Microsoft Defender for Cloud Nedir? CNAPP Bulut Güvenliği (2026)

Özet (TL;DR): Microsoft Defender for Cloud, Azure, AWS ve Google Cloud Platform (GCP) iş yüklerini tek bir konsoldan koruyan bulut yerel uygulama koruma platformudur (CNAPP). Üç temel bileşeni vardır: Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP) ve DevSecOps. Ücretsiz Foundational CSPM tüm abonelikler için açıktır; Defender CSPM ise atak yolu analizi, agentsız zafiyet taraması, veri güvenliği duruşu ve AI iş yükü koruması gibi gelişmiş özellikler sunar. 2026 itibarıyla Defender for Cloud konsolu, birleşik güvenlik deneyimi için Microsoft Defender portalına taşınmaktadır.

Microsoft Defender for Cloud Nedir?

Microsoft Defender for Cloud, bulut iş yüklerini geliştirme aşamasından çalışma zamanına kadar uçtan uca güvence altına alan bir Cloud Native Application Protection Platform (CNAPP) çözümüdür. Tek bir konsolda çoklu bulut (Azure, AWS, GCP) ve hibrit (Azure Arc ile şirket içi) kaynakların güvenlik duruşunu görüntüler, yanlış yapılandırmaları tespit eder, tehditleri saptar ve geliştirme hattına güvenlik kontrolü ekler.

Geleneksel güvenlik araçlarının aksine Defender for Cloud, ayrı ayrı çalışan CSPM, CWPP, DevSecOps ve CIEM yeteneklerini birleştirir. Böylece Microsoft Azure üzerinde çalışan kurumsal yüklerin yanı sıra çoklu bulut stratejisi izleyen organizasyonlar da tek panelden görünürlük ve aksiyon kazanır.

CNAPP Yaklaşımının Anlamı

CNAPP, bulut tabanlı uygulamaları koruma yaşam döngüsünün tamamını kapsayan birleşik güvenlik kategorisidir. Defender for Cloud bu yaklaşımı şu üç sütunda hayata geçirir:

• Cloud Security Posture Management (CSPM): Bulut kaynaklarının güvenlik duruşunu sürekli denetler, yanlış yapılandırmaları ve uyumluluk açıklarını raporlar.
• Cloud Workload Protection Platform (CWPP): Sanal makineler, konteynerler, depolama hesapları, veritabanları ve serverless fonksiyonlar gibi iş yüklerini gerçek zamanlı tehditlere karşı savunur.
• DevSecOps: Kod depolarını (GitHub, Azure DevOps, GitLab) tarayıp Infrastructure-as-Code (IaC) yanlış yapılandırmalarını, sızdırılmış kimlikleri ve zafiyetleri pull request düzeyinde ortaya çıkarır.

Foundational CSPM mı, Defender CSPM mi?

Defender for Cloud'da CSPM iki katmanda sunulur: ücretsiz Foundational ve ücretli Defender CSPM. Doğru planı seçmek bütçe, regülasyon ve risk önceliklerine göre değişir.

Foundational CSPM (Ücretsiz)

Tüm Azure abonelikleri ile bağlanmış AWS ve GCP hesaplarında otomatik olarak açıktır. Şu yetenekleri sağlar:

• Microsoft Cloud Security Benchmark (MCSB): Yerleşik güvenlik standardı; Azure, AWS ve GCP için ayrıntılı teknik kontrol önerileri.
• Secure Score: Güvenlik durumunun yüzdesel skoru; önerileri kapattıkça yükselir.
• Varlık envanteri: Çoklu bulut varlıklarının tek panelde listelenmesi.
• Güvenlik önerileri ve düzeltme araçları: Yanlış yapılandırma tespit edildiğinde uygulanabilir aksiyonlar.
• Workflow otomasyonu: Logic Apps ile önerilere tepki veren akışlar.
• SIEM/SOAR'a veri dışa aktarımı.

Defender CSPM (Ücretli)

Foundational planın üzerine gelişmiş güvenlik duruşu yetenekleri ekler. Kritik özellikler:

• Agentsız VM zafiyet taraması: Sanal makinelere ajan kurmadan disk anlık görüntüsü üzerinden zafiyet ve sır taraması.
• Atak yolu analizi (Attack Path Analysis): Saldırganın internetten kritik varlığa nasıl ilerleyebileceğini grafiksel olarak gösterir.
• Cloud Security Explorer: Bulut güvenlik grafiği üzerinde Kusto benzeri sorgularla risk avcılığı.
• Risk önceliklendirme: Tüm önerileri birleşik risk skoruna göre sıralar; ekibin önce hangi 10 öğeye odaklanması gerektiğini söyler.
• Veri Güvenliği Duruşu Yönetimi (DSPM): Hassas veri içeren depoları otomatik keşfeder ve sızıntı yollarını gösterir.
• AI Güvenlik Duruşu Yönetimi (AI SPM): Generative AI iş yüklerini, AI Bill of Materials (AI BOM) ile envantere alır.
• Dış saldırı yüzeyi yönetimi (EASM): İnternete açık varlıkların saldırgan perspektifinden taranması.
• Kritik varlık koruması: Üretim domain controller'ları, gizli anahtarlar gibi mücevher varlıkları işaretler.
• Regülasyon uyumluluğu: ISO 27001, PCI DSS, NIST 800-53, CIS Azure Benchmark, SOC 2 gibi standartlara göre değerlendirme.
• API güvenlik duruşu yönetimi: Azure API Management üzerindeki API'lerin güvenlik değerlendirmesi.

Defender CSPM faturalandırması belirli kaynak tiplerine göre yapılır: Azure'da sanal makineler, depolama hesapları ve SQL sunucuları; AWS'de EC2, S3 ve RDS; GCP'de Compute instance, Storage bucket ve Cloud SQL. Güncel fiyat detayları için Microsoft Learn'in CSPM belgesi referans alınmalıdır.

İş Yükü Bazlı Defender Planları

Defender for Cloud, kaynak tipine özel ek planlarla CWPP korumasını derinleştirir. Her plan ayrı etkinleştirilir ve ayrı ücretlendirilir.

Defender for Servers

Windows ve Linux sunucularını korur. Microsoft Defender for Endpoint entegrasyonu, dosya bütünlüğü izleme (FIM), Just-In-Time (JIT) ağ erişimi, adaptif uygulama kontrolleri ve zafiyet değerlendirmesi içerir. Azure, AWS, GCP ve Azure Arc ile bağlı şirket içi sunucularda çalışır. Plan 1 ve Plan 2 olmak üzere iki kademe vardır; Plan 2 ek olarak Defender for DNS, FIM ve regülasyon uyumluluğu sağlar.

Defender for Containers

Kubernetes kümeleri (Azure Kubernetes Service, Amazon EKS, Google GKE, Azure Arc bağlı kümeler) için ortam sertleştirmesi, çalışma zamanı tehdit algılama ve konteyner imajı zafiyet taraması sunar. Defender CSPM ile birlikte kullanıldığında kod-uç-buluta haritalama (code-to-cloud mapping) bulut imajındaki zafiyeti kaynak deposundaki Dockerfile satırına kadar izler.

Defender for Storage

Azure Blob Storage ve Azure Files için malware tarama, hassas veri tespiti ve SAS token kötüye kullanım algılama sağlar. Activity-based threat protection abonelikte tüm depolama hesaplarını otomatik kapsar; malware scanning ise blob upload sırasında entegre çalışır.

Defender for Databases

Azure SQL veritabanları, sanal makinelerde çalışan SQL Server, açık kaynak ilişkisel veritabanları (PostgreSQL, MySQL, MariaDB) ve Azure Cosmos DB için SQL injection, anormal erişim ve veri sızıntısı tehditlerini saptar.

Diğer Planlar

• Defender for App Service: Azure App Service üzerinde çalışan web uygulamalarını hedef alan saldırıları algılar.
• Defender for Key Vault: Key Vault hesaplarına olağandışı erişim girişimlerini tespit eder.
• Defender for Resource Manager: Yönetim katmanındaki şüpheli işlemleri (örn. zincir Role Assignment, dış kullanıcıya rol verme) izler.
• Defender for APIs: Kritik iş API'leri için görünürlük ve gerçek zamanlı tehdit algılama.
• Defender for AI Services: Azure OpenAI ve diğer üretken AI iş yüklerine yönelik prompt injection, jailbreak ve veri sızıntısı tehditlerini saptar.

2026'nın Önemli Yeniliği: AI Güvenliği

Üretken AI iş yüklerinin kurumsal yaygınlaşmasıyla birlikte Defender for Cloud, AI özelinde iki yetenek ekledi:

AI Security Posture Management (AI SPM)

Defender CSPM kapsamında sunulur. Azure, AWS ve GCP'deki üretken AI uygulamalarını otomatik keşfeder, AI Bill of Materials (AI BOM) oluşturur. Hangi modelin kullanıldığı, hangi veri kaynaklarına erişimi olduğu, hangi kimliklerin model üzerinde yetkili olduğu görüntülenir. Atak yolu analizi AI iş yüklerine de uzanır: "İnternete açık bir web uygulamasından Azure OpenAI deployment'ına kadar olan saldırı yolu" gibi senaryolar grafiksel raporlanır.

AI Threat Protection

Defender for AI Services planı kapsamında, üretken AI uygulamalarına yönelik prompt injection, sensitive data exfiltration ve hesap ele geçirme tehditlerine karşı gerçek zamanlı algılama sunar. Microsoft Copilot ve AI çözümleri üreten kurumlar için bu plan, üretim AI'sını korumanın temel taşı haline geldi.

Defender for Cloud, Microsoft Defender Portalında Birleşiyor

2026 itibarıyla Microsoft, Defender for Cloud konsolunu Azure portalından Microsoft Defender portalına (security.microsoft.com) taşıma sürecini hızlandırdı. Bu birleşim ile SOC ekipleri, bulut güvenlik uyarılarını Microsoft Defender XDR içindeki endpoint, kimlik, e-posta ve SaaS uyarılarıyla tek konsolda korelasyon altında inceleyebiliyor. Bulutta tespit edilen bir saldırı zinciri (örn. dışa açık AWS S3 bucket → çalınmış erişim anahtarı → şüpheli Azure kullanıcı oluşturma), tek bir incident altında otomatik birleştiriliyor.

Defender for Cloud belgelerinin başında "Defender Portal" veya "Azure Portal" pivot işaretçisi, ilgili özelliğin hangi portalda kullanılabilir olduğunu gösterir. Mevcut Azure portal deneyimi geçiş döneminde de çalışmaya devam ediyor.

Çoklu Bulut ve Hibrit Kapsam

Defender for Cloud sadece Azure'a özel değildir. Native konnektörlerle aşağıdaki ortamları kapsar:

• Amazon Web Services (AWS): EC2, S3, RDS, EKS, Lambda gibi kaynaklarda CSPM ve CWPP. AWS hesabını CloudFormation şablonu ile bağlamak yeterlidir.
• Google Cloud Platform (GCP): Compute Engine, Cloud Storage, Cloud SQL, GKE kapsamında benzer yetenekler.
• Şirket içi (on-premises): Azure Arc ile bağlanan Windows/Linux sunucular ve Kubernetes kümeleri.
• DevOps ortamları: GitHub, Azure DevOps ve GitLab konnektörleri ile repo bazlı IaC ve gizli anahtar taraması.
• Konteyner registry'leri: Azure Container Registry, Amazon ECR, Docker Hub, JFrog Artifactory imaj taraması.

Çoklu bulut bağlantısı, agentsız tarama temelinde çalışır; her bulut sağlayıcının kendi API'lerini okuyarak yapılandırmayı analiz eder. Bu yaklaşım, ajan kurma sürtünmesi olmadan dakikalar içinde tam görünürlük sağlar.

Tipik Kullanım Senaryoları

• Yeni Azure aboneliğinde temel güvenlik: Foundational CSPM açık olduğu için kuruluş ilk dakikadan Secure Score takibi ve MCSB önerileri alır.
• Çoklu bulut regülasyon uyumu: ISO 27001, PCI DSS veya KVKK ile uyumlu olduğunu kanıtlaması gereken kurumlar, Defender CSPM'in regülasyon uyumluluğu modülü ile çoklu bulutu tek raporda denetler.
• Kritik üretim iş yükleri: Üretim VM, container ve veritabanları Defender for Servers + Defender for Containers + Defender for Databases planlarıyla derinleştirilmiş tehdit algılama altına alınır.
• DevSecOps olgunluk: Geliştirme ekipleri GitHub veya Azure DevOps repo'larını bağlayarak IaC yanlış yapılandırmalarını ve sızdırılmış sırları pull request aşamasında görür.
• AI iş yükü koruması: Azure OpenAI veya custom GenAI uygulamaları üreten kurumlar AI SPM ile envantere alır, AI Threat Protection ile prompt injection algılar.
• Birleşik SOC operasyonu: SOC ekibi Microsoft Defender portalında bulut uyarılarını endpoint/kimlik uyarılarıyla aynı incident altında inceler.

Hangi Plandan Başlamalı?

Türkiye'deki kurumlarda gözlemlediğimiz pratik bir geçiş yolu:

1. Hafta 1: Foundational CSPM üzerinden Secure Score taban değerini ölç, ilk 30 yüksek öncelikli öneriyi temizle.
2. Hafta 2-3: Üretim ortamındaki sanal makineler için Defender for Servers Plan 2'yi etkinleştir; Defender for Endpoint entegrasyonunu doğrula.
3. Hafta 4-6: Defender CSPM'i üretim aboneliğinde aç, atak yolu analizini ve Cloud Security Explorer'ı incele.
4. Hafta 6-10: Container, depolama ve veritabanı planlarını öncelik sırasına göre devreye al.
5. Hafta 10+: AWS/GCP hesaplarını bağla, DevOps repo entegrasyonunu kur, AI iş yükleri için AI SPM ve AI Threat Protection'ı etkinleştir.

Maliyet planlamasında Microsoft'un Defender for Cloud cost calculator aracı, kaynak sayısı ve plan kombinasyonuna göre aylık tahmini fiyat verir.

Sıkça Sorulan Sorular (SSS)

Microsoft Defender for Cloud ücretsiz mi?

Foundational CSPM yetenekleri (Microsoft Cloud Security Benchmark, Secure Score, varlık envanteri, güvenlik önerileri, multicloud bağlantısı) tüm onboard edilmiş Azure aboneliklerinde, AWS hesaplarında ve GCP projelerinde ücretsiz olarak çalışır. Defender CSPM ve iş yükü bazlı CWPP planları (Defender for Servers, Containers, Storage, Databases vb.) ayrı ayrı ücretlendirilir. Fiyatlar kaynak tipine, sayısına ve plan kademesine göre değişir.

Defender for Cloud sadece Azure için mi çalışıyor?

Hayır. Defender for Cloud yerel konnektörlerle Amazon Web Services (AWS) ve Google Cloud Platform (GCP) ortamlarını da kapsar. Şirket içi sunucular Azure Arc üzerinden bağlanır. DevOps tarafında GitHub, Azure DevOps ve GitLab repo'larını destekler. Bu nedenle çoklu bulut stratejisi izleyen kurumlar tek konsoldan tam görünürlük elde eder.

Defender CSPM ile Foundational CSPM arasındaki fark nedir?

Foundational CSPM, temel güvenlik duruşu izleme yetenekleri (Secure Score, MCSB önerileri, varlık envanteri) sağlar ve ücretsizdir. Defender CSPM ise atak yolu analizi, Cloud Security Explorer, agentsız zafiyet ve sır taraması, Veri Güvenliği Duruşu Yönetimi (DSPM), AI Güvenliği Duruşu Yönetimi (AI SPM), risk önceliklendirme, dış saldırı yüzeyi yönetimi ve regülasyon uyumluluğu gibi gelişmiş yetenekleri ekler. Kritik üretim ortamları için Defender CSPM önerilir.

Microsoft Defender for Cloud ile Microsoft Defender XDR arasında ne fark var?

Microsoft Defender for Cloud, bulut iş yüklerinin (VM, container, depolama, veritabanı, App Service, API) güvenlik duruşunu ve tehdit korumasını yönetir. Microsoft Defender XDR ise endpoint (Defender for Endpoint), kimlik (Defender for Identity), e-posta (Defender for Office 365) ve SaaS (Defender for Cloud Apps) uyarılarını korelasyon altında birleştiren genişletilmiş tespit ve müdahale platformudur. 2026 itibarıyla Defender for Cloud uyarıları, birleşik Microsoft Defender portalı (security.microsoft.com) üzerinden XDR ile aynı konsolda görülür ve incident birleştirmesine dahil olur.

Defender for Cloud Türkiye Azure bölgelerinde kullanılabilir mi?

Evet. Defender for Cloud, Azure'ın tüm ticari bölgelerinde (Türkiye için Microsoft hizmetlerinin sunulduğu Avrupa ve Orta Doğu bölgeleri dahil) kullanılabilir. Kaynaklarınız hangi bölgede çalışıyorsa, Defender for Cloud bu kaynakları o bölgedeki konuma uygun şekilde izler. Bölgesel kullanılabilirlik için Microsoft'un cloud environment support matrix dokümanı güncel referanstır.

Defender for Cloud kurulumu için ajan gerekli mi?

Çoğu yetenek artık agentsız (agentless) çalışır. Defender CSPM, Azure / AWS / GCP API'lerini ve disk anlık görüntülerini okuyarak yapılandırmayı ve zafiyetleri tarar. Defender for Servers Plan 2 derin runtime koruması için Microsoft Defender for Endpoint sensor'ünü kullanır; bu sensor Azure Arc veya AKS uzantısı olarak otomatik dağıtılabilir. Defender for Containers ise hem agentsız Kubernetes keşfi hem runtime için DaemonSet bazlı sensor sunar.

Defender for Cloud, SIEM ve SOAR sistemleriyle nasıl entegre olur?

Defender for Cloud uyarıları ve önerileri; Microsoft Sentinel, üçüncü taraf SIEM (örn. Splunk, IBM QRadar) ve SOAR sistemlerine native dışa aktarım ile aktarılır. Continuous Export özelliği uyarıları Event Hubs veya Log Analytics çalışma alanına gönderir. ServiceNow gibi ITSM araçlarıyla yerleşik entegrasyon, güvenlik önerilerini otomatik ticket olarak açabilir.

Sonuç: Bulutta Güvenlik için Birleşik Bir Yaklaşım

Microsoft Defender for Cloud, çoklu bulut ve hibrit ortamlarda parçalı güvenlik araçlarını tek bir CNAPP konsolunda birleştirir. Ücretsiz Foundational CSPM ile başlayıp Defender CSPM ve iş yükü bazlı planlarla derinleşmek, kurumların güvenlik duruşunu adım adım olgunlaştırmasına olanak tanır. 2026'nın temel yenilikleri olan AI Güvenliği Duruşu Yönetimi, AI Threat Protection ve Microsoft Defender portalı birleşimi, bulut güvenliğini SOC operasyonlarının ayrılmaz parçası haline getiriyor.

Türkiye'deki kurumlar için pratik öneri: Üretim Azure aboneliğinde Defender CSPM ve Defender for Servers Plan 2 ile başlayın; sonraki çeyrekte depolama, veritabanı, container ve AI planlarını risk önceliğine göre devreye alın. Çoklu bulut kullanıyorsanız AWS/GCP konnektörlerini kurarak tek panelden uçtan uca görünürlük kazanın.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun Microsoft Defender for Cloud benimseme yolculuğunda lisans seçiminden plan etkinleştirmesine, multicloud konnektör kurulumundan SOC entegrasyonuna kadar uçtan uca destek sağlıyoruz. İletişim sayfamızdan bize ulaşın.