Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure, paylaşılan fiziksel altyapıda uygulama ve virtual machines (VM) çalıştırmanıza olanak tanır. Uygulamaları bulut ortamında çalıştırmanın temel ekonomik avantajlarından biri, paylaşılan kaynakların maliyetini birden çok müşteri arasında dağıtabilmektir. Bu çoklu kiracılık uygulaması, farklı müşteriler arasında kaynakları düşük maliyetlerle paylaşarak verimliliği artırır. Ne yazık ki, rastgele ve kötü amaçlı olabilecek bir kullanıcıya ait olabilecek hassas uygulamalarınızı ve VM'lerinizi çalıştırmak için fiziksel sunucuları ve diğer altyapı kaynaklarını paylaşma riskine de neden olur.
Bu makalede, Azure'nin hem kötü amaçlı hem de kötü amaçlı olmayan kullanıcılara karşı nasıl yalıtım sağladığı özetlenmiştir. Mimarlara çeşitli yalıtım seçenekleri sunarak bulut çözümlerinin mimarisini oluşturmak için bir kılavuz görevi görür.
Kiracı düzeyinde yalıtım
Bulut bilişimin birincil avantajlarından biri, aynı anda çok sayıda müşteri arasında paylaşılan, ortak altyapı kavramıdır ve ölçek ekonomisine yol açar. Bu kavram çok-kiracılı olarak adlandırılır. Microsoft, Microsoft Cloud Azure'ın çok kiracılı mimarisinin güvenlik, gizlilik, gizlilik, bütünlük ve kullanılabilirlik standartlarını desteklediğinden emin olmak için sürekli çalışır.
Bulut özellikli çalışma alanında kiracı, söz konusu bulut hizmetinin belirli bir örneğine sahip olan ve yöneten bir istemci veya kuruluşdur. Kiracı, Microsoft Azure tarafından sağlanan kimlik platformunu kullanarak kuruluşunuzun bir Microsoft bulut hizmetine kaydolduğunda aldığı ve sahip olduğu ayrılmış bir Microsoft Entra ID örneğidir.
Her Microsoft Entra dizini ayrıdır ve diğer Microsoft Entra dizinlerinden farklıdır. Kurumsal ofis binasının yalnızca kuruluşunuza özgü güvenli bir varlık olması gibi, Microsoft Entra dizini de yalnızca kuruluşunuz tarafından kullanılmak üzere güvenli bir varlıktır. Microsoft Entra mimarisi, müşteri verilerinin ve kimlik bilgilerinin karışmasını engeller. Bu tasarım, bir Microsoft Entra dizininin kullanıcılarının ve yöneticilerinin başka bir dizindeki verilere yanlışlıkla veya kötü niyetli bir şekilde erişememesi anlamına gelir.
Azure kiracı
Azure aboneliği (Azure Abonelik), Microsoft Entra ID içindeki benzersiz bir kiracı ve müşteri ile faturalama ilişkisi anlamına gelir. Microsoft Entra ID ve Azure rol tabanlı erişim kontrolü Microsoft Azure üzerinde kiracı düzeyinde yalıtım sağlar. Her Azure aboneliği bir Microsoft Entra diziniyle ilişkilendirilir.
Bu dizindeki kullanıcılar, gruplar ve uygulamalar Azure aboneliğindeki kaynakları yönetebilir. Azure portal, Azure komut satırı araçlarını ve Azure Yönetim API'lerini kullanarak bu access haklarını atayabilirsiniz. Güvenlik sınırları, bir Microsoft Entra kiracısını mantıksal olarak yalıtarak hiçbir müşterinin kötü niyetle veya yanlışlıkla ortak kiracılara erişmesine veya onların güvenliğini tehlikeye atmasına olanak tanımaz. Microsoft Entra ID, konak düzeyinde paket filtreleme ve Windows Güvenlik Duvarı'nın istenmeyen bağlantıları ve trafiği engellediği ayrılmış bir ağ kesiminde yalıtılmış "çıplak metal" sunucularda çalışır.
Microsoft Entra ID'daki verilere Access, bir güvenlik belirteci hizmeti (STS) aracılığıyla kullanıcı kimlik doğrulaması gerektirir. Yetkilendirme sistemi kullanıcının varlığı, etkin durumu ve rolüyle ilgili bilgileri kullanarak hedef kiracıya istenen access bu oturumda bu kullanıcı için yetkilendirilip yetkilendirilmediğini belirler.
Kiracılar ayrı birimlerdir ve bu birimlerin aralarında ilişki yoktur.
Kiracılar arasında erişim yoktur, ancak bir kiracı yöneticisi federasyon aracılığıyla veya diğer kiracılardan kullanıcı hesapları sağlayarak erişim verebilir.
Microsoft Entra hizmetini oluşturan sunuculara fiziksel erişim ve Microsoft Entra ID'nin arka uç sistemlerine doğrudan erişim kısıtlanmıştır.
Microsoft Entra kullanıcılarının fiziksel varlıklara veya konumlara access yoktur ve bu nedenle aşağıda belirtilen mantıksal Azure RBAC ilke denetimlerini atlayamazlar.
Tanılama ve bakım gereksinimleri için tam zamanında ayrıcalık yükseltme sistemi kullanan bir işletimsel model kullanın. Microsoft Entra Privileged Identity Management (PIM), uygun yönetici kavramını tanıtır. Uygun yöneticiler, her gün değil, zaman zaman ayrıcalıklı erişime ihtiyacı olan kullanıcılardır. Rol, kullanıcının erişim ihtiyacı olana kadar etkin değildir. Kullanıcı, bir etkinleştirme sürecini tamamladıktan sonra önceden belirlenmiş bir süre için etkin yönetici olur.
Microsoft Entra ID, her kiracıyı kendi korumalı kapsayıcısında barındırır ve kapsayıcıya ait politikalar ve izinler yalnızca kiracı tarafından sahip olunur ve yönetilir.
Kiracı konteynerleri kavramı, portallardan kalıcı depolamaya kadar tüm katmanlarda dizin hizmetine derinlemesine entegre edilmiştir.
Birden çok Microsoft Entra kiracısının meta verileri aynı fiziksel diskte depolansa bile, kapsayıcılar arasında dizin hizmetinin tanımladığı değer dışında bir ilişki yoktur ve bu da kiracı yöneticisi tarafından dikte edilir.
Azure rol tabanlı erişim denetimi (Azure RBAC)
Azure rol tabanlı access control (Azure RBAC) Azure için ayrıntılı access yönetimi sağlayarak Azure aboneliğinde bulunan çeşitli bileşenleri paylaşmanıza yardımcı olur. Azure RBAC, kuruluşunuzdaki görevleri ayırmanıza ve kullanıcıların işlerini gerçekleştirmeleri için ihtiyaç duydukları erişimi sağlamanıza olanak tanır. bir Azure aboneliğinde veya kaynaklarında herkese sınırsız izin vermek yerine, yalnızca belirli eylemlere izin vekleyebilirsiniz.
Azure RBAC' nin tüm kaynak türleri için geçerli olan üç temel rolü vardır:
Sahip, başkalarına erişimi devretme hakkı da dahil olmak üzere, tüm kaynaklara tam erişim sahibidir.
Contributor her tür Azure kaynağı oluşturabilir ve yönetebilir, ancak başkalarına access veremez.
Reader mevcut Azure kaynaklarını görüntüleyebilir.
Azure'daki Azure rollerinin geri kalanı belirli Azure kaynaklarının yönetilmesine olanak tanır. Örneğin, Sanal Makine Katılımcısı rolü kullanıcının virtual machines oluşturmasına ve yönetmesine olanak tanır. Azure Sanal Ağı veya sanal makinenin bağlandığı alt ağa erişim sağlamaz.
Azure yerleşik roller Azure kullanılabilir rolleri listeleyin. Her yerleşik rolün kullanıcılara verdikleri işlemleri ve kapsamı belirtir. Daha fazla kontrol sahibi olmak için kendi rollerinizi tanımlamak istiyorsanız, Azure RBAC'de Özel rolleri nasıl oluşturacağınızı görebilirsiniz.
Microsoft Entra ID için diğer bazı özellikler şunlardır:
Microsoft Entra ID, nerede barındırıldığına bakılmaksızın SSO'dan SaaS uygulamalarına olanak tanır. Bazı uygulamalar Microsoft Entra ID ile birleştirilir ve bazıları parola SSO kullanır. Federatif uygulamalar, kullanıcı sağlamayı ve parola kasasını da destekleyebilir.
Microsoft Entra ID, Active Directory Federasyon Hizmetleri (AD FS), senkronizasyon ve şirket içi dizinlerle çoğaltarak federasyon aracılığıyla Kimlik Hizmeti olarak (IdaaS) sağlar.
Microsoft Entra çok faktörlü kimlik doğrulaması , kullanıcıların mobil uygulama, telefon araması veya kısa mesaj kullanarak oturum açmaları doğrulamasını gerektirir. Microsoft Entra ID ile birlikte, Multi-Factor Authentication Sunucusu'nu kullanarak şirket içi kaynakların güvenliğini sağlamaya yardımcı olmak için ve ayrıca SDK'yı kullanarak özel uygulamalar ve dizinlerle kullanılabilir.
Microsoft Entra Etki Alanı Hizmetleri, etki alanı denetleyicileri dağıtmadan Azure sanal makinelerini bir Active Directory etki alanına birleştirmenizi sağlar. Kurumsal Active Directory kimlik bilgilerinizle bu sanal makinelerde oturum açabilir ve etki alanına katılmış sanal makineleri yönetebilir, tüm Azure sanal makinelerinde güvenlik temellerini zorunlu kılmak için Grup İlkesi kullanabilirsiniz.
Microsoft Entra Dış Kimlik yüz milyonlarca kimliğe ölçeklenen tüketici odaklı uygulamalar için yüksek erişilebilirlik sunan bir küresel kimlik yönetimi hizmeti sağlar. Bu hizmet mobil platformlar ve web platformlarıyla tümleştirilebilir. Tüketicileriniz, mevcut sosyal hesaplarını kullanarak veya kimlik bilgileri oluşturarak özelleştirilebilir deneyimler aracılığıyla tüm uygulamalarınızda oturum açabilir.
Microsoft yöneticilerinden yalıtım ve veri silme
Microsoft, verilerinizi uygunsuz access veya yetkisiz kişilerin kullanımına karşı korumak için güçlü önlemler alır. Online Services Koşulları verilerinize erişimi yöneten ve bu operasyonel süreçleri ve kontrolleri destekleyen sözleşmeye dayalı taahhütler sunmaktadır.
- Microsoft mühendislerinin buluttaki verilerinize varsayılan erişimi yoktur. Bunun yerine, yalnızca gerektiğinde yönetim gözetimi altında erişim verilir. Bu erişim dikkatle denetlenir, günlüğe kaydedilir. Artık gerekli olmadığında iptal edilir.
- Microsoft, kendi adına sınırlı hizmet sağlamak için diğer şirketleri işe alabilir. Alt yükleniciler müşteri verilerine yalnızca Microsoft'un onların sağlaması için tuttuğu hizmetleri sunmak amacıyla erişebilir ve başka bir amaçla kullanmaları yasaktır. Ayrıca, sözleşmeye bağlı olarak müşterilerin bilgilerinin gizliliğini korumakla da ilişkilidir.
Microsoft ve akredite denetim firmaları, ISO/IEC 27001 gibi denetlenen sertifikalarla düzenli olarak iş hizmetlerini doğrular. Bu denetçiler, erişimin yalnızca meşru iş amaçlarına yönelik olduğuna dair kanıtlar sunan örnek denetimler yerine getirir. Kendi müşteri verilerinize herhangi bir nedenle ve istediğiniz zaman erişebilirsiniz.
Herhangi bir veriyi silerseniz, Microsoft Azure önbelleğe alınmış veya yedek kopyaları da dahil olmak üzere verileri siler. Kapsam içi hizmetler için bu silme işlemi, saklama süresinin sona ermesinin ardından 90 gün içinde gerçekleşir. (Çevrimiçi Hizmet Koşulları'nın Veri İşleme Şartları bölümü kapsam içi hizmetleri tanımlar.)
Depolama için kullanılan bir disk sürücüsünde donanım hatası oluşursa, Microsoft sürücüyü değiştirme veya onarma amacıyla üreticiye iade etmeden önce sürücüyü güvenli bir şekilde silletir veya yok eder. Verilerin herhangi bir yolla kurtarılmamasını sağlamak için sürücüdeki veriler üzerine yazılır.
Hesaplama izolasyonu
Microsoft Azure, uygulamanızın veya kuruluşunuzun gereksinimlerini karşılamak için ölçeği otomatik olarak artırıp azaltabilen çok çeşitli işlem örnekleri ve hizmetleri içeren çeşitli bulut tabanlı bilgi işlem hizmetleri sağlar. Bu işlem örnekleri ve hizmetleri, müşterilerin talep edecekleri yapılandırma esnekliğinden ödün vermeden verilerin güvenliğini sağlamak için birden çok düzeyde yalıtım sunar.
Yalıtılmış sanal makine boyutları
Azure İşlem, belirli bir donanım türüne yalıtılmış ve tek bir müşteriye ayrılmış sanal makine boyutları sunar. Yalıtılmış boyutlar belirli bir donanım nesli üzerinde çalışır ve donanım nesli emekli edildiğinde veya yeni donanım nesli kullanılabilir hale geldiğinde kullanımdan kaldırılır.
Yalıtılmış sanal makine boyutları, diğer müşterilerin iş yüklerinden yüksek düzeyde yalıtım gerektiren iş yükleri için en uygun olanıdır. Bu, uyumluluk ve mevzuat gereksinimlerini karşılamak için bazen gereklidir. Yalıtılmış bir boyut kullanmak, sanal makinenizin söz konusu sunucu örneğinde çalışan tek makine olduğunu garanti eder.
Ayrıca, Yalıtılmış boyutlu VM'ler büyük olduğundan, müşteriler bu VM'lerin kaynaklarını iç içe sanal makineler için Azure desteğini kullanarak alt bölümlere ayırmayı seçebilir.
Mevcut yalıtılmış sanal makine seçenekleri şunlardır:
- Standard_E80ids_v4
- Standard_E80is_v4
- Standard_E104i_v5
- Standard_E104is_v5
- Standard_E104id_v5
- Standard_E104ids_v5
- Standard_M192is_v2
- Standard_M192ims_v2
- Standard_M192ids_v2
- Standard_M192idms_v2
- Standard_F72s_v2
- Standard_M832ids_16_v3
- Standard_M832is_16_v3
- Standard_M896ixds_24_v3
- Standard_M896ixds_32_v3
- Standard_M1792ixds_32_v3
Not
Yalıtılmış VM Boyutları, donanımın kullanımdan kaldırılması nedeniyle sınırlı bir kullanım ömrüne sahiptir.
Yalıtılmış VM Boyutlarının Kullanımdan Kaldırılması
Yalıtılmış VM boyutlarının donanım sınırlı ömürleri vardır. Azure, boyutların resmi kullanımdan kaldırma tarihinden 12 ay önce hatırlatmalar verir ve göz önünde bulundurmanız için güncellenmiş bir yalıtılmış hizmet sunar. Aşağıdaki boyutların artık kullanım dışı bırakılacağı duyuruldu.
| Boyut | Yalıtım Kullanımdan Kaldırma Tarihi |
|---|---|
| Standard_DS15_v2 | 15 Mayıs 2021 |
| Standard_D15_v2 | 15 Mayıs 2021 |
| Standart_G5 | 15 Şubat 2022 Salı |
| Standard_GS5 | 15 Şubat 2022 Salı |
| Standard_E64i_v3 | 15 Şubat 2022 Salı |
| Standard_E64is_v3 | 15 Şubat 2022 Salı |
| Standard_M192is_v2 | 31 Mart 2027 |
| Standard_M192ims_v2 | 31 Mart 2027 |
| Standard_M192ids_v2 | 31 Mart 2027 |
| Standard_M192idms_v2 | 31 Mart 2027 |
Müşteriler ayrıca İzolasyonlu sanal makinelerin kaynaklarını Azure desteğini kullanarak iç içe sanal makineler için daha da alt bölümlere ayırmayı seçebilir.
Özel ana bilgisayarlar
Önceki bölümde açıklanan yalıtılmış konaklara ek olarak, Azure ayrılmış konaklar da sunar. Azure'da ayrılmış ana makineler, bir veya daha fazla sanal makine barındırabilen ve tek bir Azure aboneliğine adanmış fiziksel sunucular sağlayan bir hizmettir. Özel sunucular, fiziksel sunucu seviyesinde donanım yalıtımı sağlar. Sunucularınıza başka VM'ler yerleştirilmez. Ayrılmış konakları aynı veri merkezlerine dağıtırsınız ve bunlar diğer yalıtılmamış konaklarla aynı ağı ve temel storage altyapısını paylaşır. Daha fazla bilgi için Azure ayrılmış konakları hakkında ayrıntılı genel bakışa başvurun.
Kök VM ile konuk VM'ler arasında Hyper-V ve kök işletim sistemi yalıtımı
Azure işlem platformu, makine sanallaştırmayı temel alır. Tüm müşteri kodu bir Hyper-V sanal makinesinde çalışır. Her Azure düğümünde (veya ağ uç noktasında), bir hiper yönetici doğrudan donanım üzerinde çalışır ve düğümü değişken sayıda konuk virtual machines (VM) olarak böler.
Her düğümün ayrıca konak işletim sistemini çalıştıran bir özel kök VM'si vardır. Hiper yönetici ve kök işletim sistemi, konuk VM'lerden kök VM yalıtımını ve konuk VM'lerin birbirinden yalıtılmış olarak yönetilmesini sağlar. Bu hypervisor ve kök işletim sistemi eşleştirmesi, konuk sanal makineler için güçlü bir yalıtım sağlamak amacıyla Microsoft'un onlarca yıllık işletim sistemi güvenlik deneyiminin yanı sıra Microsoft'un Hyper-V'den edindiği daha yeni bilgileri de kullanıyor.
Azure platformu sanallaştırılmış bir ortam kullanır. Kullanıcı örnekleri, fiziksel bir ana bilgisayara erişimi olmayan bağımsız sanal makineler olarak çalışır.
Azure hiper yönetici bir mikrokernel gibi davranır. Geçirir, konuk sanal makinelerden gelen tüm donanım erişim isteklerini işlenmek üzere VM Bus adlı paylaşılan bellek arabirimini kullanarak konağa. Bu mimari, kullanıcıların sisteme ham okuma, yazma veya yürütme erişimi elde etmesini engeller ve sistem kaynaklarını paylaşma riskini azaltır.
Gelişmiş VM yerleştirme algoritması ve yan kanal saldırılarına karşı koruma
VM'ler arası herhangi bir saldırı iki adımdan oluşur: saldırgan tarafından kontrol edilen bir VM'yi kurban VM'lerden biriyle aynı konağa yerleştirmek ve ardından kurbanın hassas bilgilerini çalmak ya da kurbanın performansını bencil amaçlar veya vandallık amacıyla etkilemek için yalıtım sınırını ihlal etmek. Microsoft Azure, her iki adımda da gelişmiş bir VM yerleştirme algoritması kullanarak koruma sağlar ve gürültülü komşu VM'ler de dahil olmak üzere bilinen tüm yan kanal saldırılarına karşı koruma sağlar.
Azure doku denetleyicisi
Azure Kumaş Denetleyicisi, altyapı kaynaklarını kiracı iş yüklerine ayırır ve konaktan sanal makinelere tek yönlü iletişimleri yönetir. Sanal makine yerleştirme algoritması son derece karmaşıktır ve neredeyse fiziksel konak düzeyinde tahmin etmek imkansızdır.
Azure'da, kök OS adı verilen, doku aracısını (FA) barındıran sağlamlaştırılmış bir işletim sistemi çalıştıran kök VM mevcuttur. FA'lar, müşteri VM'lerindeki konuk işletim sistemlerinde konuk aracıları (GA) yönetir ve ayrıca storage düğümlerini yönetir.
Azure hiper yöneticisi, kök işletim sistemi/FA ve müşteri VM'leri/GA'ları koleksiyonu bir işlem düğümünden oluşur. Fabric denetleyicisi (FC), FA'ları yönetir. FC, işlem ve storage düğümlerinin dışında bulunur. Ayrı FC'ler işlem ve storage kümelerini yönetir. Müşteri uygulamasının yapılandırma dosyasını çalışırken güncellerse, FC UA ile iletişim kurar. SK, yapılandırma değişikliğini uygulamaya bildiren GA'larla iletişime geçer. Donanım hatası durumunda FC, kullanılabilir donanımı otomatik olarak bulur ve vm'yi orada yeniden başlatır.
Kumaş Denetleyiciden ajansa iletişim tek yönlüdür. Aracı, yalnızca denetleyiciden gelen isteklere yanıt veren SSL korumalı bir hizmet uygular. Denetleyiciye veya diğer ayrıcalıklı iç düğümlere bağlantı başlatamaz. FC tüm yanıtları güvenilmezmiş gibi ele alır.
Yalıtım, kök VM'den konuk VM'lere ve bir konuk VM'den diğerine genişletilir. Daha fazla koruma için işlem düğümleri, depolama düğümlerinden de yalıtılır.
Hipervizör ve konak işletim sistemi ağ paketlerini filtreler. Bu filtreler, güvenilmeyen sanal makinelerin sahte trafik oluşturamamalarını ve onlara adreslenmeyen trafiği alamamalarını sağlamaya yardımcı olur. Trafiği korumalı altyapı uç noktalarına yönlendirir ve uygunsuz yayın trafiği gönderilmesini veya alınmasını engeller.
Doku denetleyicisi aracısı tarafından VM'yi yalıtmak için yapılandırılan ek kurallar
Varsayılan olarak, bir sanal makine oluşturduğunuzda tüm trafik engellenir. Ardından, doku denetleyicisi aracısı paket filtresini, yetkili trafiğe izin vermek üzere kurallar ve özel durumlar eklemek üzere yapılandırır.
İki kategori kuralı programlayın:
- Makine yapılandırması veya altyapı kuralları: Varsayılan olarak tüm iletişim engellenir. Sanal makinenin DHCP ve DNS trafiği gönderip almasına izin vermek için özel durumlar ekleyin. Sanal makineler ayrıca trafiği "umumi" İnternet'e gönderebilir ve trafiği aynı Azure Sanal Ağ ve işletim sistemi etkinleştirme sunucusundaki diğer sanal makinelerle gönderebilir. Sanal makinelerin izin verilen giden hedefler listesi, Azure yönlendirici alt ağlarını, Azure yönetimini ve diğer Microsoft özelliklerini içermez.
- Role yapılandırma dosyası: Bu dosya, kiracının hizmet modeline göre gelen Access Control Listelerini (ACL) tanımlar.
VLAN yalıtımı
Her küme üç VLAN içerir:
- Ana VLAN – güvenilmeyen müşteri düğümleri arasında bağlantı kurar
- FC VLAN – güvenilir FC'ler ve destekleyici sistemler içerir
- Cihaz VLAN– güvenilir ağ ve diğer altyapı cihazlarını içerir
FC VLAN'dan ana VLAN'a iletişim kurulabilir, ancak ana VLAN'dan FC VLAN'a iletişim başlatılamaz. Ana VLAN'dan cihaz VLAN'sına iletişim de engellenir. Bu mimari, müşteri kodunu çalıştıran bir düğümün güvenliği aşılmış olsa bile FC veya cihaz VLAN'larında düğümlere saldıramadığını garanti eder.
Depolama izolasyonu
İşlem ile storage arasında mantıksal yalıtım
Microsoft Azure, temel tasarımının bir parçası olarak VM tabanlı hesaplamayı depolamadan ayırır. Bu ayrım, hesaplama ve depolamanın bağımsız olarak ölçeklendirilebilmesini sağlayarak, çok kiracılılık ve yalıtımı kolaylaştırır.
Bu nedenle, Azure Depolama mantıksal bağlantı dışında Azure İşlem'e ağ bağlantısı olmayan ayrı donanımlarda çalışır. Bu tasarım, sanal disk oluşturduğunuzda sistemin tüm kapasitesi için disk alanı ayırmadığı anlamına gelir. Bunun yerine sistem, sanal disk üzerindeki adresleri fiziksel disk üzerindeki alanlarla eşleyen bir tablo oluşturur. Bu tablo başlangıçta boş. Sanal diske ilk kez veri yazdığınızda, sistem fiziksel diskte yer ayırır ve tabloya bir işaretçi yerleştirir.
Depolama Erişim Kontrolü Kullanarak Yalıtım
Azure Depolama'de erişim kontrolü basit bir erişim kontrol modeli kullanır. Her Azure aboneliği bir veya daha fazla storage hesabı oluşturabilir. Her depolama hesabının, bu depolama hesabındaki tüm verilere erişimi kontrol etmek için kullandığınız tek bir gizli anahtarı vardır.
Azure Depolama verilerine (Tablolar dahil)SAS (Paylaşılan Erişim İmzası) belirteci aracılığıyla erişimi kontrol edebilirsiniz. Bu belirteç, kapsamı belirlenmiş erişim sağlar. SAS'yi bir sorgu şablonu (URL) aracılığıyla oluşturur ve SAK (Storage Hesap Anahtarı) ile imzalarsınız. signed URL'yi başka bir işleme yetkilendirilmiş olarak verebilirsiniz. Temsilci olarak atanan işlem daha sonra sorgunun ayrıntılarını doldurabilir ve depolama hizmetine istekte bulunabilir. SAS kullanarak, depolama hesabının gizli anahtarını göstermeden istemcilere zaman bazlı erişim verebilirsiniz.
SAS kullanarak, bir istemciye storage hesabınızdaki nesnelere belirli bir süre ve belirli bir izin kümesiyle sınırlı izinler vekleyebilirsiniz. Bu sınırlı izinleri, erişim anahtarlarınızı paylaşmak zorunda kalmadan verirsiniz.
IP düzeyi depolama yalıtımı
Güvenlik duvarları oluşturabilir ve güvenilen istemcileriniz için bir IP adresi aralığı tanımlayabilirsiniz. BIR IP adresi aralığı kullanarak, yalnızca tanımlı aralık içinde IP adresine sahip istemciler Azure Depolama bağlanabilir.
IP depolama verilerini, IP depolaması için ayrılmış bir trafik tüneli tahsis eden bir ağ mekanizması kullanarak yetkisiz kullanıcılardan koruyabilirsiniz.
Şifreleme
Azure verileri korumak için aşağıdaki şifreleme türlerini sunar:
- Aktarım sırasında şifreleme
- Bekleme sırasında şifreleme
Aktarım sırasında şifreleme
Aktarımdaki şifreleme, ağlar arasında iletilen verileri korur. Azure Depolama kullanarak şunları kullanarak verilerin güvenliğini sağlayabilirsiniz:
- Transport düzeyi şifreleme, örneğin Azure Depolama içine veya dışına veri aktarırken HTTPS.
- Azure Dosya paylaşımları için SMB 3.0 şifrelemesi gibi, Kablo şifrelemesi.
- Client tarafı şifreleme verileri storage'a aktarilmeden önce şifrelemek ve storage dışına aktarıldıktan sonra verilerin şifresini çözmek için.
Bekleme sırasında şifreleme
Birçok kuruluş için sabit veri şifreleme, veri gizliliği, uyumluluk ve veri hakimiyetine yönelik zorunlu bir adımdır. Bekleyen verilerin şifrelenmesini sağlayan Azure özellikleri şunlardır:
- Storage Hizmet Şifrelemesi verileri Azure Depolama yazarken otomatik olarak şifreler.
- Client tarafı Şifreleme verileri storage aktarilmeden önce şifreler.
- Konakta şifreleme VM verileri için uçtan uca şifreleme sağlar.
Sunucuda şifreleme
Önemli
Azure Disk Şifrelemesi September 15, 2028 tarihinde kullanımdan kaldırılıyor. Bu tarihe kadar Azure Disk Şifrelemesi kesinti olmadan kullanmaya devam edebilirsiniz. 15 Eylül 2028'de ADE özellikli iş yükleri çalışmaya devam edecek, ancak VM yeniden başlatıldıktan sonra şifrelenmiş disklerin kilidi açılamaz ve hizmet kesintisine neden olur.
Yeni VM'ler için ana makinede şifreleme kullanın veya gizli bilgi işlem iş yükleri için işletim sistemi disk şifrelemesi ile Gizli VM boyutlarını değerlendirin. Hizmet kesintisini önlemek için tüm ADE özellikli VM'lerin (yedeklemeler dahil) kullanımdan kaldırma tarihinden önce konakta şifrelemeye geçirilmesi gerekir. Ayrıntılar için bkz. Azure Disk Şifrelemesi'den ana bilgisayarda şifrelemeye geçiş.
Konakta şifreleme VM ana bilgisayar düzeyinde verileri şifreleyerek VM verileriniz için uçtan uca şifreleme sağlar. Varsayılan olarak, platform tarafından yönetilen anahtarları kullanır, ancak daha fazla denetime ihtiyacınız olduğunda isteğe bağlı olarak Azure Key Vault veya Azure Key Vault Yönetilen HSM içinde depolanan müşteri tarafından yönetilen anahtarları kullanabilirsiniz.
Konakta şifreleme, FIPS 140-2 uyumlu olan AES 256 şifrelemesini kullanarak VM konak düzeyinde sunucu tarafı şifrelemesi sağlar. Bu şifreleme, VM CPU kaynakları kullanılmadan gerçekleşir ve aşağıdakiler için uçtan uca şifreleme sağlar:
- Geçici diskler
- İşletim sistemi ve veri diski önbellekleri
- veri akışları Azure Depolama
Sunucuda şifrelemenin temel avantajları:
- Performans etkisi yok: Şifreleme, VM CPU kaynakları kullanılmadan konak düzeyinde gerçekleşir
- Geniş VM desteği: Çoğu VM serisinde ve boyutunda desteklenir
- Customer tarafından yönetilen anahtarlar: Anahtar denetimi için Azure Key Vault veya Yönetilen HSM ile isteğe bağlı tümleştirme
- Platform tarafından yönetilen anahtarlar varsayılan olarak: Şifreleme için ek yapılandırma gerekmez
Daha fazla bilgi için bkz. Konakta şifreleme ve Yönetilen disk şifreleme seçeneklerinin genel görünümü.
SQL Veritabanı yalıtımı
Microsoft SQL Veritabanı Microsoft SQL Server altyapısı üzerinde oluşturulmuş bulut tabanlı bir ilişkisel veritabanı hizmetidir. Hesap düzeyinde, coğrafya/bölge tabanlı ve ağ tabanlı tahmin edilebilir veri yalıtımına sahip yüksek oranda kullanılabilir, ölçeklenebilir, çok kiracılı bir veritabanı hizmeti sunar ve bunların tümü neredeyse sıfıra yakın yönetim sunar.
SQL Veritabanı uygulama modeli
Uygulama açısından bakıldığında, SQL Veritabanı her düzeyin aşağıda bire çok düzey kapsamasına sahip olduğu aşağıdaki hiyerarşiyi sağlar.
Hesap ve abonelik, faturalama ve yönetimi ilişkilendirmek için Microsoft Azure platform kavramlarıdır.
Mantıksal SQL sunucuları ve veritabanları SQL Veritabanına özgü kavramlardır ve OData ve TSQL arabirimleri sağlanan SQL Veritabanı kullanılarak veya Azure portal aracılığıyla yönetilir.
SQL Veritabanı içindeki sunucular fiziksel veya VM örnekleri değildir, bunun yerine "mantıksal ana" veritabanında depolanan veritabanı koleksiyonları, paylaşım yönetimi ve güvenlik ilkeleridir.
Mantıksal ana veritabanları şunlardır:
- Sunucuya bağlanmak için kullanılan SQL oturum açma bilgileri
- Güvenlik duvarı kuralları
Aynı sunucudaki veritabanları için faturalama ve kullanımla ilgili bilgilerin kümedeki aynı fiziksel örnekte yer alması garanti edilmediğinden, uygulamalar bağlanırken hedef veritabanı adını sağlamalıdır.
Müşteri perspektifinden bakıldığında, bir sunucu coğrafi bir bölgede oluşturulur, ancak sunucunun gerçek oluşturulması, bölgedeki kümelerden birinde gerçekleşir.
Ağ topolojisi aracılığıyla yalıtım
Bir sunucu oluşturduğunuzda ve DNS adını kaydettiğinizde, DNS adı sunucuyu yerleştirdiğiniz veri merkezindeki Ağ Geçidi VIP adresini gösterir.
VIP'nin (sanal IP adresi) arkasında durum bilgisi olmayan ağ geçidi hizmetlerinden oluşan bir koleksiyon bulunur. Genel olarak, ağ geçitleri birden çok veri kaynağı (ana veritabanı, kullanıcı veritabanı vb.) arasında koordinasyon gerektiğinde devreye girilir. Ağ geçidi hizmetleri aşağıdaki işlevleri uygular:
- TDS bağlantı ara sunuculuğu. Bu işlev, kullanıcı veritabanını arka uç kümesinde bulma, kimlik doğrulama sırasını uygulama ve ardından TDS paketlerini arka uç ve arkaya iletmeyi içerir.
- Veritabanı yönetimi. Bu işlev CREATE, ALTER ve DROP veritabanı işlemlerini işlemek için bir iş akışı koleksiyonu uygulamayı içerir. Veritabanı işlemleri, TDS paketleri veya açık OData API'leri algılama yoluyla çağrılabilir.
- CREATE, ALTER ve DROP kimlik doğrulaması ve kullanıcı işlemleri
- OData API aracılığıyla sunucu yönetimi işlemleri
Ağ geçitlerinin arkasındaki katmana arka uç adı verilir. Bu katman tüm verileri yüksek oranda kullanılabilir bir şekilde depolar. Her veri parçası bir bölüme veya yük devretme birimine aittir ve her bölümün en az üç çoğaltması vardır. SQL Server altyapısı çoğaltmaları depolar ve çoğaltır ve bunları genellikle fabric olarak adlandırılan bir yük devretme sistemi yönetir.
Genellikle, arka uç sistemi güvenlik önlemi olarak diğer sistemlere giden iletişim kurmaz. Bu iletişim, ön uç (ağ geçidi) katmanındaki sistemlere ayrılmıştır. Ağ geçidi katmanı makineleri, savunma derinliği mekanizmasının bir parçası olarak, saldırı yüzeyini en aza indirmek amacıyla arka uç makinelerinde sınırlı ayrıcalıklara sahiptir.
Makine işlevine ve erişime göre yalıtım
SQL Veritabanı, farklı makine işlevlerinde çalışan hizmetlerden oluşur. SQL Veritabanı arka uç Bulut Veritabanı ve ön uç (Ağ Geçidi/Yönetim) ortamlarına ayrılır ve genel trafik ilkesi yalnızca arka uca gider ve dışarı çıkmaz. Ön uç ortamı diğer hizmetlerin dış dünyasıyla iletişim kurabilir ve genel olarak arka uçta yalnızca sınırlı izinlere sahiptir (çağırması gereken giriş noktalarını çağırmak için yeterlidir).
Ağ yalıtımı
Azure dağıtımının birden çok ağ yalıtımı katmanı vardır. Aşağıdaki diyagramda, müşterilere sunulan Azure ağ yalıtımının çeşitli katmanları gösterilmektedir. Bu katmanlar hem Azure platformundaki yerel özellikleri hem de müşteri tanımlı özellikleri içerir. İnternet'ten gelen Azure DDoS protection, Azure karşı büyük ölçekli saldırılara karşı yalıtım sağlar. Bir sonraki yalıtım katmanı, bulut hizmetinden virtual network hangi trafiğin geçebileceğini belirlemek için kullandığınız müşteri tanımlı genel IP adresleridir (uç noktalar). Yerel Azure virtual network yalıtımı, diğer tüm ağlardan tam yalıtım sağlar ve trafiğin yalnızca kullanıcı tarafından yapılandırılmış yollar ve yöntemler üzerinden akmasını sağlar. Bu yollar ve yöntemler, korunan ağdaki uygulama dağıtımlarını korumak üzere yalıtım sınırları oluşturmak için NSG'lerin, UDR'nin ve ağ sanal gereçlerinin kullanılabildiği bir sonraki katmandır.
Traffic isolation: A virtual network Azure platformundaki trafik yalıtımı sınırıdır. Bir sanal ağdaki sanal makineler (VM'ler), her iki sanal ağ da aynı müşteri tarafından oluşturulmuş olsa bile, farklı bir sanal ağdaki VM'lerle doğrudan iletişim kuramaz. Yalıtım, müşteri VM'lerinin ve iletişimin bir virtual network içinde özel kalmasını sağlayan kritik bir özelliktir.
Subnet IP aralığına göre bir virtual network içinde ek bir yalıtım katmanı sunar. Bir virtual network kuruluş ve güvenlik için birden çok alt ağa bölebilirsiniz. bir virtual network içindeki alt ağlara (aynı veya farklı) dağıtılan VM'ler ve PaaS rol örnekleri, ek yapılandırma olmadan birbirleriyle iletişim kurabilir. Ayrıca ağ güvenlik gruplarını (NSG) güvenlik kurallarına göre bir VM örneğine yönelik ağ trafiğine izin verecek veya trafiği reddedecek şekilde yapılandırabilirsiniz. NSG'leri vm'lere bağlı alt ağlarla veya tek tek ağ arabirimleriyle ilişkilendirebilirsiniz. Bir NSG'yi bir alt ağ ile ilişkilendirdiğinizde, güvenlik kuralları bu alt ağdaki tüm VM örnekleri için geçerlidir.
Sonraki Adımlar
network güvenlik grupları hakkında bilgi edinin. Ağ güvenlik grupları, sanal bir ağda Azure kaynakları arasındaki ağ trafiğini filtreler. Güvenlik kurallarını kullanarak alt ağlara veya virtual machines trafiği kaynak, hedef, bağlantı noktası ve protokol temelinde kısıtlayabilirsiniz.
Azure'da sanal makine izolasyonu hakkında bilgi edinin. Azure İşlem, belirli bir donanım türüne göre yalıtılmış ve tek bir müşteriye ayrılmış sanal makine boyutları sunar.