CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Azure SQL Veritabanı Güvenliği: En İyi Uygulamalar ve Stratejiler

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Azure SQL veritabanını koruma yöntemleri, kimlik doğrulama, veri şifreleme ve daha fazlası hakkında detaylı bilgi edinin.

Azure SQL Veritabanı Güvenliği: En İyi Uygulamalar ve Stratejiler

Azure SQL veritabanı güvenliği, siber saldırılara karşı korunmak için kritik öneme sahiptir. Bu blogda, kimlik doğrulama yöntemleri, veri şifreleme teknikleri ve siber güvenlik stratejileri öğreneceksiniz.

Giriş ve Konumlandırma

Azure SQL veritabanları, günümüzde birçok işletmenin verilerini depolamak ve yönetmek için tercih ettiği bulut tabanlı çözümler arasında yer almaktadır. Ancak, bu veritabanlarının güvenliği, büyüyen siber tehditler karşısında kritik bir önem taşımaktadır. Siber güvenlik ve veri koruma gerekliliklerinin gözetilmesi, yalnızca verilerin güvenliğini sağlamakla kalmaz, aynı zamanda işletmelerin itibarını ve yasal uyumunu da korur.

Azure SQL Veritabanında Güvenliğin Önemi

Siber saldırılar, veri sızıntıları, hizmet kesintileri ve kötüye kullanım gibi tehditler, Azure SQL veritabanlarının güvende olmaması durumunda işletmelere ciddi zararlar verebilir. Özellikle finansal bilgiler, kişisel veriler ve kurumsal sırlar gibi hassas verilerin korunması, veri sızıntılarının önlenmesi açısından hayati öneme sahiptir. Azure SQL kullanıcısı olarak, bu tehditleri göz önünde bulundurarak veritabanı güvenliği uygulamalarını düzenli olarak güncellemek ve geliştirmek gerekmektedir.

Siber Güvenlik Bağlamında Azure SQL

Siber güvenlik bağlamında Azure SQL veritabanları, multitenancy yapısıyla farklı kullanıcıların aynı kaynakları paylaştığı bir ortamda yer almaktadır. Bu durum, veri güvenliği açısından dikkatli olunmasını zorunlu kılar. Veritabanı güvenliği stratejileri, yalnızca erişim kontrolünden ibaret değildir; aynı zamanda izleme, denetim ve veri şifreleme gibi alanları da kapsamaktadır.

Pentest süreçleri, Azure SQL veritabanındaki olası zafiyetleri tespit etmek amacıyla gerçekleştirilmekte olup, bu süreçlerin sonuçları güvenlik yönetimi stratejilerinin geliştirilmesine yön vermektedir. Veritabanı güvenliğinizi artırmak için çeşitli stratejiler geliştirilmesi gereklidir. Bu bağlamda, Azure üzerindeki savunma mekanizmaları önemli bir rol oynamaktadır.

Azure SQL için Uygulama Uygulamaları

Azure SQL veritabanları için güvenliği artırmanın birçok yolu vardır. Bu yollar arasında kimlik doğrulama yöntemleri, ağ izolasyonu, veri şifreleme (TDE), izleme ve denetim mekanizmaları gibi önemli alanlar bulunmaktadır.

  • Kimlik Doğrulama: Kullanıcıların veritabanına erişimini kontrol etmek için kullanılan kimlik doğrulama yöntemleri, güvenlik katmanlarının ilk aşamasını oluşturur. Örneğin, SQL Authentication ve Microsoft Entra ID gibi yöntemler kullanılarak doğru kimlik doğrulama sağlanabilir.

  • Ağ İzolasyonu: Veritabanının dış erişimden korunması için sanal ağ kurallarının ve özel uç noktaların kullanılması gerekir. Bu, yalnızca güvenli ağlardan gelen trafiğin veritabanına erişimini sağlar.

  • Şifreleme: TDE (Transparent Data Encryption) gibi şifreleme yöntemleri, verilerin fiziksel olarak korunmasını sağlar. Bu sayede disk üzerindeki veriler şifrelenerek veri hırsızlığının önüne geçilmiş olur.

  • İzleme ve Denetim: Veritabanı üzerindeki işlemlerin ve kullanıcı aktivitelerinin izlenmesi, saldırıların tespit edilmesine yardımcı olur. SQL denetim araçları, bu verilerin merkezi olarak yönetilmesini sağlar.

  • Zafiyet Taraması: Veritabanındaki güvenlik açıklarını tespit etmek için kullanılan Vulnerability Assessment, potansiyel zafiyetlerin hızlı bir şekilde belirlenmesi ve iyileştirilmesi için kritik öneme sahiptir.

Bu teknik uygulamalar, Azure SQL veritabanının güvenliğini sağlamak için temel yapı taşlarını oluşturmaktadır. Okuyucu, bu alanlardaki uygulama ve stratejileri daha detaylı bir şekilde inceleyerek, veritabanı güvenliğini artırma konusunda bilgi sahibi olacaktır. Bu blog yazısının devamında, Azure SQL güvenliği ile ilgili en iyi uygulamalar ve stratejilerin detaylı bir incelemesini gerçekleştireceğiz.

Teknik Analiz ve Uygulama

Azure SQL Güvenlik Katmanları

Azure SQL veri güvenliği, çok katmanlı bir yaklaşım gerektirir. Hem izleme, erişim yönetimi hem de veri koruma stratejileri içermektedir. Azure SQL'i güvenli hale getirmek için aşağıdaki katmanları dikkate almak önemlidir:

  1. Kimlik Doğrulama
  2. Ağ İzolasyonu
  3. Veri Şifreleme
  4. Denetim ve İzleme
  5. Tehdit Algılama

Kimlik Doğrulama Yöntemleri

Azure SQL Veritabanı'na erişim sağlarken kullanabileceğiniz farklı kimlik doğrulama yöntemleri bulunmaktadır. Bunlar arasında:

  • SQL Authentication: Kullanıcı adı ve parola ile yapılan geleneksel kimlik doğrulama yöntemidir.
  • Microsoft Entra ID: Merkezi kimlik yönetimi ile MFA desteği sunan bulut tabanlı bir yöntemdir. Bu yöntem, güvenliği artırmak için çok faktörlü kimlik doğrulamayı da desteklemektedir.
  • Active Directory Admin: Azure SQL Sunucusu üzerinde en yüksek yetkilere sahip olan ve Entra ID üzerinden atanan yöneticidir.

Bu yöntemlerin nasıl uygulanacağı ile ilgili bir örnek vermek gerekirse, Microsoft Entra ID ile kimlik doğrulama yöntemi kullanarak bir Azure SQL veritabanına bağlanmak için şu komutları kullanabilirsiniz:

-- Entra ID ile bağlanma
DECLARE @SQLAuth VARCHAR(20) = 'encryption=TRUE;trustServerCertificate=False;hostNameInCertificate=*.database.windows.net;login=yourusername@yourtenantname.onmicrosoft.com;password=yourpassword';

CREATE LOGIN [yourusername@yourtenantname.onmicrosoft.com] FROM EXTERNAL PROVIDER;

Ağ İzolasyonu

Ağ seviyesinde SQL güvenliğini sağlamak, veritabanının dış tehditlerden korunmasında kritik bir rol oynamaktadır. Bu, sanal ağ kuralları ve özel uç noktalar kullanarak gerçekleştirilir. Azure SQL Veritabanı’na gelen tüm internet trafiği kapatılmalı ve erişim sadece güvenli ağlarla sınırlandırılmalıdır. Örneğin, aşağıdaki komutla bir IP adresini kısıtlayabilirsiniz:

-- Güvenlik duvarı kuralı ekleme
EXEC sp_set_database_firewall_rule @name = 'AllowYourIP', @start_ip_address = 'your.start.ip', @end_ip_address = 'your.end.ip';

TDE (Transparent Data Encryption)

TDE, veritabanı dosyalarının ve yedeklerinin disk üzerinde şifrelenmesini sağlamaktadır. Bu teknoloji, fiziksel veri hırsızlığına karşı önemli bir koruma sağlar. TDE’yi etkinleştirmek için aşağıdaki komutu kullanabilirsiniz:

-- TDE'yi etkinleştirme
ALTER DATABASE [YourDatabaseName] SET ENCRYPTION ON;

Denetim ve İzleme (Auditing)

SQL denetimi, veritabanı işlemlerini takip etmek için kritik öneme sahiptir. Denetim ile kullanıcı etkileşimleri, performans izleme ve güvenlik açıklarının tespit edilmesi sağlanır. Denetim türleri olarak iki ana seçenek bulunmaktadır: Server-level Auditing ve Database-level Auditing. Her iki yöntemi de şu şekilde ayarlayabilirsiniz:

-- Sunucu seviyesinde denetim ayarları
CREATE SERVER AUDIT [AuditName]
TO FILE ( FILEPATH = 'C:\AuditLogs\' )
WITH ( QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE );

-- Belirli bir veritabanı için denetim ayarları
CREATE DATABASE AUDIT SPECIFICATION [DatabaseAuditSpec]
FOR SERVER AUDIT [AuditName]
ADD (SELECT, INSERT, UPDATE, DELETE ON SCHEMA::[dbo] BY [Public]);

Microsoft Defender for SQL

Microsoft Defender for SQL, veritabanınızdaki anomali içeren oturum açma girişimlerini ve SQL enjeksiyon saldırılarını gerçek zamanlı olarak tespit eder. Bu özellik, güvenlik tehditlerini önceden tespit etmek ve önlem almak için önemlidir.

Zafiyet Taraması

Vulnerability Assessment (Zafiyet Taraması), veritabanınızdaki güvenlik açıklarını tarayarak, iyileştirme önerileri sunmanıza yardımcı olur. Bu tarama aracı, belirli bir komut aracılığıyla etkinleştirilebilir:

-- Zafiyet taraması başlatma
EXEC sp_vulnerability_assessment @database_id = DB_ID('YourDatabaseName');

Veri Maskeleme ve Erişim

Verilere erişimi kontrol etmek için Row-Level Security (RLS) ve veri maskeleme yöntemlerinden yararlanabilirsiniz. Row-Level Security, bir kullanıcının yalnızca kendisine ait olan satırları görmesini sağlar. Örnek uygulaması:

-- Row-Level Security oluşturma
CREATE SECURITY POLICY UserFilter
ADD FILTER PREDICATE dbo.UserPredicate(UserId) ON dbo.YourTable
WITH (STATE = ON);

Dynamic Data Masking, verilerin sorgu sonuçlarında maskelenmiş olarak dönmesini sağlar. Aşağıdaki kodla bu yeteneği tanımlayabilirsiniz:

-- Dinamik veri maskeleme
ALTER TABLE dbo.YourTable
ALTER COLUMN EmailAddress ADD MASKED WITH (FUNCTION = 'default()');

Her bir katmanın etkili bir şekilde uygulanması, Azure SQL Veritabanı güvenliğini sağlamak adına önemlidir. Bu stratejiler, yalnızca bir temel oluşturmakla kalmaz, aynı zamanda veritabanınızın güvenliğini artırmaya yönelik sürekli bir süreçtir.

Risk, Yorumlama ve Savunma

Risklerin Yorumlanması

Azure SQL veritabanları, çeşitli tehditler ve zafiyetler ile karşı karşıya kalmaktadır. Bu tehditlerin çoğu, yanlış yapılandırmalardan ve yetersiz erişim kontrollerinden kaynaklanmaktadır. Örneğin, sunucu seviyesinde güvenlik açıları, veritabanının dışarıya kapatılmaması veya kimlik doğrulama yöntemlerinin zayıf olması gibi faktörler, siber saldırganlar için fırsatlar yaratabilir.

Bir risk değerlendirmesi yapılırken, öncelikle güvenlik açıklarının tespit edilmesi gerekir. Güvenlik açıkları, Sızan veri zafiyetlerini ve bağlantıların ne kadar güvenli olduğunu analiz eder. Örneğin, Microsoft Defender for SQL aracılığıyla elde edilen bulgular, potansiyel tehditlerin ve anormalliklerin belirlenmesine yardımcı olabilir. Bu araç, SQL enjeksiyonları veya yetkisiz oturum açma girişimleri gibi saldırıları tespit edebilir.

Yanlış Yapılandırmaların Etkisi

Yanlış yapılandırmalar, siber güvenlik açısından en büyük tehditlerden biridir. Aşağıda, sık karşılaşılan yapılandırma problemleri ve bunların potansiyel etkileri ile ilgili birkaç örnek bulunmaktadır:

  1. Açık Erişim Kuralları: Örneğin, sanal ağ kuralları aracılığıyla dışarıya kapatılmayan bir SQL sunucusu, kötü niyetli kullanıcıların erişim sağlamasına izin verebilir. 

    -- Tüm gelen trafiği kısıtlamak için gereken ayar
CREATE DATABASE [YourDatabaseName]
SET ALLOW_SNAPSHOT_ISOLATION ON;

  2. Zayıf Kimlik Doğrulama Yöntemleri: Kullanıcı adı ve parolanın sadece basit formda kullanılması, SQL Injection gibi saldırılara kapı aralar. 

    CREATE USER [TestUser] WITH PASSWORD = 'your-password-here';

Yukarıdaki örneklerde görüldüğü gibi, yapısal güvenlik açıkları, sızılan veriler ve sistemin yanıltıcı analitiği ile ciddi sonuçlar doğurabilir.

Savunma Stratejileri

Siber tehditlerle başa çıkmak üzere uygulanabilecek bazı profesyonel önlemler ve hardening önerileri şöyledir:

Veri Şifreleme

TDE (Transparent Data Encryption) ve Always Encrypted özellikleri, verilerin güvenliğini artırmak için kritik öneme sahiptir. TDE, veritabanı dosyalarının fiziksel olarak şifrelenmesini sağlarken, Always Encrypted özelliği hassas bilgilerin uygulama katmanında güvenli bir şekilde şifrelenmesini sağlar. 

ALTER DATABASE [YourDatabaseName] SET ENCRYPTION ON;

Ağ İzolasyonu

Veritabanlarına yalnızca güvenli ağlar üzerinden erişim sağlanması gerekmektedir. Sanal ağ kuralları ve özel uç noktalar kullanılarak internetten gelen tüm trafik kapatılmalıdır.

Denetim ve İzleme

Veritabanı düzeyinde gerçekleştirilmesi gereken denetimler, veri güvenliğini artırmak için kritik öneme sahiptir. Server-level Auditing ve Database-level Auditing, kullanıcı aktivitelerinin ve olası tehditlerin sürekli olarak izlenmesini sağlar.

Zafiyet Taraması

Vulnerability Assessment aracı, mevcut zafiyetlerin belirlenmesine ve çözüm önerileri sunulmasına yardımcı olur. Bu araç kullanılarak, belirli aralıklarla tarama yapmak, sistemin güvenliğini sağlamak açısından önemlidir.

Dinamik Veri Maskeleme

Dynamic Data Masking (DDM), kullanıcıların verileri sorgulaması sırasında hassas bilgilerin maskelemeye tabi tutulmasını sağlar. Bu özellik, veritabanındaki kullanıcıların hassas verilere erişimlerini kontrol etmeye yardımcı olur.

Erişim Kontrolleri

Row-Level Security (RLS) kullanarak, bir kullanıcının yalnızca kendisine tahsis edilmiş verilere erişebilmesi sağlanabilir. Bu, verilerin güvenliğini artırmada etkili bir yöntemdir.

Sonuç

Azure SQL veritabanı güvenliği, dikkatli bir değerlendirme ve etkili savunma stratejileri gerektirir. Yanlış yapılandırmalar ve zafiyetler sızma riskini artırırken, doğru güvenlik uygulamaları siber tehditlerle başa çıkmada büyük önem taşır. TDE, Always Encrypted, denetim yöntemleri ve ağ izolasyonu gibi tekniklerle, bir organizasyonun veri güvenliği sağlanabilir. Unutulmamalıdır ki, sürekli izleme ve güncel kalma, en etkili savunmanın temelidir.