Share via

Azure Arc özellikli SQL Yönetilen Örneği için idare ve güvenlik

  • Makale

Bu makalede, Azure Arc özellikli SQL Yönetilen Örneği dağıtımlarını planlamanıza ve uygulamanıza yardımcı olmak için temel tasarım konuları ve idare, güvenlik ve uyumluluk için en iyi yöntemler sağlanmaktadır. Kurumsal ölçekli giriş bölgesi belgeleri idare ve güvenliği ayrı konular olarak ele alırken, bu kritik tasarım alanları Arc özellikli SQL Yönetilen Örneği için tek bir konu başlığında birleştirilir.

Mimari

Aşağıdaki diyagramda Arc özellikli SQL Yönetilen Örneği için güvenlik, uyumluluk ve idare tasarım alanlarını gösteren kavramsal başvuru mimarisi gösterilmektedir:

Diagram showing enterprise-scale security and governance for Azure Arc-enabled SQL Managed Instance.

Tasarımla ilgili dikkat edilecek noktalar

Bu bölüm, Arc özellikli SQL Yönetilen Örneği güvenliği ve idaresini planlarken göz önünde bulundurmanız gereken tasarım konularını içerir.

Arc özellikli SQL Yönetilen Örneği genel idare vegüvenlik modelleriniz üzerindeki etkisini değerlendirmek için Azure giriş bölgelerinin güvenlik ve idare tasarım alanlarını gözden geçirin.

İdare disiplinleri

  • Giriş bölgenizde idareyi zorlamaya yönelik en iyi yöntemler için kaynak kuruluşu kritik tasarım alanını gözden geçirin.
  • Arc özellikli SQL Yönetilen Örneği, Veri Denetleyicisi ve Özel Konum gibi karma kaynaklarınız için kuruluşunuzun adlandırma kuralını gözden geçirin ve uygulayın.
  • Dolaylı Bağlan modu için yerleşik yapılandırma profillerini gözden geçirin ve Kubernetes altyapınıza göre özel profil gerekip gerekmediğini belirleyin.

Veri gizliliği ve yerleşim

  • Arc özellikli SQL Yönetilen Örneği ve Veri Denetleyicilerinizi güvenlik ve uyumluluk gereksinimlerinize göre ve tüm veri hakimiyeti gereksinimlerini dikkate alarak dağıtmayı planladığınız Azure bölgelerini göz önünde bulundurun. Kaynaklarınızdan hangi verilerin Doğrudan ve Dolaylı olarak Bağlan modunda toplandığını anlayın ve kuruluşunuzun veri yerleşimi gereksinimlerine göre planlayın.

Dekont

Microsoft'a veritabanı verileri gönderilmez, yalnızca işletimsel veriler, faturalama ve envanter verileri, tanılamalar ve Müşteri Deneyimini Geliştirme Programı (CEIP) verileri gönderilir.

Küme güvenliği

  • Arc özellikli SQL Yönetilen Örneği karma veya çok bulutlu Kubernetes kümelerinde bulunabilir. Seçtiğiniz bulut sağlayıcısı ve Kubernetes dağıtımı için güvenlik ve idareyle ilgili dikkat edilmesi gerekenleri gözden geçirin.
  • Azure Arc özellikli Kubernetes idaresi ve güvenlik uzmanlık alanları tasarım alanında tasarımla ilgili dikkat edilmesi gerekenleri gözden geçirin.

Ağ güvenliği

Kimlik ve erişim yönetimi

  • En iyi yöntemler ve rehberlik için Arc özellikli SQL Yönetilen Örneği kimlik ve erişim yönetimini gözden geçirin.
  • Kuruluşunuzun görev ayrımı ve en az ayrıcalıklı erişim gereksinimlerini göz önünde bulundurarak, kuruluşunuzdaki küme yönetimi, işlemler, veritabanı yönetimi ve geliştirici rollerini tanımlayın. Her ekibi eylemler ve sorumluluklarla eşlemek, kullanılan bağlantı moduna bağlı olarak Azure rol tabanlı erişim denetimi (RBAC) rollerini veya Kubernetes ClusterRoleBinding ve RoleBinding'i belirler.
  • Bu çabayı desteklemek için sorumlu, hesap veren, danışılan ve bilgilendirilmiş (RACI) taraflar matrisi kullanmayı göz önünde bulundurun. Kaynak tutarlılığı ve envanter yönetimi kılavuzuna göre tanımladığınız yönetim kapsamı hiyerarşisinde denetimler oluşturun.
  • Azure Arc Veri Denetleyicisi'ni dağıtmak için Kubernetes ad alanı oluşturma veya küme rolü oluşturma gibi yüksek ayrıcalık olarak kabul edilebilecek bazı izinler gerekir. Aşırı ayrıcalıkları önlemek için gereken izinleri anlayın.
  • Arc özellikli SQL Yönetilen Örneği içinde kullanılacak kimlik doğrulama modeline (Microsoft Entra kimlik doğrulaması mı yoksa SQL kimlik doğrulaması mı) karar verin. Doğru kimlik doğrulama modunu seçmek için tasarımla ilgili önemli noktalar ve öneriler için kimlik ve erişim yönetimi tasarım alanını gözden geçirin.
  • Arc özellikli SQL Yönetilen Örneği Microsoft Entra kimlik doğrulamasını desteklemek üzere Azure Arc AD bağlayıcısını dağıtmak için sistem tarafından yönetilen anahtar sekmesi ile müşteri tarafından yönetilen anahtar sekmesi arasındaki farkları göz önünde bulundurun. Her iki yöntem de, hizmet hesaplarını yönetme konusunda tam müşteri denetimi ve Microsoft Entra kimlik doğrulaması desteği için anahtar sekmesine kıyasla basitleştirilmiş işlemlerin avantajına sahiptir.

Azure Arc özellikli SQL Yönetilen Örneği güvenliği

İzleme stratejisi

  • Yönetim uzmanlık alanlarının kritik tasarım alanı tasarımını gözden geçirin ve daha fazla analiz, denetim ve uyarı için hibrit kaynaklarınızdaki ölçümleri ve günlükleri Log Analytics çalışma alanında toplamayı planlayın
  • Hizmet sorumlusunun Azure İzleyici'ye günlükleri ve ölçümleri yüklemesi için gereken en düşük ayrıcalık izinlerini anlayın.

Tasarım önerileri

Ağ güvenliği

  • Aktarım katmanı güvenliği için SSL/TLS sertifikaları ile Grafana ve Kibana izleme panolarınızın güvenliğini sağlayın.
  • Daha iyi kullanılabilirlik için Arc özellikli SQL Yönetilen Örneği dağıtırken hizmet türünüz olarak Kubernetes LoadBalancer kullanın.

Kimlik ve erişim yönetimi

  • Kullanıcı yaşam döngüsü yönetimini dizin hizmetlerine boşaltmak için Microsoft Entra kimlik doğrulamasının kullanılmasını ve SQL veritabanına erişim için kullanıcı izinlerini yönetmek için Microsoft Entra Id'deki güvenlik gruplarını kullanmayı tercih edin.
  • İşlemleri basitleştirmek amacıyla etki alanı hesabını ve anahtar sekmesi yönetim yükünü boşaltmak için Microsoft Entra kimlik doğrulama desteği için sistem tarafından yönetilen anahtar sekmesi modunu kullanın.
  • SQL kimlik doğrulaması kullanılıyorsa, güçlü parola ilkeleri benimseyin ve sql kullanıcı kimliklerini ve veritabanı sunucularına ve veritabanlarına erişmek için verilen izinleri izlemek için denetimi etkinleştirin.
  • Azure Arc Veri Denetleyicisi dağıtımı için bir Kubernetes ad alanı ayırın ve dağıtmak ve yönetmek için en az ayrıcalık izinlerini atayın.
  • Grafana ve Kibana panoları için güçlü parolalar oluşturun ve düzenli olarak denetlenip döndürüldüğünden emin olun.
  • Karma kaynaklarınızda gerçekleşen farklı işlemleri denetlemek için Arc özellikli SQL Yönetilen Örneği ve Veri Denetleyicilerinizin etkinlik günlüğünü izleyin. İlgili olaylar için uyarılar oluşturun ve güvenlik izleme ve olay yanıtı için Microsoft Sentinel gibi güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştirin.

Azure Arc özellikli SQL Yönetilen Örneği güvenliği

  • Mümkün olduğunda Doğrudan Bağlan moduyla ilişkili tüm geçerli ve gelecekteki güvenlik özelliği avantajlarını elde ettiğinizden emin olmak için Azure Arc özellikli veri hizmetlerinin ve Arc özellikli SQL Yönetilen Örneği dolaylı Bağlan mod dağıtımı yerine Doğrudan Bağlan modu'nu seçin.
  • Bekleyen verilerinizi şifrelemek için mümkün olduğunda Saydam Veri Şifrelemesi etkinleştirin.
  • Daha iyi dayanıklılık için Saydam Veri Şifrelemesi kimlik bilgilerinizi kalıcı birimlerde depolayın.
  • Kalıcı birimleri kuruluşunuzun güvenlik ve uyumluluk gereksinimlerine göre şifrelemek için depolama platformu özelliklerinizi kullanın.
  • Veri kaybından kurtarmak için gereksinimlerinize göre yedekleme ilkenizin bulunduğundan emin olun. Daha fazla rehberlik için iş sürekliliği ve olağanüstü durum kurtarma kritik tasarım alanını gözden geçirin.
  • Dolaylı Bağlan modunda dağıtım yaparken, kullanıcı tarafından yönetilen sertifikayı döndürmek için bir işlem oluşturun.
  • Arc özellikli SQL Yönetilen Örneği bağlantı modundan bağımsız olarak en son sürümlere güncelleştirilmesini sağlayan bir işlem yaptığınızdan emin olun.

İzleme stratejisi

  • Ölçümleri ve günlükleri Azure'a yüklemek için kullanılan hizmet sorumlusunun kimlik bilgisi süre sonunu veya değişikliğini izleyin.
  • Hizmet sorumlusu kimlik bilgilerini kuruluşunuzun güvenlik ve uyumluluk gereksinimlerine göre döndürmek için bir süreç oluşturun.

Sonraki adımlar

Hibrit ve çoklu bulut bulut yolculuğunuz hakkında daha fazla bilgi için aşağıdaki makalelere bakın: