Azure Arc özellikli SQL Yönetilen Örneği için idare ve güvenlik
Bu makalede, Azure Arc özellikli SQL Yönetilen Örneği dağıtımlarını planlamanıza ve uygulamanıza yardımcı olmak için temel tasarım konuları ve idare, güvenlik ve uyumluluk için en iyi yöntemler sağlanmaktadır. Kurumsal ölçekli giriş bölgesi belgeleri idare ve güvenliği ayrı konular olarak ele alırken, bu kritik tasarım alanları Arc özellikli SQL Yönetilen Örneği için tek bir konu başlığında birleştirilir.
Mimari
Aşağıdaki diyagramda Arc özellikli SQL Yönetilen Örneği için güvenlik, uyumluluk ve idare tasarım alanlarını gösteren kavramsal başvuru mimarisi gösterilmektedir:
Tasarımla ilgili dikkat edilecek noktalar
Bu bölüm, Arc özellikli SQL Yönetilen Örneği güvenliği ve idaresini planlarken göz önünde bulundurmanız gereken tasarım konularını içerir.
Arc özellikli SQL Yönetilen Örneği genel idare vegüvenlik modelleriniz üzerindeki etkisini değerlendirmek için Azure giriş bölgelerinin güvenlik ve idare tasarım alanlarını gözden geçirin.
İdare disiplinleri
- Giriş bölgenizde idareyi zorlamaya yönelik en iyi yöntemler için kaynak kuruluşu kritik tasarım alanını gözden geçirin.
- Arc özellikli SQL Yönetilen Örneği, Veri Denetleyicisi ve Özel Konum gibi karma kaynaklarınız için kuruluşunuzun adlandırma kuralını gözden geçirin ve uygulayın.
- Dolaylı Bağlan modu için yerleşik yapılandırma profillerini gözden geçirin ve Kubernetes altyapınıza göre özel profil gerekip gerekmediğini belirleyin.
Veri gizliliği ve yerleşim
- Arc özellikli SQL Yönetilen Örneği ve Veri Denetleyicilerinizi güvenlik ve uyumluluk gereksinimlerinize göre ve tüm veri hakimiyeti gereksinimlerini dikkate alarak dağıtmayı planladığınız Azure bölgelerini göz önünde bulundurun. Kaynaklarınızdan hangi verilerin Doğrudan ve Dolaylı olarak Bağlan modunda toplandığını anlayın ve kuruluşunuzun veri yerleşimi gereksinimlerine göre planlayın.
Dekont
Microsoft'a veritabanı verileri gönderilmez, yalnızca işletimsel veriler, faturalama ve envanter verileri, tanılamalar ve Müşteri Deneyimini Geliştirme Programı (CEIP) verileri gönderilir.
Küme güvenliği
- Arc özellikli SQL Yönetilen Örneği karma veya çok bulutlu Kubernetes kümelerinde bulunabilir. Seçtiğiniz bulut sağlayıcısı ve Kubernetes dağıtımı için güvenlik ve idareyle ilgili dikkat edilmesi gerekenleri gözden geçirin.
- Azure Arc özellikli Kubernetes idaresi ve güvenlik uzmanlık alanları tasarım alanında tasarımla ilgili dikkat edilmesi gerekenleri gözden geçirin.
Ağ güvenliği
- En iyi yöntemler ve yönergeler için ağ bağlantısı kritik tasarım alanını gözden geçirin.
- Kuruluşunuzun güvenlik ve uyumluluk gereksinimlerine bağlı olarak Arc özellikli SQL Yönetilen Örneği için kullanılacak bağlantı moduna karar verin.
- Kümenizin dağıtıldığı yere bağlı olarak Grafana ve Kibana kullanarak Arc özellikli SQL Yönetilen Örneği izlemek için gereken ağ bağlantı noktalarını ve uç noktaları göz önünde bulundurun.
- Veri Denetleyicisi'ni oluştururken Kubernetes LoadBalancer veya NodePort arasında hangi hizmet türünü kullanacağınıza karar verin.
Kimlik ve erişim yönetimi
- En iyi yöntemler ve rehberlik için Arc özellikli SQL Yönetilen Örneği kimlik ve erişim yönetimini gözden geçirin.
- Kuruluşunuzun görev ayrımı ve en az ayrıcalıklı erişim gereksinimlerini göz önünde bulundurarak, kuruluşunuzdaki küme yönetimi, işlemler, veritabanı yönetimi ve geliştirici rollerini tanımlayın. Her ekibi eylemler ve sorumluluklarla eşlemek, kullanılan bağlantı moduna bağlı olarak Azure rol tabanlı erişim denetimi (RBAC) rollerini veya Kubernetes ClusterRoleBinding ve RoleBinding'i belirler.
- Bu çabayı desteklemek için sorumlu, hesap veren, danışılan ve bilgilendirilmiş (RACI) taraflar matrisi kullanmayı göz önünde bulundurun. Kaynak tutarlılığı ve envanter yönetimi kılavuzuna göre tanımladığınız yönetim kapsamı hiyerarşisinde denetimler oluşturun.
- Azure Arc Veri Denetleyicisi'ni dağıtmak için Kubernetes ad alanı oluşturma veya küme rolü oluşturma gibi yüksek ayrıcalık olarak kabul edilebilecek bazı izinler gerekir. Aşırı ayrıcalıkları önlemek için gereken izinleri anlayın.
- Arc özellikli SQL Yönetilen Örneği içinde kullanılacak kimlik doğrulama modeline (Microsoft Entra kimlik doğrulaması mı yoksa SQL kimlik doğrulaması mı) karar verin. Doğru kimlik doğrulama modunu seçmek için tasarımla ilgili önemli noktalar ve öneriler için kimlik ve erişim yönetimi tasarım alanını gözden geçirin.
- Arc özellikli SQL Yönetilen Örneği Microsoft Entra kimlik doğrulamasını desteklemek üzere Azure Arc AD bağlayıcısını dağıtmak için sistem tarafından yönetilen anahtar sekmesi ile müşteri tarafından yönetilen anahtar sekmesi arasındaki farkları göz önünde bulundurun. Her iki yöntem de, hizmet hesaplarını yönetme konusunda tam müşteri denetimi ve Microsoft Entra kimlik doğrulaması desteği için anahtar sekmesine kıyasla basitleştirilmiş işlemlerin avantajına sahiptir.
Azure Arc özellikli SQL Yönetilen Örneği güvenliği
- Azure'a doğrudan bağlantı kurma ve bağlanmama arasındaki dengeleri ve azure tarafından etkinleştirilen mevcut ve gelecekteki güvenlik özelliklerini kullanarak karma ve çoklu bulut örneklerinizi nasıl etkileyebileceğini göz önünde bulundurarak bağlantı moduna karar verin.
- Veri iş yükleriniz için Arc özellikli SQL Yönetilen Örneği sağlanan güvenlik özelliklerini gözden geçirin.
- Kubernetes kümelerinizde kalıcı birimler için kullanılacak depolama platformunu tanımlayın ve kalıcı birimlerde bulunan verilerin güvenliğini sağlamak için kullanılabilecek güvenlik özelliklerini anlayın. Giriş bölgeniz için tasarım yaparken depolama uzmanlık alanlarının kritik tasarım alanını gözden geçirin.
- Arc özellikli SQL Yönetilen Örneği etkinleştirmeden önce Saydam Veri Şifrelemesi gereksinimlerini ve mimarisini gözden geçirin.
- Kuruluşunuzun şifreleme anahtarı yönetimi ilkelerine ve yordamlarına göre Saydam Veri Şifrelemesi kimlik bilgilerinizi depolayabileceğiniz farklı konumları göz önünde bulundurun.
- Arc özellikli SQL Yönetilen Örneği Dolaylı olarak Bağlan modda dağıtırken, kuruluşunuzun güvenlik ve uyumluluk gereksinimlerine göre kullanıcı tarafından yönetilen sertifikayı sağlamak için kullanılacak sertifika yetkilisine karar verin.
- Arc özellikli SQL Yönetilen Örneği Doğrudan Bağlan modunda dağıtılması, otomatik döndürme özelliklerine sahip sistem tarafından yönetilen bir sertifika sağlar. Dolaylı olarak Bağlan modunda, kullanıcı tarafından yönetilen bir sertifikayı döndürmek için el ile müdahale gerekir. Dağıtılacak bağlantı modunu seçerken el ile gerçekleştirilen işlemleri ve güvenlik gereksinimlerini göz önünde bulundurun.
- Doğrudan veya Dolaylı olarak Bağlan modunda dağıtılan Arc özellikli SQL Yönetilen Örneği en son sürümlerle güncel tutma gereksinimini göz önünde bulundurun. Daha fazla rehberlik için yükseltilebilirlik disiplinleri kritik tasarım alanını gözden geçirin.
İzleme stratejisi
- Yönetim uzmanlık alanlarının kritik tasarım alanı tasarımını gözden geçirin ve daha fazla analiz, denetim ve uyarı için hibrit kaynaklarınızdaki ölçümleri ve günlükleri Log Analytics çalışma alanında toplamayı planlayın
- Hizmet sorumlusunun Azure İzleyici'ye günlükleri ve ölçümleri yüklemesi için gereken en düşük ayrıcalık izinlerini anlayın.
Tasarım önerileri
Ağ güvenliği
- Aktarım katmanı güvenliği için SSL/TLS sertifikaları ile Grafana ve Kibana izleme panolarınızın güvenliğini sağlayın.
- Daha iyi kullanılabilirlik için Arc özellikli SQL Yönetilen Örneği dağıtırken hizmet türünüz olarak Kubernetes LoadBalancer kullanın.
Kimlik ve erişim yönetimi
- Kullanıcı yaşam döngüsü yönetimini dizin hizmetlerine boşaltmak için Microsoft Entra kimlik doğrulamasının kullanılmasını ve SQL veritabanına erişim için kullanıcı izinlerini yönetmek için Microsoft Entra Id'deki güvenlik gruplarını kullanmayı tercih edin.
- İşlemleri basitleştirmek amacıyla etki alanı hesabını ve anahtar sekmesi yönetim yükünü boşaltmak için Microsoft Entra kimlik doğrulama desteği için sistem tarafından yönetilen anahtar sekmesi modunu kullanın.
- SQL kimlik doğrulaması kullanılıyorsa, güçlü parola ilkeleri benimseyin ve sql kullanıcı kimliklerini ve veritabanı sunucularına ve veritabanlarına erişmek için verilen izinleri izlemek için denetimi etkinleştirin.
- Azure Arc Veri Denetleyicisi dağıtımı için bir Kubernetes ad alanı ayırın ve dağıtmak ve yönetmek için en az ayrıcalık izinlerini atayın.
- Grafana ve Kibana panoları için güçlü parolalar oluşturun ve düzenli olarak denetlenip döndürüldüğünden emin olun.
- Karma kaynaklarınızda gerçekleşen farklı işlemleri denetlemek için Arc özellikli SQL Yönetilen Örneği ve Veri Denetleyicilerinizin etkinlik günlüğünü izleyin. İlgili olaylar için uyarılar oluşturun ve güvenlik izleme ve olay yanıtı için Microsoft Sentinel gibi güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştirin.
Azure Arc özellikli SQL Yönetilen Örneği güvenliği
- Mümkün olduğunda Doğrudan Bağlan moduyla ilişkili tüm geçerli ve gelecekteki güvenlik özelliği avantajlarını elde ettiğinizden emin olmak için Azure Arc özellikli veri hizmetlerinin ve Arc özellikli SQL Yönetilen Örneği dolaylı Bağlan mod dağıtımı yerine Doğrudan Bağlan modu'nu seçin.
- Bekleyen verilerinizi şifrelemek için mümkün olduğunda Saydam Veri Şifrelemesi etkinleştirin.
- Daha iyi dayanıklılık için Saydam Veri Şifrelemesi kimlik bilgilerinizi kalıcı birimlerde depolayın.
- Kalıcı birimleri kuruluşunuzun güvenlik ve uyumluluk gereksinimlerine göre şifrelemek için depolama platformu özelliklerinizi kullanın.
- Veri kaybından kurtarmak için gereksinimlerinize göre yedekleme ilkenizin bulunduğundan emin olun. Daha fazla rehberlik için iş sürekliliği ve olağanüstü durum kurtarma kritik tasarım alanını gözden geçirin.
- Dolaylı Bağlan modunda dağıtım yaparken, kullanıcı tarafından yönetilen sertifikayı döndürmek için bir işlem oluşturun.
- Arc özellikli SQL Yönetilen Örneği bağlantı modundan bağımsız olarak en son sürümlere güncelleştirilmesini sağlayan bir işlem yaptığınızdan emin olun.
İzleme stratejisi
- Ölçümleri ve günlükleri Azure'a yüklemek için kullanılan hizmet sorumlusunun kimlik bilgisi süre sonunu veya değişikliğini izleyin.
- Hizmet sorumlusu kimlik bilgilerini kuruluşunuzun güvenlik ve uyumluluk gereksinimlerine göre döndürmek için bir süreç oluşturun.
Sonraki adımlar
Hibrit ve çoklu bulut bulut yolculuğunuz hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Azure Arc özellikli Veri Hizmetleri'nin özelliklerini gözden geçirin.
- Azure Arc özellikli veri hizmetleri için doğrulanmış Kubernetes dağıtımlarını gözden geçirin.
- Hibrit ve çoklu bulut ortamlarını yönetme makalesini gözden geçirin.
- Arc özellikli SQL Yönetilen Örneği en az ayrıcalıkla çalıştırma hakkında daha fazla bilgi edinin.
- Azure Arc Jumpstart ile Arc özellikli SQL Yönetilen Örneği otomatik senaryoları deneyimleyin.
- Azure Arc hakkında daha fazla bilgi edinmek için Microsoft Learn'de Azure Arc öğrenme yolunu gözden geçirin.