Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Dijital dönüşüm çağında veri bütünlüğü çok önemlidir. İşletmeler veri odaklı kararlara giderek daha fazla güvendikçe, veri kaynaklarının doğruluğu ve güvenliği kritik hale gelir.
Azure gizli kayıt defteri, hassas veri kayıtlarını yönetmek için son derece güvenli, sabit bir veri deposudur. Hizmet, güvenli, güvenilir ve sabit veri depolama taahhüdümüzü özetler.
Gizli kayıt defteri, benzersiz veri bütünlüğü avantajlarına sahip denetlenebilir bir veri deposu sunar. Bu avantajlar arasında değişmezlik, kurcalama-yazım denetleme ve yalnızca ekleme işlemleri yer alır. Gizli kayıt defteri şifreleme tekniklerini ve blok zinciri teknolojisini birleştirir.
Bu özellikler, kritik meta veri kayıtlarının mevzuat uyumluluğu ve arşivleme amaçları gibi bütünlüğünün korunması gerektiğinde idealdir. Gizli kayıt defterinde depolanan veriler, bulut sağlayıcısı da dahil olmak üzere bir kuruluş içindeki iç tehditlere karşı daha gelişmiş ve korumalı olarak kalır. Ayrıca, belirli kişilerle (örneğin denetçiler) korunması ve seçmeli olarak paylaşılması gereken denetim kayıtlarının veya kayıtların deposu olarak da faydalıdır.
Gizli kayıt defteri, özetler ve karmalar için belirli bir noktaya doğru bir kaynak olarak hareket ederek mevcut veritabanlarını ve uygulamaları koruyabilir. Gizli kayıt defterindeki her işlem, doğrulama senaryolarında şifreleme kanıtı sağlar. Örneğin, Azure SQL verileriniz, tablo özetlerinin veya günlüklerinin gizli defterde depolanabildiği şekilde daha fazla bütünlük koruması sağlanabilir.
Daha fazla bilgi için Azure gizli kayıt defteri ile veri kaynağı bütünlüğünü koruma hakkında bilgi edinebilir veya Bir Azure gizli kayıt defteri tanıtımı izleyebilirsiniz. Ayrıca , Azure donanım güvenliğinin Azure gizli kayıt defteri aracılığıyla nasıl korunduğuna ilişkin son blogu da okuyabilirsiniz.
Depolamak için gerekenler
Gizli kayıt defteri örneğinizde depolayabileceğiniz öğelere birkaç örnek aşağıda verilmiştir:
- İş işlemlerinizle ilgili kayıtlar (örneğin, para transferleri veya gizli belge düzenlemeleri).
- Güvenilir varlıklara (örneğin, temel uygulamalar veya sözleşmeler) yönelik güncelleştirmeler.
- Yönetim ve denetim değişiklikleri (örneğin, erişim izinleri verme).
- İşletimsel BT ve güvenlik olayları (örneğin, Bulut için Microsoft Defender uyarıları).
Kullanım örnekleri
- Uçtan uca veri bütünlüğü garantileri gerektiren ilişkisel verilerim var: Verilerinizi Azure SQL Veritabanı kayıt defteri özelliğinde depolayın ve Güvenilir Özet deponuz olarak gizli kayıt defterini açın.
- Uçtan uca bütünlük gerektiren blob verilerim var: Verilerinizi Azure Blob Depolama'da depolayın ve imzaları depolamak ve doğrulamak için gizli kayıt defteri tarafından desteklenen Azure Market uygulamasını yapılandırın.
- Doğrulanabilirlikle bütünlük koruması gerektiren sistem kayıtlarım var: Kayıtlarınızı doğrudan gizli kayıt defterinde depolayın. Örneğin, tüm geliştirme kayıtlarınızın bir gizli kayıt defteri örneğine gitmesini ve üretim günlüklerinizin başka bir örneğe gitmesini sağlayın. Denetlemek istediğinizde, yalnızca gizli kayıt defteri hareketlerini denetçiyle seçmeli olarak paylaşın.
- Gizlilik ve bütünlük koruması gerektiren gizli işlem verilerim var: Kritik gizli verilerinizin uygulama kayıtlarını doğrudan gizli kayıt defterinde depolayın.
Veri kaynakları için veri bütünlüğünü etkinleştirme
SQL veritabanları ve depolama sistemleri, kurumsal veri mimarisinin temelini oluşturur. Gizli kayıt defteri, ek bir bütünlük koruması katmanı sağlayarak bu sistemleri geliştirir. SQL veritabanları için gizli kayıt defteri, değişikliklerin ve işlemlerin kaydedildiği ve doğrulandığı bir dış kayıt defteri işlevi görebilir ve bu da yeni bir güvenlik ve güven boyutu ekler.
Blob Depolama için gizli kayıt defteri, sabit depolama işlemleri günlüğü sağlayarak güvenlik özelliklerini geliştirir. Bu günlük, zaman içinde veri bütünlüğünün kritik öneme sahip olduğu mevzuat uyumluluğu ve arşivleme amaçları için değerlidir.
Nasıl çalışır?
Gizli kayıt defteri yalnızca donanım destekli güvenli kuşatmalarda çalışır. Bu yoğun olarak izlenen ve yalıtılmış çalışma zamanı ortamı olası saldırıları engellemeye devam eder. Gizli kayıt defteri minimalist bir Güvenilir Bilgi İşlem Tabanı (TCB) üzerinde de çalışır. TCB, Microsoft'un bile hiç kimsenin kayıt defterinin "üstünde" olmamasını sağlar.
Adından da anlaşılacağı gibi gizli defter hizmeti, kurcalamaya karşı korumalı ve müdahale edildiği belli olan yüksek bütünlüklü bir çözüm sağlamak için Azure gizli bilgi işlem platformunu ve Confidential Consortium Framework'ü kullanır. Bir kayıt defteri üç veya daha fazla özdeş örnek üzerinde yayılır. Her örnek, ayrılmış, tam olarak doğrulanmış donanım destekli bir kapanımda çalışır. Gizli kayıt defteri örneğinin bütünlüğü, konsensüs tabanlı bir blok zinciri aracılığıyla korunur.
Temel özellikler
Gizli kayıt defteri, yeni veya mevcut uygulamalarla tümleştirmeyi kolaylaştıran bir REST arabirimi sunar. Ayrıca tümleştirmeye yardımcı olmak için .NET, Java, Python ve JavaScript gibi popüler dillerdeki SDK'lar sağlanır.
Gizli kayıt defteri, kolay veri yönetimi için toplama kimliğini destekler. Koleksiyon kimliklerini kullanarak verileri gruplandırmak, verileri verimli bir şekilde yönetmek ve sorgulamak için harika bir yoldur. Belirli veri kümelerinin kolayca tanımlanmasını ve alınmasını sağlar. Bu yöntem, veri düzenlemeyi önemli ölçüde geliştirebilir ve arama ve güncelleştirme gibi işlemleri daha kolay hale getirir.
Gizli kayıt defteri örneğindeki her hareketin, işlemin bütünlüğünü doğrulamak için kullanılan Merkle ağacı veri yapısını kaydeden bir ilişkilendirilmiş makbuzu vardır. İşlem alındı bilgilerini nasıl doğrulayabileceğiniz hakkında daha fazla bilgi edinin.
Gizli kayıt defterinde veri depolama
Gizli kayıt defteri verileri, birlikte zincirlenmiş ve Azure destekli dosya depolama alanında depolanan bloklar halinde yazılır. İşlem verileri, gereksinimlerinize bağlı olarak şifrelenmiş (örneğin, özel kayıt defteri türü) veya düz metinde (örneğin, genel muhasebe türü) depolanabilir.
Yöneticiler, örneğin bir kaynağı silmek veya kaynak grupları arasında taşımak için yönetim API'leri (denetim düzlemi) ile gizli kayıt defteri oluşturabilir ve yönetebilir. Gizli kayıt defteri CREATE, UPDATE, PUT ve GET gibi veri işlemleri için işlevsel API'ler (veri düzlemi) sağlar.
Kayıt defteri güvenliği
Gizli kayıt defteri, AuthZ için özel rol tabanlı erişim denetimi (RBAC) ile AuthN için hem Microsoft Entra Kimliğini hem de sertifika tabanlı kimlik bilgilerini destekler. Diğer Azure hizmetlerinden farklı olarak kullanıcı yönetimi yerelleştirilir. Başka bir deyişle, kullanıcılar işlevsel API'ler kullanılarak kayıt defterinde depolanır ve yönetilir. Bu tasarım TCB'yi azaltır ve Azure RBAC gibi dış yetkilendirme sistemlerine güvenme gereksinimini ortadan kaldırır.
Gizli kayıt defteri, istemci bağlantısı kurmak ve veri alışverişi yapmak için TLS 1.3 protokollerini kullanır. Bağlantı, donanım destekli güvenlik kuşatmalarının (Intel SGX kuşatmaları) içinde sonlandırılır ve bu da ortadaki adam saldırısını önler.
Uygulamaların, veri alışverişi öncesinde güven oluşturmak için kayıt defteri düğümlerinin kimliğini doğrulayarak kayıt defteri düğümlerinin orijinalliğini doğrulaması önerilir. Bu işlem, kayıt defteri düğümlerinin orijinal olmasını ve kötü amaçlı olmamasını sağlar.
Dayanıklılık ve iş sürekliliği
Gizli kayıt defteri düğümleri, dayanıklılık sağlamak için Azure kullanılabilirlik alanları arasında dağıtılır. Ağ, bölge genelindeki kesintiler sırasında kendi kendini iyileştirebilir. İş sürekliliğini sağlamak için, gizli kayıt defteri örneğindeki dosyalar düzenli aralıklarla otomatik olarak ikincil bir depolama hesabına çoğaltılır. Bir olağanüstü durum oluştuğunda, bu dosyalar kurtarma için kullanılır. Sürekli izleme, gizli örneğin durumu belirtilen eşiğin altına düştüğünde kurtarma işlemlerini gözlemlemek ve otomatik olarak başlatmak için kullanılır.
Veriler olağanüstü durum kurtarma için otomatik olarak Azure bölgesel çiftlerine çoğaltılır. Veri yerleşimi konusunda dikkat edilmesi gerekenler hakkında bilgi için bkz. Azure gizli kayıt defteri için veri yerleşimi.
Sınırlamalar
| Kaynak | Limit |
|---|---|
| Abonelik başına kayıt defteri sayısı | 2 standart SKU kayıt defteri |
| Defter başına koleksiyon ID'lerinin sayısı | 50,000 |
| Girdi oluşturma | Saniyede 1800 istek, saniyede 1800 işlem |
| Geçerli girdiyi al | Saniyede 3600 istek |
| Veri girişini al | Saniyede 2500 istek |
| Makbuz alın | Saniyede 2400 istek |
| Girdileri listeleme | Saniyede 3300 istek |
Uyarı
Daha yüksek sınırlar istemek veya sınırlamaları tartışmak için Azure Gizli Kayıt Defteri ekibine ulaşın.
Sınırlamalar
- Gizli bir kayıt defteri örneği oluşturulduktan sonra, kayıt defteri türünü (özel veya genel) değiştiremezsiniz.
- Gizli kayıt defteri silme işlemi "sabit silmeye" yol açar, bu nedenle silme işleminden sonra verileriniz kurtarılamaz.
- Gizli kayıt defteri adları genel olarak benzersiz olmalıdır. Türleri ne olursa olsun, aynı ada sahip kayıt defterlerine izin verilmez.
Terminoloji
| Terim | Tanım |
|---|---|
| Ön Çapraz Bağ (ACL) | Azure gizli kayıt defteri. |
| Kayıt Defteri | İşlemlerin sabit bir yalnızca ekleme kaydı (blok zinciri olarak da bilinir). |
| Kaydet | Gizli kayıt defteri örneğine bir hareketin eklendiğini belirten onay. |
| Makbuz | Gizli kayıt defteri örneğinin bir işlemi işlediğinin kanıtı. |