Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure kaynak sağlayıcılarının durağan şifrelemeyi nasıl uyguladığını anlamak için, farklı şifreleme modellerini ve bunların avantajları ile dezavantajlarını karşılaştırarak anlamanız gerekir. Ortak bir dil ve taksonomi sağlamak için Azure kaynak sağlayıcıları bu tanımları paylaşır.
Azure, platform tarafından yönetilen anahtarları kullanarak bekleyen verileri varsayılan olarak otomatik olarak şifreler. İsteğe bağlı olarak güvenlik ve uyumluluk gereksinimlerinize göre diğer anahtar yönetimi yaklaşımlarını seçebilirsiniz. Sunucu tarafı şifreleme için üç senaryo vardır:
Platform tarafından yönetilen anahtarları kullanarak sunucu tarafı şifrelemesi (varsayılan)
- Azure kaynak sağlayıcıları şifreleme ve şifre çözme işlemlerini gerçekleştirir.
- Microsoft anahtarları otomatik olarak yönetir.
- Yapılandırma gerektirmeden varsayılan olarak etkindir.
- Tam bulut işlevselliği.
Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifreleme (isteğe bağlı)
- Azure kaynak sağlayıcıları şifreleme ve şifre çözme işlemlerini gerçekleştirir.
- Anahtarları Azure Key Vault aracılığıyla denetleyebilirsiniz.
- Müşteri yapılandırması ve yönetimi gerektirir.
- Tam bulut işlevselliği.
Müşteri tarafından denetlenen donanımda müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifreleme (gelişmiş seçenek)
- Azure kaynak sağlayıcıları şifreleme ve şifre çözme işlemlerini gerçekleştirir.
- Anahtarları müşteri tarafından denetlenen donanımlarda denetleyebilirsiniz.
- Karmaşık yapılandırma ve sınırlı Azure hizmeti desteği.
- Tam bulut işlevselliği.
Sunucu tarafı şifreleme modelleri, Azure hizmetinin gerçekleştirdiği şifrelemeye başvurur. Bu modelde kaynak sağlayıcısı şifreleme ve şifre çözme işlemlerini gerçekleştirir. Örneğin, Azure Depolama düz metin işlemlerinde veri alabilir ve şifreleme ve şifre çözme işlemlerini dahili olarak gerçekleştirebilir. Kaynak sağlayıcısı, sağlanan yapılandırmaya bağlı olarak Microsoft'un veya müşterinin yönettiği şifreleme anahtarlarını kullanabilir.
Durumdaki sunucu tarafı şifreleme modellerinin her biri, anahtar yönetiminde ayırt edici özelliklere sahiptir. Bu özellikler şifreleme anahtarlarını nerede ve nasıl oluşturup depoladığınıza ek olarak erişim modellerini ve anahtar döndürme yordamlarını içerir.
İstemci tarafı şifrelemesi için şunları göz önünde bulundurun:
- Azure hizmetleri şifresi çözülmüş verileri göremez.
- Müşteriler anahtarları şirket içinde (veya diğer güvenli depolarda) yönetir ve depolar. Azure hizmetlerinin anahtarlara erişimi yoktur.
- Azaltılmış bulut işlevselliği.
Azure'da desteklenen şifreleme modelleri iki ana gruba ayrılır: İstemci Şifrelemesi ve Sunucu Tarafı Şifreleme. Kullandığınız bekleme modelinde şifrelemeden bağımsız olarak, Azure hizmetleri her zaman TLS veya HTTPS gibi güvenli bir aktarım kullanılmasını önerir. Bu nedenle aktarımdaki şifreleme, aktarım protokolü tarafından ele alınmalıdır ve bekleyen modelde hangi şifrelemenin kullanılacağını belirlemede önemli bir faktör olmamalıdır.
İstemci şifreleme modeli
İstemci şifreleme modeli, hizmetin veya çağıran uygulamanın Kaynak Sağlayıcısı veya Azure dışında gerçekleştirdiği şifrelemeyi ifade eder. Azure'daki hizmet uygulaması veya müşteri veri merkezinde çalışan bir uygulama şifreleme gerçekleştirebilir. Her iki durumda da, bu şifreleme modelini kullandığınızda Azure Kaynak Sağlayıcısı verilerin şifresini herhangi bir şekilde çözme veya şifreleme anahtarlarına erişme olanağı olmadan şifrelenmiş bir veri blobu alır. Bu modelde, çağıran hizmet veya uygulama anahtar yönetimini işler ve Azure hizmetine göre opak kalmasını sağlar.
Platform tarafından yönetilen anahtarları kullanarak sunucu tarafı şifrelemesi (varsayılan)
Çoğu müşteri için temel gereksinim, verilerin beklemede olduğunda şifrelendiğinden emin olmaktır. Platform tarafından yönetilen anahtarların (eski adı hizmet tarafından yönetilen anahtarlar) kullanılarak sunucu tarafı şifrelemesi, varsayılan olarak otomatik şifreleme sağlayarak bu gereksinimi karşılar. Bu yaklaşım, müşterilerin herhangi bir şifreleme anahtarını yapılandırmasına veya yönetmesine gerek kalmadan dinlenme halindeki şifrelemeyi etkinleştirir ve anahtar sağlama, döngüsünü ve yedekleme gibi tüm anahtar yönetimi yönlerini Microsoft'a bırakır.
Azure hizmetlerinin çoğu bu modeli varsayılan davranış olarak uygular ve bekleyen verileri platform tarafından yönetilen anahtarları kullanarak müşteri eylemi gerekmeden otomatik olarak şifreler. Azure kaynak sağlayıcısı anahtarları oluşturur, güvenli depolama alanına yerleştirir ve gerektiğinde alır. Hizmet anahtarlara tam erişime sahiptir ve kimlik bilgileri yaşam döngüsü yönetimi üzerinde tam denetime sahiptir ve müşteriler için sıfır yönetim yüküyle güçlü şifreleme koruması sağlar.
Platform tarafından yönetilen anahtarlar kullanılarak sunucu tarafı şifrelemesi, müşteriye sıfır ek yükle bekleyen şifreleme gereksinimini giderir. Bu şifreleme, azure hizmetlerinde varsayılan olarak etkindir ve müşteri yapılandırmasına veya yönetimine gerek kalmadan otomatik veri koruması sağlar. Müşteriler verileri Azure hizmetlerinde depolayarak ek adımlar, maliyetler veya sürekli yönetim gerektirmeden güçlü şifreleme korumasından hemen yararlanıyor.
Platform tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesi, hizmetin anahtarları depolamak ve yönetmek için tam erişimi olduğunu gösterir. Bazı müşteriler daha fazla güvenlik elde ettiklerini düşündükleri için anahtarları yönetmek isteyebilir, ancak bu modeli değerlendirirken özel anahtar depolama çözümüyle ilişkili maliyeti ve riski göz önünde bulundurun. Çoğu durumda kuruluş, şirket içi çözümün kaynak kısıtlamalarının veya risklerinin bekleyen anahtarlarda şifrelemenin bulut yönetimi riskinden daha büyük olduğunu belirleyebilir. Ancak bu model, şifreleme anahtarlarının oluşturulmasını veya yaşam döngüsünü denetleme gereksinimleri olan veya hizmetin şifreleme anahtarlarını hizmeti yönetenlerden (hizmet için genel yönetim modelinden anahtar yönetiminin ayrıştırılması) farklı personelin yönetmesi için yeterli olmayabilir.
Anahtar erişimi
Platform tarafından yönetilen anahtarlarla sunucu tarafı şifreleme kullandığınızda, hizmet anahtar oluşturmayı, depolamayı ve hizmet erişimini yönetir. Temel Azure kaynak sağlayıcıları, Veri Şifreleme Anahtarlarını genellikle verilere yakın ve hızlı bir şekilde erişilebilen bir depoda, Anahtar Şifreleme Anahtarları ise güvenli bir iç depoda depolar.
Avantajlar
- Basit kurulum.
- Microsoft anahtar döndürme, yedekleme ve yedekliliği yönetir.
- Özel anahtar yönetimi şeması uygulamayla ilgili maliyetler veya riskler doğurmazsınız.
Dikkat edilmesi gerekenler
- Şifreleme anahtarları (anahtar belirtimi, yaşam döngüsü, iptal vb.) üzerinde müşteri denetimi yoktur. Bu seçenek çoğu kullanım örneği için uygundur ancak özel uyumluluk gereksinimlerini karşılamayabilir.
- Hizmet için genel yönetim modelinden anahtar yönetimini ayırma olanağı yoktur. Görev ayrımı gerektiren kuruluşların müşteri tarafından yönetilen anahtarlara ihtiyacı olabilir.
Azure Key Vault ve Azure Yönetilen HSM'de müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifreleme (isteğe bağlı)
Kuruluşların şifreleme anahtarlarını varsayılan platform tarafından yönetilen şifrelemenin ötesinde denetlemek için belirli gereksinimleri olduğu senaryolarda, müşteriler isteğe bağlı olarak Key Vault'ta veya Azure Yönetilen HSM'de müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifrelemeyi seçebilir. Bu yaklaşım, hareketsiz veri için varsayılan şifrelemenin üzerine inşa eder ve Azure şifreleme ve şifre çözme işlemlerini yönetmeye devam ederken müşterilerin kendi anahtarlarını kullanmasına olanak sağlar.
Bazı hizmetler Azure Key Vault'ta yalnızca kök Anahtar Şifreleme Anahtarını depolayabilir ve şifrelenmiş Veri Şifreleme Anahtarını verilere daha yakın bir iç konumda depolayabilir. Bu senaryoda müşteriler kendi anahtarlarını Key Vault'a getirebilir (BYOK – Kendi Anahtarını Getir) veya yeni anahtarlar oluşturabilir ve bunları kullanarak istenen kaynakları şifreleyebilir. Kaynak Sağlayıcısı şifreleme ve şifre çözme işlemlerini gerçekleştirirken, tüm şifreleme işlemleri için kök anahtar olarak müşterinin yapılandırılmış anahtar şifreleme anahtarını kullanır.
Anahtar şifreleme anahtarlarının kaybı, veri kaybı anlamına gelir. Bu nedenle anahtarları silmeyin. Anahtarları oluştururken veya döndürürken her zaman yedekleyin. Bir Anahtar Yönetimi Anahtarı (KEK) döndürüldüğünde, hizmet veri şifreleme anahtarlarını yeni anahtar sürümüyle yeniden sarar ve temel alınan veriler yeniden şifrelenmez. Tüm veri şifreleme anahtarları yeniden sarmalanana kadar hem eski hem de yeni anahtar sürümleri etkin kalmalıdır. Yanlışlıkla veya kötü amaçlı şifreleme silinmesinden korunmak için anahtar şifreleme anahtarlarının depolandığı kasalarda Soft-Delete ve temizleme koruması etkinleştirilmelidir. Anahtarı silmek yerine, anahtar şifreleme anahtarında 'enabled' özelliğini false olarak ayarlayın. Azure Key Vault veya Yönetilen HSM'de tek tek kullanıcılara veya hizmetlere erişimi iptal etmek için erişim denetimlerini kullanın.
Müşteri tarafından yönetilen anahtar senaryolarında, HSM korumalı anahtarları zorunlu kılan uyumluluk gereksinimleri için en düşük azure key Vault Premium katmanı (HSM destekli) önerilir. Azure Yönetilen HSM, anahtar bağımsızlığı veya ayrılmış HSM kapasitesi gerektiren iş yükleri için önerilir.
Not
Azure Key Vault ve Azure Yönetilen HSM'de müşteri tarafından yönetilen anahtarları destekleyen hizmetlerin listesi için bkz . Azure Key Vault ve Azure Yönetilen HSM'de CMK'leri destekleyen hizmetler.
Anahtar erişim
Azure Key Vault'ta müşteri tarafından yönetilen anahtarlara sahip sunucu tarafı şifreleme modeli, hizmetin gerektiğinde şifrelemek ve şifrelerini çözmek için anahtarlara erişmesini içerir. Rest anahtarlarında şifrelemeyi erişim denetimi ilkesi aracılığıyla bir hizmet için erişilebilir hale getirirsiniz. Bu politika, hizmet kimliğine anahtarı alması için erişim yetkisi tanır. İlişkili bir abonelik adına çalışan bir Azure hizmetini bu abonelikteki bir kimliğe sahip olarak yapılandırabilirsiniz. Hizmet, Microsoft Entra kimlik doğrulamasını gerçekleştirebilir ve kendisini abonelik adına hareket eden hizmet olarak tanımlayan bir kimlik doğrulama belirteci alabilir. Daha sonra hizmet, erişim izni verilen anahtarı almak üzere belirteci Key Vault'a sunar.
Şifreleme anahtarlarını kullanan işlemler için, şifresini çözme, şifreleme, anahtarı açma, anahtarı sarma, doğrulama, imzalama, almak, listelemek, güncellemek, oluşturmak, içe aktarmak, silmek, yedeklemek ve geri yüklemek işlemlerinden herhangi birine hizmet kimliği erişimi verebilirsiniz.
Bekleyen verileri şifrelemede veya şifre çözmede kullanılacak bir anahtar elde etmek için Resource Manager hizmet örneğinin çalıştığı hizmet kimliğinin UnwrapKey (şifre çözme anahtarını almak için) ve WrapKey (yeni anahtar oluştururken anahtar kasasına anahtar eklemek için) olması gerekir.
Not
Key Vault yetkilendirmesi hakkında daha fazla ayrıntı için Azure Key Vault belgelerindeki anahtar kasanızın güvenliğini sağlama sayfasına bakın.
Avantajlar
- Kullanılan anahtarlar üzerinde tam denetim; şifreleme anahtarları, denetiminiz altındaki Key Vault'unuzda yönetilir.
- Birden çok hizmeti tek bir ana makineye şifreleme olanağı.
- Hizmet için genel yönetim modelinden anahtar yönetimini ayrıştırabilir.
- Bölgeler arasında hizmet ve anahtar konumu tanımlayabilir.
Dezavantajlar
- Anahtar erişim yönetimiyle ilgili tüm sorumluluğunuz vardır.
- Anahtar yaşam döngüsü yönetimi konusunda tam sorumluluğa sahipsiniz.
- Ek kurulum ve yapılandırma yükü.
Müşteri tarafından denetlenen donanımda müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifreleme (özel seçenek)
Bazı Azure hizmetleri, özel güvenlik gereksinimleri olan kuruluşlar için Kendi Anahtarını Barındır (HYOK) anahtar yönetimi modelini etkinleştirir. Bekleme halindeki verileri şifrelemek ve anahtarları tamamen Microsoft'un kontrolü dışında özel bir depoda yönetmek gereksiniminin olduğu, yüksek düzeyde düzenlenmiş senaryolarda, bu yönetim modu, Azure Key Vault'ta varsayılan platform tarafından yönetilen şifrelemenin ve isteğe bağlı müşteri tarafından yönetilen anahtarların ötesinde kullanışlıdır.
Bu modelde, hizmetin Veri Şifreleme Anahtarının (DEK) şifresini çözmek için bir dış sitedeki anahtarı kullanması gerekir. Performans ve kullanılabilirlik garantileri etkilenir ve yapılandırma önemli ölçüde daha karmaşıktır. Ayrıca, şifreleme ve şifre çözme işlemleri sırasında hizmetin DEK'ye erişimi olmadığından, bu modelin genel güvenlik garantileri anahtarların Azure Key Vault'ta müşteri tarafından yönetilme süresine benzer. Sonuç olarak, bu model çoğu kuruluşta platform tarafından yönetilen anahtarlarla veya Azure Key Vault'ta müşteri tarafından yönetilen anahtarlarla karşılanmaması gereken çok özel mevzuat veya güvenlik gereksinimleri olmadığı sürece uygun değildir. Bu sınırlamalar nedeniyle çoğu Azure hizmeti, müşteri tarafından denetlenen donanımlarda müşteri tarafından yönetilen anahtarlar kullanılarak sunucu tarafı şifrelemeyi desteklemez. Çift Anahtar Şifrelemesi'ndeki iki anahtardan biri bu modeli izler.
Anahtar erişimi
Müşteri tarafından denetlenen donanımlarda müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifreleme kullandığınızda, anahtar şifreleme anahtarlarını yapılandırdığınız bir sistemde tutarsınız. Bu modeli destekleyen Azure hizmetleri, müşteri tarafından sağlanan anahtar deposuna güvenli bir bağlantı kurmanın bir yolunu sağlar.
Avantajlar
- Şifreleme anahtarları müşteri tarafından sağlanan bir depo tarafından yönetildiğinden, kullanılan kök anahtar üzerinde tam denetime sahipsiniz.
- Birden çok hizmeti tek bir ana makineye şifreleme olanağı.
- Hizmet için genel yönetim modelinden anahtar yönetimini ayrıştırabilir.
- Bölgeler arasında hizmet ve anahtar konumu tanımlayabilir.
Dezavantajlar
- Anahtar depolama, güvenlik, performans ve kullanılabilirlik konusunda tam sorumluluğa sahipsiniz.
- Anahtar erişim yönetimiyle ilgili tüm sorumluluğunuz vardır.
- Anahtar yaşam döngüsü yönetimi konusunda tam sorumluluğa sahipsiniz.
- Önemli kurulum, yapılandırma ve devam eden bakım maliyetlerine neden olursunuz.
- Müşteri veri merkezi ile Azure veri merkezleri arasında ağ kullanılabilirliğine olan bağımlılığın artması.