Azure Key Vault Yönetilen HSM ile SQL TDE için bölgeler arası dayanıklılık

Azure SQL Yönetilen Örnek

Azure Key Vault

Çözüm fikirleri

Bu makalede bir çözüm fikri açıklanmaktadır. Bulut mimarınız bu mimarinin tipik bir uygulaması için ana bileşenleri görselleştirmeye yardımcı olmak için bu kılavuzu kullanabilir. İş yükünüzün özel gereksinimlerine uygun iyi tasarlanmış bir çözüm tasarlamak için bu makaleyi başlangıç noktası olarak kullanın.

Bu çözüm, Azure SQL Yönetilen Örneği için güvenli ve dayanıklı bir dağıtım deseni açıklar. Müşteri tarafından yönetilen saydam veri şifrelemesi (TDE) koruyucu anahtarlarını depolamak için Azure Key Vault Yönetilen HSM'nin nasıl kullanıldığını vurgular.

Mimarlık

Diyagramda birincil bölge ve ikincil bölge olarak iki önemli bölüm bulunur. Birincil bölge, SQL Yönetilen Örneği, kullanılabilirlik alanları ve ağ güvenlik grubu (NSG) içeren bir alt ağa sahiptir. Birincil bölge, NSG'ye sahip bir alt ağ, Yönetilen HSM birincil bölge özel uç noktası, başka bir özel uç nokta, yük dengeleyici ve Yönetilen HSM havuzu içeren başka bir alt bölüme sahiptir. Her alt bölümün bir sanal ağı ve kaynak grupları vardır. mHSM için özel bir DNS bölgesi de birincil bölgededir. İkincil bölge, birincil bölgenin kaynaklarını çoğaltır. Dış genel kaynaklar bölümünde SQL Yönetilen Örneği'nden Traffic Manager'a üzerinde 'yönetim düzlemi' yazan bir ok uzanmaktadır. Birincil bölgedeki SQL Yönetilen Örneği alt bölümünden ikincil bölgedeki aynı alt bölüme "bölgeler arası veri çoğaltma" şeklinde etiketlenmiş bir ok işaret ediyor. Birincil bölgedeki Yönetilen HSM havuzu alt bölümünden ikincil bölgedeki aynı alt bölüme bölgeler arası çoğaltma noktaları etiketli bir ok. Her bölgede, bir ok SQL Yönetilen Örneği'nden özel uç noktaya, ardından Traffic Manager'a veri düzlemi etiketi taşıyan bir ok işaret eder. Her bölgede, SQL Yönetilen Örneği'nden Traffic Manager'a yönetim düzlemi olarak etiketlenmiş bir ok işaret eder. Her bölgede, Trafik Yöneticisi'nden Yönetilen HSM havuzuna giden bir ok, Trafik Yöneticisi'nin en yakın mHSM'ye yönlendirdiğini gösterir.

Bu mimarinin Visio dosyasını indirin.

İş Akışı

Aşağıdaki iş akışı önceki diyagrama karşılık gelir:

1. SQL Yönetilen Örneği, olağanüstü durum kurtarma için verileri çoğaltmak üzere ikincil eşlenmemiş bölgedeki kullanılabilirlik gruplarıyla yapılandırılır.

2. Yönetilen HSM, bölgeler arası bir havuzla yapılandırılır. Bu havuz, anahtar malzemeyi ve izinleri ikincil, eşleşmemiş bölgedeki kasaya otomatik olarak çoğaltır.

3. SQL Yönetilen Örneği'nden gelen veri düzlemi trafiği, Yönetilen HSM'nin özel uç noktası üzerinden akar.

4. Yönetilen HSM, trafiği en yakın işletim kasasına yönlendirmek için Azure Traffic Manager'ı kullanır.

5. Yönetilen örneğin bir anahtar üzerindeki izinleri denetlemesi gerekiyorsa, Azure omurga ağı üzerinden bir yönetim katmanı isteği gönderir.

Bileşenler

• SQL Yönetilen Örneği, en son SQL Server Enterprise Edition veritabanı motoru ile neredeyse tamamen uyumlu bir platform hizmeti (PaaS) olarak sunmaktadır. Güvenliği geliştiren yerel bir sanal ağ uygulaması sağlar ve mevcut SQL Server müşterileri için yararlı bir iş modeli sağlar. Şirket içi uygulamalarınızı buluta geçirmek için SQL Yönetilen Örneği'ni, uygulamalarda ve veritabanlarında en az değişiklikle kullanabilirsiniz.

  SQL Yönetilen Örneği ayrıca otomatik düzeltme eki uygulama ve sürüm güncelleştirmeleri, otomatik yedeklemeler ve yüksek erişilebilirlik gibi kapsamlı PaaS özellikleri sağlar. Bu özellikler yönetim ek yükünü ve toplam sahip olma maliyetini önemli ölçüde azaltır. Bu mimaride SQL Yönetilen Örnek, TDE koruyucu anahtarlarını kullanan veritabanıdır.

• Yönetilen HSM , yüksek kullanılabilirlik, tek kiracılık ve endüstri standartlarıyla uyumluluk sağlayan tam olarak yönetilen bir bulut hizmetidir. Yönetilen HSM, bulut uygulamaları için şifreleme anahtarlarını korumak üzere tasarlanmıştır. Federal Bilgi İşleme Standartları 140-2 Düzey 3 onaylı HSM'leri kullanır. Yönetilen HSM, Azure'daki çeşitli temel yönetim çözümlerinden biridir. Bu mimaride Yönetilen HSM, TDE koruyucu anahtarlarını güvenli bir şekilde depolar ve bölgeler arası dayanıklılık sağlar.

• Azure özel uç noktası, Azure Depolama, Azure SQL Veritabanı ve Azure Key Vault gibi PaaS hizmetlerini özel IP adresi aracılığıyla bir sanal ağa güvenli bir şekilde bağlayan bir ağ arabirimi görevi görür. Bu özellik, trafiği Azure omurga ağı içinde tutarak güvenliği artıran genel İnternet'e maruz kalma gereksinimini ortadan kaldırır. Ayrıca ek koruma için müşteri sanal ağını kullanır. Bu mimaride Azure özel uç noktası, hizmetler arasındaki trafiğin özel bir sanal ağ üzerinden akmasını sağlar.

• Azure Özel DNS , bir sanal ağ içindeki kaynakların Azure hizmetlerine özel olarak erişmesini sağlayan özel uç noktalar için sorunsuz ad çözümlemesi sağlar. Güvenlik ve erişilebilirliği geliştiren genel IP adresleri yerine tam etki alanı adlarını kullanmalarına olanak tanır. Özel uç nokta oluşturulduğunda, bağlantılı özel DNS bölgesine karşılık gelen bir Etki Alanı Adı Sistemi (DNS) kaydı otomatik olarak kaydedilir. Özel DNS bölgesi, hizmete yönelik trafiğin Azure omurga ağı içinde kalmasını sağlar. Bu yaklaşım, genel İnternet'e maruz kalmaktan kaçınarak güvenliği, performansı ve uyumluluğu geliştirir. Bölgesel bir hizmet kesintisi oluşursa, Azure Private DNS, Yönetilen HSM için yerel bölgeler arası ad çözümleme direnci sağlar. Bu mimaride hizmetler, özel ağ adresleri aracılığıyla birbirleriyle iletişim kurmak için Azure Özel DNS kullanır.

Senaryo ayrıntıları

Bu çözümde müşteri, görev açısından kritik sistemi için katı hizmet düzeyi hedef (SLO) eşiklerini karşılamayı ve listelenen hizmetlerin tam işlevselliğini sağlamayı hedefler. Bu hedefe ulaşmak için müşteri tarafından yönetilen TDE koruyucu anahtar kullanarak SQL Yönetilen Örnek'i kullanır. Anahtar, seçilen bölgeleri destekleyen ve tüm uyumluluk ve güvenlik gereksinimlerini karşılayan bir kasada depolanır. Gelişmiş koruma için özel uç nokta erişimi de zorunludur.

Olası kullanım örnekleri

• Müşteri iki eşlenmiş veya eşlenmemiş bölge kullanır. Birincil SQL Yönetilen Örneği tek bir bölgede bulunur ve yük devretme grupları bunu ikincil bölgedeki SQL Yönetilen Örneği'ne bağlamak için yapılandırılır.

• Bir müşteri, birincil bölgede Yönetilen HSM örneğini ve ikincil bölgede bölgeler arası bir replikasını kullanır. Bölgeler arası çoğaltma etkinleştirildiğinde bir Traffic Manager örneği oluşturulur. Traffic Manager örneği, her iki kasa da çalışır durumdaysa trafiği yerel kasaya veya bir kasa kullanılamıyorsa çalışır durumda olan kasaya yönlendirmeyi işler.

• Müşteri, her bölgedeki Yönetilen HSM örneğinin özel uç noktasını desteklemek için iki özel DNS bölgesi kullanır.

• Kullanıcı veritabanlarında müşteri tarafından etkinleştirilmiş bir TDE, müşteri tarafından yönetilen bir anahtar modeli kullanır ve bir koruyucu anahtarı Yönetilen HSM'de depolar.

• Müşteri mümkün olan en yüksek dayanıklılığı sağlamak için bu tasarımı kullanır.

Katkıda Bulunanlar

Microsoft bu makaleyi korur. Bu makaleyi aşağıdaki katkıda bulunanlar yazdı.

Asıl yazarlar:

• Laura Grob | Ana Bulut Çözümü Mimarı
• Armen Kaleshian | Ana Bulut Çözümü Mimarı
• Michael Piskorski | Üst Düzey Bulut Çözümü Mimarı

Nonpublic LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki Adımlar

• Düzenlenmiş sektörler için Yönetilen HSM'ye yönelik kapsamlı bir kılavuz
• Yönetilen HSM için yerleşik yerel rol tabanlı erişim denetimi rolleri
• Yönetilen HSM'de çok bölgeli çoğaltmayı etkinleştirme
• Yönetilen HSM'yi özel uç noktalarla yapılandırma
• Yönetilen HSM geri kazanımına genel bakış
• Yönetilen HSM'de temel egemenlik, kullanılabilirlik, performans ve ölçeklenebilirlik
• Yönetilen HSM'nin güvenliğini sağlamaya yönelik en iyi yöntemler
• Key Vault güvenliğine genel bakış
• Key Vault anahtarları hakkında
• HSM korumalı anahtarlar oluşturma ve aktarma
• Key Vault kullanılabilirliği ve yedekliliği

Çözüm fikirleri

Bu makalede bir çözüm fikri açıklanmaktadır. Bulut mimarınız bu mimarinin tipik bir uygulaması için ana bileşenleri görselleştirmeye yardımcı olmak için bu kılavuzu kullanabilir. İş yükünüzün özel gereksinimlerine uygun iyi tasarlanmış bir çözüm tasarlamak için bu makaleyi başlangıç noktası olarak kullanın.

Bu çözüm, Azure SQL Yönetilen Örneği için güvenli ve dayanıklı bir dağıtım deseni açıklar. Müşteri tarafından yönetilen saydam veri şifrelemesi (TDE) koruyucu anahtarlarını depolamak için Azure Key Vault Yönetilen HSM'nin nasıl kullanıldığını vurgular.

Mimarlık

Diyagramda birincil bölge ve ikincil bölge olarak iki önemli bölüm bulunur. Birincil bölge, SQL Yönetilen Örneği, kullanılabilirlik alanları ve ağ güvenlik grubu (NSG) içeren bir alt ağa sahiptir. Birincil bölge, NSG'ye sahip bir alt ağ, Yönetilen HSM birincil bölge özel uç noktası, başka bir özel uç nokta, yük dengeleyici ve Yönetilen HSM havuzu içeren başka bir alt bölüme sahiptir. Her alt bölümün bir sanal ağı ve kaynak grupları vardır. mHSM için özel bir DNS bölgesi de birincil bölgededir. İkincil bölge, birincil bölgenin kaynaklarını çoğaltır. Dış genel kaynaklar bölümünde SQL Yönetilen Örneği'nden Traffic Manager'a üzerinde 'yönetim düzlemi' yazan bir ok uzanmaktadır. Birincil bölgedeki SQL Yönetilen Örneği alt bölümünden ikincil bölgedeki aynı alt bölüme "bölgeler arası veri çoğaltma" şeklinde etiketlenmiş bir ok işaret ediyor. Birincil bölgedeki Yönetilen HSM havuzu alt bölümünden ikincil bölgedeki aynı alt bölüme bölgeler arası çoğaltma noktaları etiketli bir ok. Her bölgede, bir ok SQL Yönetilen Örneği'nden özel uç noktaya, ardından Traffic Manager'a veri düzlemi etiketi taşıyan bir ok işaret eder. Her bölgede, SQL Yönetilen Örneği'nden Traffic Manager'a yönetim düzlemi olarak etiketlenmiş bir ok işaret eder. Her bölgede, Trafik Yöneticisi'nden Yönetilen HSM havuzuna giden bir ok, Trafik Yöneticisi'nin en yakın mHSM'ye yönlendirdiğini gösterir.

Bu mimarinin Visio dosyasını indirin.

İş Akışı

Aşağıdaki iş akışı önceki diyagrama karşılık gelir:

1. SQL Yönetilen Örneği, olağanüstü durum kurtarma için verileri çoğaltmak üzere ikincil eşlenmemiş bölgedeki kullanılabilirlik gruplarıyla yapılandırılır.

2. Yönetilen HSM, bölgeler arası bir havuzla yapılandırılır. Bu havuz, anahtar malzemeyi ve izinleri ikincil, eşleşmemiş bölgedeki kasaya otomatik olarak çoğaltır.

3. SQL Yönetilen Örneği'nden gelen veri düzlemi trafiği, Yönetilen HSM'nin özel uç noktası üzerinden akar.

4. Yönetilen HSM, trafiği en yakın işletim kasasına yönlendirmek için Azure Traffic Manager'ı kullanır.

5. Yönetilen örneğin bir anahtar üzerindeki izinleri denetlemesi gerekiyorsa, Azure omurga ağı üzerinden bir yönetim katmanı isteği gönderir.

Bileşenler

• SQL Yönetilen Örneği, en son SQL Server Enterprise Edition veritabanı motoru ile neredeyse tamamen uyumlu bir platform hizmeti (PaaS) olarak sunmaktadır. Güvenliği geliştiren yerel bir sanal ağ uygulaması sağlar ve mevcut SQL Server müşterileri için yararlı bir iş modeli sağlar. Şirket içi uygulamalarınızı buluta geçirmek için SQL Yönetilen Örneği'ni, uygulamalarda ve veritabanlarında en az değişiklikle kullanabilirsiniz.

  SQL Yönetilen Örneği ayrıca otomatik düzeltme eki uygulama ve sürüm güncelleştirmeleri, otomatik yedeklemeler ve yüksek erişilebilirlik gibi kapsamlı PaaS özellikleri sağlar. Bu özellikler yönetim ek yükünü ve toplam sahip olma maliyetini önemli ölçüde azaltır. Bu mimaride SQL Yönetilen Örnek, TDE koruyucu anahtarlarını kullanan veritabanıdır.

• Yönetilen HSM , yüksek kullanılabilirlik, tek kiracılık ve endüstri standartlarıyla uyumluluk sağlayan tam olarak yönetilen bir bulut hizmetidir. Yönetilen HSM, bulut uygulamaları için şifreleme anahtarlarını korumak üzere tasarlanmıştır. Federal Bilgi İşleme Standartları 140-2 Düzey 3 onaylı HSM'leri kullanır. Yönetilen HSM, Azure'daki çeşitli temel yönetim çözümlerinden biridir. Bu mimaride Yönetilen HSM, TDE koruyucu anahtarlarını güvenli bir şekilde depolar ve bölgeler arası dayanıklılık sağlar.

• Azure özel uç noktası, Azure Depolama, Azure SQL Veritabanı ve Azure Key Vault gibi PaaS hizmetlerini özel IP adresi aracılığıyla bir sanal ağa güvenli bir şekilde bağlayan bir ağ arabirimi görevi görür. Bu özellik, trafiği Azure omurga ağı içinde tutarak güvenliği artıran genel İnternet'e maruz kalma gereksinimini ortadan kaldırır. Ayrıca ek koruma için müşteri sanal ağını kullanır. Bu mimaride Azure özel uç noktası, hizmetler arasındaki trafiğin özel bir sanal ağ üzerinden akmasını sağlar.

• Azure Özel DNS , bir sanal ağ içindeki kaynakların Azure hizmetlerine özel olarak erişmesini sağlayan özel uç noktalar için sorunsuz ad çözümlemesi sağlar. Güvenlik ve erişilebilirliği geliştiren genel IP adresleri yerine tam etki alanı adlarını kullanmalarına olanak tanır. Özel uç nokta oluşturulduğunda, bağlantılı özel DNS bölgesine karşılık gelen bir Etki Alanı Adı Sistemi (DNS) kaydı otomatik olarak kaydedilir. Özel DNS bölgesi, hizmete yönelik trafiğin Azure omurga ağı içinde kalmasını sağlar. Bu yaklaşım, genel İnternet'e maruz kalmaktan kaçınarak güvenliği, performansı ve uyumluluğu geliştirir. Bölgesel bir hizmet kesintisi oluşursa, Azure Private DNS, Yönetilen HSM için yerel bölgeler arası ad çözümleme direnci sağlar. Bu mimaride hizmetler, özel ağ adresleri aracılığıyla birbirleriyle iletişim kurmak için Azure Özel DNS kullanır.

Senaryo ayrıntıları

Bu çözümde müşteri, görev açısından kritik sistemi için katı hizmet düzeyi hedef (SLO) eşiklerini karşılamayı ve listelenen hizmetlerin tam işlevselliğini sağlamayı hedefler. Bu hedefe ulaşmak için müşteri tarafından yönetilen TDE koruyucu anahtar kullanarak SQL Yönetilen Örnek'i kullanır. Anahtar, seçilen bölgeleri destekleyen ve tüm uyumluluk ve güvenlik gereksinimlerini karşılayan bir kasada depolanır. Gelişmiş koruma için özel uç nokta erişimi de zorunludur.

Olası kullanım örnekleri

• Müşteri iki eşlenmiş veya eşlenmemiş bölge kullanır. Birincil SQL Yönetilen Örneği tek bir bölgede bulunur ve yük devretme grupları bunu ikincil bölgedeki SQL Yönetilen Örneği'ne bağlamak için yapılandırılır.

• Bir müşteri, birincil bölgede Yönetilen HSM örneğini ve ikincil bölgede bölgeler arası bir replikasını kullanır. Bölgeler arası çoğaltma etkinleştirildiğinde bir Traffic Manager örneği oluşturulur. Traffic Manager örneği, her iki kasa da çalışır durumdaysa trafiği yerel kasaya veya bir kasa kullanılamıyorsa çalışır durumda olan kasaya yönlendirmeyi işler.

• Müşteri, her bölgedeki Yönetilen HSM örneğinin özel uç noktasını desteklemek için iki özel DNS bölgesi kullanır.

• Kullanıcı veritabanlarında müşteri tarafından etkinleştirilmiş bir TDE, müşteri tarafından yönetilen bir anahtar modeli kullanır ve bir koruyucu anahtarı Yönetilen HSM'de depolar.

• Müşteri mümkün olan en yüksek dayanıklılığı sağlamak için bu tasarımı kullanır.

Katkıda Bulunanlar

Microsoft bu makaleyi korur. Bu makaleyi aşağıdaki katkıda bulunanlar yazdı.

Asıl yazarlar:

• Laura Grob | Ana Bulut Çözümü Mimarı
• Armen Kaleshian | Ana Bulut Çözümü Mimarı
• Michael Piskorski | Üst Düzey Bulut Çözümü Mimarı

Nonpublic LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki Adımlar

• Düzenlenmiş sektörler için Yönetilen HSM'ye yönelik kapsamlı bir kılavuz
• Yönetilen HSM için yerleşik yerel rol tabanlı erişim denetimi rolleri
• Yönetilen HSM'de çok bölgeli çoğaltmayı etkinleştirme
• Yönetilen HSM'yi özel uç noktalarla yapılandırma
• Yönetilen HSM geri kazanımına genel bakış
• Yönetilen HSM'de temel egemenlik, kullanılabilirlik, performans ve ölçeklenebilirlik
• Yönetilen HSM'nin güvenliğini sağlamaya yönelik en iyi yöntemler
• Key Vault güvenliğine genel bakış
• Key Vault anahtarları hakkında
• HSM korumalı anahtarlar oluşturma ve aktarma
• Key Vault kullanılabilirliği ve yedekliliği