Azure Enclave için en iyi uygulamalar

Bu makalede Azure Enclave için temel kavramlar ve en iyi uygulamalar açıklanmaktadır.

Azure Kapanım, güvenli, yalıtılmış ve uyumlu bulut ortamlarının dağıtımını ve yönetimini hızlandırır ve kolaylaştırır. Bu ortamlar, Ticari ve hava ile kaplı ortamlardaki en hassas görevleri ve iş yüklerini işlemek için tasarlanmıştır.

Azure Kapanım'da iş yüklerini başarıyla oluşturmak ve çalıştırmak için aşağıdakiler gibi bazı temel kavramların anlaşılması ve uygulanması gerekir:

Azure Enclave ürün grubu, mühendislik ekipleri ve saha ekipleri aşağıdaki en iyi yöntemleri ve kavramsal makaleleri geliştirdi. Makaleler, topluluk ve kapanım sahiplerinin ve geliştiricilerin önemli kavramları daha iyi anlamasına ve uygun özellikleri uygulamasına yardımcı olmak için oluşturulmuştur.

Azure kurulumu

Bu yapılandırma adımlarının Azure Enclave kullanım örneklerinize uygun olup olmadığını belirlemek için bu kurulum adımlarını okuyun.

Ağ İzleyicisi kaynak gruplarını yapılandırma

Sanal ağ akış günlüğü oluşturmayla ilgili olası sorunları önlemek için kaynak grubunu önceden el ile ayarlayın NetworkWatcherRG ve uygulamaya Mission Enclave bu kaynak grubundaki rolü atayın Owner veya abonelikte ilk kapanımınızı oluşturmadan önce kurulum ve rol atamasının otomatik olarak gerçekleştiğini doğrulayın.

Bu olası sorunu azaltmak için, her abonelik için yeni aboneliklerde adlı NetworkWatcherRG NetworkWatcher kaynak grubunu el ile oluşturun ve ardından NetworkWatcherRG'de Azure Enclave Uygulamasını Mission Enclave verin Owner :

  1. NetworkWatcherRG kaynak grubunu seçin, Access control (IAM) seçin, ardından Add ve Add role assignment seçin.

Portalda rol ekleme kaynak grubu seçimini gösteren ekran görüntüsü.

  1. Privileged administrator roles öğesini seçin, owner öğesini seçin, ardından Next öğesini seçin.

Portalda sahip rolü ekleme seçim görünümünü gösteren ekran görüntüsü.

  1. Select members öğesini seçin, arama kutusuna Mission Enclave yazın ve Mission Enclave uygulamasını seçin, Select öğesini, ardından Next öğesini seçin.

Portalda Görev Kapanım uygulamasını seçmeyi gösteren ekran görüntüsü.

  1. Aboneliğiniz bir koşul gerektiriyorsa Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended) öğesini seçin, ardından Review + assign öğesini seçin.

Aboneliğiniz gerektiriyorsa koşul ekleme görünümünü gösteren ekran görüntüsü.

  1. Güncelleştirme tamamlandıktan sonra Azure Kapanım kaynaklarını dağıtmaya başlayabilirsiniz.

Bir topluluk veya kapanım oluşturulduğunda, Azure Enclave aşağıdaki adımları dener:

  1. öğesinin NetworkWatcherRG mevcut olup olmadığını denetleyin. Aksi takdirde, bu kaynak grubunu oluşturmayı deneme.
  2. NetworkWatcherRG üzerinde Mission Enclave Uygulaması için kalıcı bir Owner atama olup olmadığını denetleyin. Aksi takdirde, Mission Enclave uygulamayı Owner kalıcı bir atama olarak atamaya çalışın NetworkWatcherRG. Devralınan Owner bir izin olsa bile, kalıcı Owner bir atama oluşturulmaya çalışılır.
  3. Herhangi bir adım başarısız olursa, sanal ağ akış günlükleri oluşturmaya çalışılırken enklav dağıtımları başarısız olabilir.

Azure Enclave için Ağ ve Kurumsal Tasarım Modelleri

Multi-tenancy

Ağ tasarımı

Azure Kapanım, aşağıdakiler dahil olmak üzere çeşitli Azure ağ ürünlerinin özelliklerini ve esnekliğini basitleştirilmiş bir kullanıcı arabiriminde bir araya getirir:

  • Azure Sanal WAN
  • Azure Güvenlik Duvarı
  • Azure Sanal Ağ
  • Ağ Güvenlik Grupları

Azure Enclave aşağıdaki genel önerilerde bulunur:

  • Topluluklar, Azure’un akıllı güvenlik duvarı güvenliği için Platform as a Service (PaaS) çözümü olan Azure Güvenlik Duvarı sağlamak üzere ağ gereksinimleriniz olduğunda dağıtılmalıdır.
  • Bir hub-and-spoke Sanal WAN’ı başka bir hub-and-spoke Sanal WAN’dan ayırmaya yönelik kurumsal veya veri hassasiyeti gereksinimleriniz olduğunda, topluluklar dağıtılmalıdır.
  • Her bölgenin kendi Azure Güvenlik Duvarı gerektirdiği birden çok Azure bölgesini kapsayan sistemleri desteklemek için ağ gereksinimleriniz olduğunda topluluklar dağıtılmalıdır. Çok merkezli Azure Güvenlik Duvarı kullanım örnekleri hakkında daha fazla bilgi edinin.
  • Dağıtılmış, merkez-uç geniş bir alan ağında çok sayıda sistemi desteklemek için ağ gereksinimleriniz olduğunda topluluklar dağıtılmalıdır. Azure Sanal WAN hakkında daha fazla bilgi edinin.
  • Aynı özel ağın parçası olarak benzer iş yüklerini dağıtmak için ağ gereksinimleriniz olduğunda kuşatmalar dağıtılmalıdır.
  • Sanal ağ gerektiren ve mevcut bir toplulukla aynı Sanal WAN içinde bulunan iş yükü gereksinimleriniz olduğunda Enclave’ler dağıtılmalıdır.

Topluluk ağı tasarımında dikkat edilmesi gerekenler

Topluluk ağlarınızı planlarken mümkün olduğunca temel Azure hizmet en iyi yöntemleri belgelerini izlemeniz gerekir. Bu en iyi uygulamalar dahil olmak üzere:

Enclave ağ tasarım hususları

Tecrit ağlarınızı planlarken, mümkün olan her yerde Azure hizmetlerine ilişkin temel en iyi uygulama belgelerine başvurmanız gerekir. Bu en iyi uygulamalar dahil olmak üzere:

Genel Azure ağ en iyi yöntemleri hakkında daha fazla bilgi edinin.

İş yükü dağıtımı

  • İş yükleri, enclave katkıda bulunanlarının Azure kaynaklarını dağıtabildiği yönetilen bir kaynak grubuna bağlıdır.
  • Varsayılan olarak, tüm Azure Kapanım iş yükleri yerleşik Azure İlkesi girişimleriyle yönetilir
  • Özel idare kurulumuna sahip bir toplulukla ilişkilendirilmiş iş yükleri, varsayılan Azure Enclave idare yapılandırması yerine bu benzersiz yapılandırmayı kullanır.
  • Azure kaynaklarını adlandırma konusunda dikkat edilmesi gerekenler

Azure Enclave için güvenlik tasarım desenleri

Azure Kapanım ortamlarınızı tasarlarken bu güvenlik tasarım desenlerini göz önünde bulundurun.

Güvenlik sınırları

Azure Enclave, siber güvenlik söz konusu olduğunda derinlemesine savunma yaklaşımını devreye alır. Bir topluluk ve enklavlar dağıttığınızda Azure Enclave, ağ yalıtımı, güvenlik, erişim denetimleri ve günlüğe kaydetme ile izleme için çeşitli katmanlar oluşturur.

Paylaşılan güvenlik sorumlulukları

Azure üzerinde bir hizmet olarak Azure Enclave, bulutta paylaşılan sorumluluk modelini desteklemeye de kararlıdır. Özellikle Azure Enclave için, iş yükleri sizin sorumluluğunuzdadır. İş yüklerinize PaaS hizmetleri dağıttıysanız, Azure’daki paylaşılan sorumluluk modeli bu iş yüklerine de yansır.

Topluluklarınız ve yerleşim bölgeleriniz ortak bir sorumluluktur. Topluluklar ve kuşatmalar, Azure Kapanım Kaynak Sağlayıcısının güvenli, önceden yapılandırılmış merkez-uç ağ ortamınızı oluşturduğu paylaşılan bir sorumluluk modeli kullanır. Bu ağ ortamını, kapanım uç noktaları, topluluk uç noktaları, aktarım hub'ları veya kapanım bağlantıları oluşturarak yönetirsiniz. Azure Enclave’in bazı önizleme sürümleri de, Azure Sanal WAN, Azure Sanal Ağ ve diğer temel Azure ağ hizmetleri tarafından sağlanan altyapı denetimleri aracılığıyla ağ üzerinde el ile değişiklik yapmanıza olanak tanır.

Azure Enclave yönetişimi de paylaşılan bir sorumluluktur. Azure Kapanım Kaynak Sağlayıcısı, iş yükü dağıtımı başına Azure İlkesi girişimlerinin güvenli, önceden yapılandırılmış bir listesini oluşturur. Ancak artık topluluklar, iş yükü için önceden yapılandırılmış listeyi geçersiz kılan topluluk Azure İlkesi Girişimlerini özelleştirme özelliğine sahiptir. İlke gereksinimlerine rağmen, uyumluluk veya idare gereksinimlerine bağlı olarak bu Azure İlkesi Girişim atamalarında el ile muafiyetler yapma olanağını korursunuz.

Azure Güvenliği için en iyi yöntemler

Azure Enclave, Azure kaynaklarını dağıtmak ve iş yüklerini uygulamak için Microsoft Azure Güvenlik en iyi yöntemlerini ve desenlerini izlemenizi önerir.

Sistemlerinizi, bulut altyapınızı, BT personelinizi ve ekip oluşturma yapılarınızı ve kurumsal siber güvenlik farkındalığı eğitimlerinizi düzenlemek için Bulut Benimseme Çerçevesi Azure en iyi güvenlik uygulamalarını izlemeniz gerekir.

Alan Adı Sistemi aracılığıyla veri sızdırma

Etki Alanı Adı Sistemi (DNS) üzerinden veri sızdırma, genellikle güvenlik duvarları üzerinden izin verilen ve kötü amaçlı etkinlikler için nadiren izlenen bir protokol kullandığından kuruluşlar için önemli bir güvenlik sorunudur. Saldırganlar, etki alanı adlarında bilgi kodlayarak veya DNS tünel teknikleri kullanarak güvenliği aşılmış sistemlerden hassas verileri gizli bir şekilde ayıklamak için DNS sorgularından yararlanabilir. DNS trafiği yasal göründüğü ve genellikle geleneksel güvenlik izleme araçlarını atladığı için bu yöntem sinsidir.

DNS tabanlı veri sızdırma saldırılarında, kötü niyetli aktörler genellikle alt etki alanı etiketleme veya TXT kayıt sorguları gibi teknikleri kullanarak çalınan verileri DNS sorgularına kodlar. Örneğin, bir saldırgan hassas verileri öbeklere bölebilir ve her öbekleri saldırgan denetimindeki etki alanlarına DNS sorgularına alt etki alanı olarak katıştırabilir. Veriler, saldırganın DNS sunucusundaki DNS günlüklerinden ayıklanabilir. Bu yaklaşım, DNS sorguları normal ad çözümleme istekleri gibi göründüğünden, dikkat çekmeden büyük veri kümelerinin aşamalı olarak dışarı sızdırılmasına olanak tanır.

Azure DNS Güvenlik İlkesi ile veri sızdırmayı ele alma

Azure DNS Güvenlik İlkesi, Azure Sanal Ağlar içindeki DNS trafiği üzerinde ayrıntılı denetim sunarak DNS tabanlı veri sızdırma saldırılarına karşı kapsamlı koruma sağlar. Bu hizmet, kuruluşların veriler başarıyla dışarı sızdırılmadan önce şüpheli DNS etkinliğini tespit edebilen, uyarı verebilen ve engelleyebilen proaktif güvenlik önlemleri uygulamasına olanak tanır.

Azure DNS Güvenlik İlkesi, DNS verilerinin çeşitli anahtar mekanizmaları aracılığıyla sızmasını giderir. İlk olarak, sızdırma girişimlerinde yaygın olarak kullanılan bilinen kötü amaçlı etki alanlarına veya şüpheli etki alanı desenlerine yönelik sorguları engelleyebilecek DNS trafik kuralları oluşturma olanağı sağlar. Kuruluşlar, komut ve denetim altyapısı veya veri sızdırma hizmetleriyle ilişkili etki alanlarının blok listelerini koruyabilir. İkincisi, hizmet korumalı sanal ağlar içindeki tüm DNS sorgularını ve yanıtlarını yakalayan kapsamlı DNS günlüğü özellikleri sunar. Bu günlük kaydı, güvenlik ekiplerinin DNS trafik desenlerini analiz etmelerini ve olası sızdırma girişimlerini belirlemelerini sağlar. Üçüncü olarak, ilke altyapısı joker etki alanı filtrelemeyi destekler ve kuruluşların şüpheli etki alanı kategorilerinin tamamını engellemesine veya onaylanan DNS hedefleri için izin listeleri uygulamasına olanak tanır.

Azure DNS Güvenlik İlkesi'nin uygulanması, DNS veri sızdırmaya karşı birden çok savunma katmanı oluşturur. Trafik kuralları farklı öncelik düzeyleriyle yapılandırılabilir ve güvenliği işletim gereksinimleriyle dengeleyen karmaşık güvenlik ilkelerine olanak sağlar. Hizmet, adli analiz ve tehdit avcılığı için ayrıntılı günlükler sağlarken kötü amaçlı sorguların gerçek zamanlı olarak engellenmesini destekler. Buna ek olarak, sanal ağ bağlantıları DNS güvenlik ilkelerinin korumalı ağ kesimlerindeki tüm kaynaklara tutarlı bir şekilde uygulanmasını sağlar ve saldırganların atlamasına zor olan kapsamlı bir güvenlik çevresi oluşturur.

Azure Enclave dağıtımlarında Azure DNS Güvenlik İlkesi, genel güvenlik mimarisinin bir parçası olarak entegre edilmelidir. Kuruluşlar, DNS güvenlik ilkelerini, ayrı iş yükleri tehlikeye atıldığında bile hassas verilerin korunmasını sağlayarak, kapanım iş yüklerinden gelen DNS trafiğini izlemek ve denetlemek için yapılandırmalıdır. DNS etki alanı listelerinin düzenli olarak gözden geçirilmesi ve güncelleştirilmesi, DNS günlüklerinin sürekli izlenmesiyle birlikte, gelişen DNS tabanlı tehditlere karşı sürekli koruma sağlar ve Azure Kapanım ortamının güvenlik bütünlüğünün korunmasına yardımcı olur.

Dns Güvenlik İlkesi belgelerinde daha fazla bilgi bulabilirsiniz.

Varsayılan olarak reddeden DNS güvenlik ilkelerini uygulama

Azure Kapanım ortamlarında en yüksek güvenlik için kuruluşların DNS filtrelemesine "varsayılan olarak reddet, özel durum tarafından izin ver" yaklaşımını uygulaması gerekir. Bu güvenlik modeli, açıkça izin verilmediği sürece tüm DNS sorgularının engellenmesini sağlar ve DNS tabanlı veri sızdırma ve komut ve denetim iletişimlerine karşı en güçlü korumayı sağlar.

Varsayılan olarak reddet yaklaşımı, Azure DNS Güvenlik İlkesi içinde iki katmanlı bir DNS kuralı yapısı kullanılarak uygulanır:

1. Adım: Varsayılan reddetme kuralını oluşturma Yalnızca kök etki alanını (nokta) içeren bir DNS Etki Alanı . Listesi oluşturun. Bu joker etki alanı, olası tüm DNS sorgularıyla eşleşir. Bu etki alanı listesini aşağıdakilerle yapılandırılmış bir DNS trafik kuralıyla ilişkilendirin:

  • Öncelik: 65000 (en düşük öncelik)
  • Eylem: Engelle
  • Etki Alanı Listesi: Kök etki alanı (.)

Bu kural, daha yüksek öncelikli kurallar tarafından açıkça izin verilmeyen tüm DNS sorgularını engelleyen genel kural olarak işlev görür.

2. Adım: İzin listesi kuralları oluşturma Yasal iş işlemleri için gerekli olan belirli etki alanlarını içeren ayrı DNS Etki Alanı Listeleri oluşturun. Bunlar şunları içerebilir:

  • Temel Azure hizmetleri (örneğin, *.azure.com, *.microsoft.com)
  • Kurumsal etki alanları ve güvenilir Microsoft dışı hizmetler
  • İşletim sistemi güncelleştirme hizmetleri
  • Sertifika otoritesi etki alanları

İzin verme listelerini yapılandırılan DNS trafik kurallarıyla ilişkilendirin:

  • Öncelik: 500-1000 (varsayılan reddetmeden daha yüksek öncelik)
  • Eylem: İzin Ver
  • Etki Alanı Listeleri: Belirli onaylı etki alanları

Öncelik tabanlı kural işleme Azure DNS Güvenlik İlkesi kuralları öncelik sırasına göre işler (düşük sayılar = yüksek öncelik). DNS sorgusu yapıldığında:

  1. Sistem önce yüksek öncelikli izin verme kurallarını değerlendirir (öncelik 500-1000)
  2. Etki alanı izin verilenler listesiyle eşleşiyorsa, sorguya izin verilir
  3. Hiçbir allow kural eşleşmezse, sorgu varsayılan reddetme kuralına (öncelik 65000) geçer ve trafik engellenir

Bu yaklaşım çeşitli güvenlik avantajları sağlar:

  • Sıfır güven modeli: Açıkça yetkilendirilmediği sürece DNS sorgusuna izin verilmez
  • Ayrıntılı denetim: Kuruluşlar hangi etki alanlarının erişilebilir olduğunu hassas bir şekilde denetleyebiliyor
  • Denetim izi: Engellenen tüm sorgular günlüğe kaydedilir ve olası tehditlere görünürlük sağlar
  • Artımlı güncelleştirmeler: Varsayılan reddetme kuralını değiştirmeden izin veren listelere yeni onaylanan etki alanları eklenebilir

Örnek uygulama:

Priority 500: Allow rule for Azure services
- Domain List: azure-services (contains azure.com., microsoft.com.)
- Action: Allow

Priority 600: Allow rule for business applications
- Domain List: business-domains (contains company.com., partner1.com., partner2.com.)
- Action: Allow

Priority 65000: Default deny rule
- Domain List: deny-all (contains .)
- Action: Block

Bu yaklaşımı uygulayan kuruluşlar gerekli etki alanlarının kapsamlı bir envanteriyle başlamalı ve işletimsel gereksinimlere ve güvenlik günlüklerine göre izin verilen etki alanları listesini aşamalı olarak daraltmalıdır. Engellenen sorguların düzenli olarak gözden geçirilmesi, güçlü güvenlik duruşunu korurken izin verme listelerine eklenmesi gerekebilecek geçerli etki alanlarının belirlenmesine yardımcı olur.

Windows DNS Sunucusu ile varsayılan olarak engelleyen DNS ilkeleri uygulama

Azure DNS Güvenlik İlkesi'ni kullanabilen veya şirket içi DNS denetimi gerektirmeyen ortamlar için, DNS İlkesi özelliklerine sahip Windows DNS Sunucusu kullanılarak benzer varsayılan reddetme güvenlikleri uygulanabilir. Bu yaklaşım, mevcut Windows altyapısıyla uyumluluğu korurken DNS tabanlı veri sızdırmaya karşı karşılaştırılabilir koruma sağlar.

Windows DNS Sunucusu (Windows Server 2016 ve üzeri), kuruluşların gelişmiş DNS filtreleme kuralları uygulamasına olanak tanıyan DNS İlkesi işlevselliğini destekler. Varsayılan olarak reddetme modeli , DNS İlkesi kurallarının ve bölge yapılandırmalarının bir bileşimi aracılığıyla elde edilebilir.

Azure Enclave’te yönetilen kaynak grupları

Azure Enclave tarafından yönetilen kaynakları içeren kaynak grupları.

Topluluk tarafından yönetilen kaynak grubu

Topluluk tarafından yönetilen kaynak grubu, Topluluk nedir? bölümünde açıklanan altyapı kaynaklarını içerir.

Topluluk tarafından yönetilen kaynak grubu adı şu adlandırma kuralını izler: myCommunityName-HostedResources-<GUID>. Her topluluk dağıtımı bu kaynak grubunu oluşturur ve içine topluluk altyapısını yerleştirir. Topluluğunuzu sildiğinizde, Azure Kapanım kaynak sağlayıcısı topluluk tarafından yönetilen kaynak grubunu otomatik olarak siler.

Azure Enclave tarafından yönetilen topluluk kaynaklarına ait bir örneği gösteren ekran görüntüsü.

Topluluk tarafından yönetilen kaynak grubu aşağıdaki sınırlamalara sahiptir:

  • Topluluk tarafından yönetilen kaynak grubu için mevcut bir kaynak grubunu belirtemezsiniz.
  • Topluluk tarafından yönetilen kaynak grubu için farklı bir abonelik belirtemezsiniz.
  • Topluluk oluşturulduktan sonra topluluk tarafından yönetilen kaynak grubu adını değiştiremezsiniz.
  • Topluluk tarafından yönetilen kaynak grubu içindeki yönetilen kaynaklar için ad belirtemezsiniz.
  • Topluluk tarafından yönetilen kaynak grubundaki yönetilen kaynakların Azure oluşturulan etiketlerini değiştiremez veya silemezsiniz.

Topluluk tarafından yönetilen kaynak grubundaki Azure oluşturulan etiketleri, kaynakları ve diğer kaynak özelliklerini değiştirir veya silerseniz beklenmeyen sonuçlar görebilirsiniz. Azure Enclave, topluluk tarafından yönetilen kaynak grubundaki altyapının yaşam döngüsünü yönettiğinden, yapılacak herhangi bir değişiklik enclave’inizin desteklenmeyen bir duruma geçmesine neden olabilir.

Kaynakları değiştirmek istediğiniz yaygın senaryolardan biri etiketlerdir. Azure Enclave, topluluk tarafından yönetilen kaynak grubundaki kaynaklara yayılan etiketler oluşturmanıza ve bunları değiştirmenize olanak tanır. Örneğin, bir iş birimi veya maliyet merkezi atamak için özel etiketler oluşturmak veya değiştirmek isteyebilirsiniz. Bu, topluluk tarafından yönetilen kaynak grubunda kapsamı olan Azure İlkeleri oluşturularak da elde edilebilir.

Note

Topluluk tarafından yönetilen kaynak grubu kilitleme özelliğini etkinleştirmediyseniz, topluluk tarafından yönetilen kaynak grubundaki herhangi bir kaynağı doğrudan değiştirebilirsiniz. Topluluk tarafından yönetilen kaynak grubundaki kaynakları doğrudan değiştirmek, enclave’inizin kararsız hale gelmesine veya yanıt vermemesine neden olabilir.

Enclave yönetilen kaynak grubu

Güvenli bölge yönetilen kaynak grubu, Güvenli bölge nedir? bölümünde açıklanan altyapı kaynaklarını içerir.

Güvenli alan tarafından yönetilen kaynak grubunun adı aşağıdaki adlandırma kuralını izler: myEnclaveName-HostedResources-<GUID>. Her enclave dağıtımı, bu kaynak grubunu oluşturur ve enclave altyapısını bunun içine yerleştirir. Enclave’inizi sildiğinizde, Azure Enclave kaynak sağlayıcısı enclave’in yönetilen kaynak grubunu otomatik olarak siler.

Azure Enclave tarafından yönetilen enclave kaynaklarının örnek olarak gösterildiği ekran görüntüsü.

Enklav tarafından yönetilen kaynak grubu aşağıdaki sınırlamalara sahiptir:

  • Güvenli alanın yönetilen kaynak grubu için mevcut bir kaynak grubunu belirtemezsiniz.
  • Enclave yönetilen kaynak grubu için farklı bir abonelik belirtemezsiniz.
  • Enclave oluşturulduktan sonra, enclave tarafından yönetilen kaynak grubunun adını değiştiremezsiniz.
  • Enklav yönetilen kaynak grubu içindeki yönetilen kaynaklara ad veremezsiniz.
  • Enclave yönetilen kaynak grubu içindeki yönetilen kaynakların Azure tarafından oluşturulan etiketlerini değiştiremez veya silemezsiniz.

Korumalı alan tarafından yönetilen kaynak grubundaki Azure tarafından oluşturulan etiketleri, kaynakları ve diğer kaynak özelliklerini değiştirir veya silerseniz, örneğin ağ, erişim ve izleme hataları gibi beklenmeyen sonuçlarla karşılaşabilirsiniz. Azure Enclave, kapsül tarafından yönetilen kaynak grubundaki altyapının yaşam döngüsünü yönettiğinden, yapılacak herhangi bir değişiklik kapsülünüzü potansiyel olarak desteklenmeyen bir duruma getirebilir.

Kaynakları değiştirmek istediğiniz yaygın senaryolardan biri etiketlerdir. Azure Enclave, enclave tarafından yönetilen kaynak grubundaki kaynaklara aktarılan etiketler oluşturmanıza ve değiştirmenize olanak tanır. Örneğin, bir iş birimi veya maliyet merkezi atamak için özel etiketler oluşturmak veya değiştirmek isteyebilirsiniz. Kaynak etiketleme, güvenli alan tarafından yönetilen kaynak grubunu kapsayan Azure İlkeleri oluşturularak da sağlanabilir.

Warning

Enclave tarafından yönetilen kaynak grubundaki kaynakları değiştirmek, enclave'inizin kararsız hale gelmesine veya yanıt vermemesine neden olabilir.

İş yükü kaynak grubu

İş yükü, Azure kaynaklarınızı oluşturabileceğiniz ve düzenleyebileceğiniz bir veya daha fazla kaynak grubuna bağlıdır.

İş yüküne kaynak grubu ekleme

Normalde yeni bir kaynak grubu eklemek için kullanıcının yeni bir kaynak grubu oluşturma izinleri olması gerekir. Abonelik Owner veya Contributor roller bu izne sahiptir, ancak iş yükü kaynak grubunu oluşturan kişinin bu ayrıcalıklı izne sahip olmayabilir veya buna ihtiyacı olmayabilir. Azure Enclave, yeni kaynak grubunu oluşturmak için en yüksekten en düşük kullanıcı izni gereksinimlerine kadar üç yol dener ve kullanıcı için esneklik sunar:

  • 1. Seçenek: İş yükünü oluşturan veya güncelleştiren kişi için en ayrıcalıklı izinleri gerektirir, tam denetim sağlar ancak yükseltilmiş erişim gerektirir.
  • Seçenek 2: Kullanıcının, uygulamamıza Mission Enclave abonelik düzeyinde sahiplik atamasını manuel olarak yapılandırmasını gerektirir; bu da tercihlerinizle uyumlu olmayabilir.
  • 3. Seçenek: Kullanıcı veya Mission Enclave uygulama için izin gerektirmez, bu en kolay yöntemdir ancak kaynak grubu ile iş yükü arasında katı bir 1:1 ilişkisi getirir.

Her seçeneğin farklı gereksinimleri karşılamak için avantajları ve sınırlamaları, dengeleme denetimi, kolaylık ve esnekliği vardır. Bu seçeneklerin her biri seçenek 1'den başlayarak değerlendirilir ve başarılı olmak için ilk seçenek yeni kaynak grubunu oluşturmak için kullanılır.

3. seçeneği kullanarak bir iş yükü kaynak grubu oluşturduktan sonra, 3 seçeneğinin bu iş yükündeki sonraki iş yükü kaynak grupları için kullanılamayacağı uyarısını görürsünüz. Ayrıca, 3. seçeneği yeniden kullanarak yeni bir iş yükü oluşturabilir ve ardından yeni bir iş yükü kaynak grubu oluşturabilirsiniz.

Güvenli alanınıza bir kaynak grubu ekleyin:

  1. İş yükü için Azure portalı sayfasını açın.
  2. ve ardından Manageöğesini seçinResource Groups.
  3. Add a resource groupseçin.
  4. Açılan yan pencerede, yeni boş kaynak grubunun adını girmek için Create new öğesini seçin ya da mevcut bir kaynak grubu seçmek için Resource Group açılır listesini seçin.
  5. ve ardından OKöğesini seçinSave.

İş yükü kaynak grubunun diğer Azure kaynak gruplarından farkı nedir?

İş yükü kaynak grubu, Azure Kapanım güvenliği ve uyumluluğunun kritik bir bileşenidir çünkü önemli kaynaklarınız burada oluşturulur. Bu iş yükü kaynak grupları bir iş yüküne bağlı olduğundan ve iş yükü bir enclave’e bağlı olduğundan Azure Enclave, iş yükü tarafından yönetilen kaynak gruplarının silinmesini yönetir.

Ayrıca, ilke iş yükü kaynak gruplarına uygulanır. Topluluk ilkelerinin enklava uygulanmasına benzer şekilde, enklav ilkeleri de iş yükü kaynaklarına ve iş yükü kaynak gruplarına uygulanır. Yeni bir iş yükü kaynak grubu oluşturduğunuzda, roller enclave düzeyinde tanımlanır ve abonelikten devralınır. Bu ilkelerden bazıları community’den devralınır; ayrıca, enklav üzerinde iş yüklerine ve iş yükü kaynak gruplarına uygulanan ilkeler de oluşturabilirsiniz.

İş yükü kaynak gruplarında kaynakları düzenleme

Kaynaklarınızı iki kaynak grubuna bölmek istiyorsanız şu seçeneklerden birini belirleyebilirsiniz:

  • bu kaynakları bir iş yüküne bağlı iki kaynak grubu arasında bölme
  • bu kaynakları her biri bir veya daha fazla kaynak grubuna sahip iki iş yükü arasında bölme

İş yükü silme

bir iş yükü silme istendiğinde, iş yükü kaynak grupları boş olduklarından emin olmak için denetlenir. İş yükü kaynak grupları kaynak içeriyorsa, istenen iş yükü silme işlemi başarısız olur ve bir hata gösterir. İş yükünü ve iş yükü kaynak gruplarını silmek için önce iş yükü kaynak gruplarını boşaltın. Boş iş yükü kaynak grupları, önemli kaynakların yanlışlıkla silinmesini önlemeye yardımcı olur.

İş yüküne bağlı bir kaynağın silinmesi aynı davranışı izler. Örneğin, bir topluluk silme işlemi istenirse ancak tüm iş yükü kaynak grupları boş değilse işlem bir hata gösterir. İş yükü kaynak gruplarını boşaltın ve yeniden deneyin.

İş yükü tarafından yönetilen kaynak grubu aşağıdaki sınırlamalara sahiptir:

  • İş yükü tarafından yönetilen kaynak grubu için mevcut bir kaynak grubunu belirtemezsiniz.
  • İş yükü tarafından yönetilen kaynak grubu için farklı bir abonelik belirtemezsiniz.
  • İş yükü oluşturulduktan sonra iş yükü tarafından yönetilen kaynak grubu adını değiştiremezsiniz.
  • İş yüküyle yönetilen kaynak grubundaki yönetilen kaynakların Azure oluşturulan etiketlerini değiştiremez veya silemezsiniz.

Kaynakları değiştirmek istediğiniz yaygın senaryolardan biri etiketlerdir. Azure Enclave, iş yükünün yönettiği kaynak grubundaki kaynaklara iletilen etiketler oluşturmanıza ve değiştirmenize olanak tanır. Örneğin, bir iş birimi veya maliyet merkezi atamak için özel etiketler oluşturmak veya değiştirmek isteyebilirsiniz. Etiketleme, iş yükünün yönettiği kaynak grubu kapsamında Azure İlkeleri oluşturularak da gerçekleştirilebilir.

Diğer Azure en iyi yöntemleri

topluluklarınızı, kuşatmalarınızı ve iş yüklerinizi Azure oluştururken aşağıdaki evrensel tasarım ilkelerini göz önünde bulundurmanız önemlidir: