu önlemek için proaktif güvenlik önlemlerine büyük yatırımlar yaptığı için bu yeni bulgular en yaygın nedenlerin belirlenmesine yardımcı oldu ve az sayıda yüksek kaldıraçlı değişiklikle bunları Azure’da ele almaya kararlı olduğumuzdan emin oldu.
Ayrıca, özellikle üçüncü taraf veya OSS bileşenlerini tüketirken, tüm Azure hizmetlerinde İşlem, Ağ ve Kimlik Bilgileri yalıtımı için daha da katı standartlar gerektirip uygulayarak derinlemesine savunma yaklaşımımızı iki katına çıkarıyoruz. PostgreSQL gibi OSS topluluğuyla ve diğer bulut sağlayıcılarıyla çok kiracılı bulut ortamlarında son derece arzu edilen özellikler üzerinde işbirliği yapmaya devam ediyoruz.
Bu çalışma, çoğunluğu (yüzde 86) İşlem, Ağ veya Kimlik Bilgileri yalıtımındaki özel iyileştirmelerimize atfedilen düzinelerce farklı bulgu ve düzeltmeyle sonuçlandı. Otomasyon geliştirmelerimiz arasında, dahili Dinamik Uygulama Güvenliği Testlerini (DAST), İşlem ve Ağ yalıtımını doğrulamak için daha fazla denetim içerecek şekilde genişletiyoruz ve net yeni çalışma zamanı Kimlik Bilgileri yalıtım denetimi özellikleri ekliyoruz. Buna paralel olarak, güvenlik uzmanlarımız bulut hizmetlerimizi incelemeye, standartlarımızı karşıladıklarını doğrulamaya ve müşterilerimizin ve Microsoft’un yararına yeni otomatik denetimler geliştirmeye devam ediyor.
Bulut güvenliğinin paylaşılan sorumluluk modelinden yola çıkarak, müşterilerimizin bulut güvenliği duruşlarını iyileştirmek için Microsoft bulut güvenliği karşılaştırma testini kullanmalarını öneririz. Çok kiracılı güvenlik en iyi uygulamalarına odaklanan bir dizi yeni öneri geliştiriyoruz ve bunu bir sonraki sürümümüzde yayınlayacağız.
Kısacası, Microsoft’un güvenliğe uzun ve sürekli bir bağlılığı olsa da, güvenlik ortamı da geliştikçe ve değiştikçe öğrenimlerimizi sürekli olarak büyütüyor ve geliştiriyoruz. Bu sürekli öğrenme ruhuyla Microsoft, güvenli çok kiracılı standartları geliştirerek, bulut çeşidi avlama kapasitemizi genişleterek ve tümleşik yanıt mekanizmaları geliştirerek son Azure bulut güvenliği sorunlarını ele almaktadır. Geliştirmelerimiz ve güvenlik çabalarımızın ölçeği, güvenlik programlarımızın sürekli iyileştirilmesine ve endüstri genelinde güvenlik çıtasının yükseltilmesine yönelik liderliğimizi ve onlarca yıllık bağlılığımızı daha da göstermektedir. Müşterilerimizin ve dünyanın bulutumuzu güvenle geliştirebilmesi için güvenliği tasarım, geliştirme ve operasyonların her aşamasına entegre etmeye kararlıyız.