Azure'da şifrelemeye genel bakış

Bu makalede, Microsoft Azure'da şifrelemenin nasıl kullanıldığına genel bir bakış sağlanır. Bekleyen şifreleme, uçuşta şifreleme ve Azure Key Vault ile anahtar yönetimi dahil olmak üzere başlıca şifreleme alanlarını kapsar. Her bölüm daha ayrıntılı bilgilere bağlantılar içerir.

Bekleyen verilerin şifrelenmesi

Bekleyen veriler, herhangi bir dijital biçimde fiziksel medyada kalıcı depolamada bulunan bilgileri içerir. Medya manyetik veya optik medyadaki dosyaları, arşivlenmiş verileri ve veri yedeklemelerini içerebilir. Microsoft Azure, dosya, disk, blob ve tablo depolama gibi farklı gereksinimleri karşılamak için çeşitli veri depolama çözümleri sunar. Microsoft ayrıca Azure SQL Veritabanı, Azure Cosmos DB'yi ve Azure Data Lake'i korumak için şifreleme sağlar.

Bekleyen veri şifrelemesi hizmet olarak yazılım (SaaS), hizmet olarak platform (PaaS) ve hizmet olarak altyapı (IaaS) bulut modellerindeki hizmetler için kullanılabilir. Bu makale, Azure şifreleme seçeneklerini kullanmanıza yardımcı olacak kaynakları özetler ve sağlar.

Bekleyen verilerin Azure'da nasıl şifrelendiği hakkında daha ayrıntılı bir açıklama için bkz . Azure Veri Şifrelemesi-at-Rest.

Azure şifreleme modelleri

Azure desteği hizmet tarafından yönetilen anahtarları kullanan sunucu tarafı şifreleme, Key Vault'ta müşteri tarafından yönetilen anahtarlar veya müşteri tarafından denetlenen donanımda müşteri tarafından yönetilen anahtarlar gibi çeşitli şifreleme modelleri vardır. İstemci tarafı şifreleme sayesinde, anahtarları şirket içinde veya başka bir güvenli konumda yönetebilirsiniz.

İstemci Tarafında Şifreleme

İstemci tarafı şifrelemesi Azure dışında gerçekleştirilir. İçerik:

• Müşterinin veri merkezinde çalışan bir uygulama veya bir hizmet uygulaması tarafından şifrelenen veriler.
• Azure tarafından alındığında zaten şifrelenmiş olan veriler.

İstemci tarafı şifreleme ile bulut hizmeti sağlayıcıları şifreleme anahtarlarına erişemez ve bu verilerin şifresini çözemez. Anahtarların tam denetimini siz korursunuz.

Sunucu tarafı şifrelemesi

Üç sunucu tarafı şifreleme modeli, gereksinimlerinize göre seçebileceğiniz farklı anahtar yönetimi özellikleri sunar:

• Hizmet tarafından yönetilen anahtarlar: Düşük ek yük ile denetim ve kolaylık birleşimi sağlar.

• Müşteri tarafından yönetilen anahtarlar: Kendi Anahtarlarını Getir (KAG) desteği de dahil olmak üzere anahtarlar üzerinde denetim sahibi olmanıza veya yeni anahtarlar oluşturmanıza olanak tanır.

• Müşteri tarafından denetlenen donanımlarda hizmet tarafından yönetilen anahtarlar: Özel deponuzdaki anahtarları Microsoft denetimi dışında yönetmenizi sağlar. Bu özelliğe Kendi Anahtarınızı Barındır (HYOK) adı verilir. Ancak yapılandırma karmaşıktır ve çoğu Azure hizmeti bu modeli desteklemez.

Azure disk şifrelemesi

Yönetilen disklerinizi, DM-Crypt kullanan Linux VM'ler için Azure Disk Şifrelemesi veya windows bitlocker kullanan Windows VM'ler için Azure Disk Şifrelemesi kullanarak hem işletim sistemi disklerini hem de veri disklerini tam birim şifrelemesi ile koruyabilirsiniz.

Şifreleme anahtarları ve gizli diziler Azure Key Vault aboneliğinizde korunuyor. Azure Backup hizmetini kullanarak Anahtar Şifreleme Anahtarı (KEK) yapılandırmasını kullanan şifrelenmiş sanal makineleri (VM) yedekleyebilir ve geri yükleyebilirsiniz.

Azure Depolama Hizmeti Şifrelemesi

Azure Blob depolama ve Azure dosya paylaşımlarında bekleyen veriler hem sunucu tarafı hem de istemci tarafı senaryolarında şifrelenebilir.

Azure Depolama Hizmet Şifrelemesi (SSE), verileri depolanmadan önce otomatik olarak şifreleyebilir ve aldığınızda verilerin şifresini otomatik olarak çözer. İşlem kullanıcılar için tamamen şeffaftır. Depolama Hizmet Şifrelemesi 256 bit kullanırKullanılabilir en güçlü blok şifrelemelerinden biri olan Gelişmiş Şifreleme Standardı (AES) şifrelemesi. AES şifreleme, şifre çözme ve anahtar yönetimini saydam bir şekilde işler.

Azure bloblarının istemci tarafı şifrelemesi

Azure bloblarının istemci tarafı şifrelemesini çeşitli yollarla gerçekleştirebilirsiniz.

.NET NuGet için Azure Depolama İstemci Kitaplığı paketini kullanarak verileri Azure depolama alanınıza yüklemeden önce istemci uygulamalarınızdaki verileri şifreleyebilirsiniz.

.NET NuGet için Azure Depolama İstemci Kitaplığı paketi hakkında daha fazla bilgi edinmek ve indirmek için bkz. Windows Azure Depolama 8.3.0.

Key Vault ile istemci tarafı şifreleme kullandığınızda, verileriniz Azure Depolama istemci SDK'sı tarafından oluşturulan tek seferlik simetrik İçerik Şifreleme Anahtarı (CEK) kullanılarak şifrelenir. CEK, simetrik anahtar veya asimetrik anahtar çifti olabilecek bir Anahtar Şifreleme Anahtarı (KEK) kullanılarak şifrelenir. Yerel olarak yönetebilir veya Key Vault'ta depolayabilirsiniz. Şifrelenmiş veriler daha sonra Azure Depolama'a yüklenir.

Key Vault ile istemci tarafı şifrelemesi hakkında daha fazla bilgi edinmek ve nasıl yapılır yönergelerini kullanmaya başlamak için bkz. Öğretici: Azure Depolama'da Key Vault kullanarak blobları şifreleme ve şifresini çözme.

Son olarak, Verileri Azure Depolama'a yüklemeden önce istemci tarafı şifrelemesi gerçekleştirmek ve verileri istemciye indirdiğinizde verilerin şifresini çözmek için Java için Azure Depolama İstemci Kitaplığı'nı da kullanabilirsiniz. Bu kitaplık, depolama hesabı anahtar yönetimi için Key Vault ile tümleştirmeyi de destekler.

bekleyen verilerin Azure SQL Veritabanı ile şifrelenmesi

Azure SQL Veritabanı, Azure'da ilişkisel veriler, JSON, uzamsal ve XML gibi yapıları destekleyen genel amaçlı bir ilişkisel veritabanı hizmetidir. SQL Veritabanı, Saydam Veri Şifrelemesi (TDE) özelliği aracılığıyla hem sunucu tarafı şifrelemeyi hem de Always Encrypted özelliği aracılığıyla istemci tarafı şifrelemeyi destekler.

Saydam Veri Şifrelemesi

TDE, kurtarma sırasında kullanılabilirlik için veritabanı önyükleme kaydında depolanan Veritabanı Şifreleme Anahtarı (DEK) kullanılarak SQL Server, Azure SQL Veritabanı ve Azure Synapse Analytics veri dosyalarını gerçek zamanlı olarak şifrelemek için kullanılır.

TDE, AES ve Üçlü Veri Şifreleme Standardı (3DES) şifreleme algoritmalarını kullanarak veri ve günlük dosyalarını korur. Veritabanı dosyasının şifrelemesi sayfa düzeyinde gerçekleştirilir. Şifrelenmiş veritabanındaki sayfalar diske yazılmadan önce şifrelenir ve bellekte okunduğunda şifreleri çözülür. TDE artık yeni oluşturulan Azure SQL veritabanlarında varsayılan olarak etkindir.

Always Encrypted özelliği

Azure SQL'deki Always Encrypted özelliğiyle, verileri Azure SQL Veritabanı depolamadan önce istemci uygulamaları içinde şifreleyebilirsiniz. Ayrıca, şirket içi veritabanı yönetiminin üçüncü taraflara temsilci seçmesini etkinleştirebilir ve verileri sahip olan ve görüntüleyebilen ve bunları yöneten ancak erişimi olmaması gereken kişiler arasında ayrım yapabilirsiniz.

Hücre düzeyinde veya sütun düzeyinde şifreleme

Azure SQL Veritabanı ile Transact-SQL kullanarak bir veri sütununa simetrik şifreleme uygulayabilirsiniz. Bu yaklaşım hücre düzeyinde şifreleme veya sütun düzeyinde şifreleme (CLE) olarak adlandırılır, çünkü bunu farklı şifreleme anahtarlarına sahip belirli sütunları ve hatta belirli veri hücrelerini şifrelemek için kullanabilirsiniz. Bunu yaptığınızda, sayfalardaki verileri şifreleyen TDE'den daha ayrıntılı şifreleme özelliğine sahip olursunuz.

CLE, simetrik veya asimetrik anahtarlar, sertifikanın ortak anahtarı veya 3DES kullanarak parola kullanarak verileri şifrelemek için kullanabileceğiniz yerleşik işlevlere sahiptir.

Azure Cosmos DB veritabanı şifrelemesi

Azure Cosmos DB , Microsoft'un genel olarak dağıtılmış çok modelli veritabanıdır. Azure Cosmos DB'de geçici olmayan depolamada (katı hal sürücüleri) depolanan kullanıcı verileri varsayılan olarak şifrelenir. Açmak veya kapatmak için denetim yok. Bekleyen şifreleme, güvenli anahtar depolama sistemleri, şifrelenmiş ağlar ve şifreleme API'leri dahil olmak üzere bir dizi güvenlik teknolojisi kullanılarak uygulanır. Şifreleme anahtarları Microsoft tarafından yönetilir ve Microsoft iç yönergelerine göre döndürülür. İsteğe bağlı olarak, müşteri tarafından yönetilen anahtarları veya CMK özelliğini kullanarak yönettiğiniz anahtarlarla ikinci bir şifreleme katmanı eklemeyi seçebilirsiniz.

Data Lake'te bekleyen şifreleme

Azure Data Lake , gereksinimlerin veya şemanın resmi tanımından önce tek bir yerde toplanan her tür verinin kuruluş genelindeki bir deposudur. Data Lake Store, hesabınızın oluşturulması sırasında ayarlanan bekleyen verilerin saydam olarak şifrelenmesini "varsayılan olarak açık" olarak destekler. Varsayılan olarak, Azure Data Lake Store anahtarları sizin için yönetir, ancak bunları kendiniz yönetme seçeneğiniz vardır.

Verileri şifrelemek ve şifresini çözmek için üç tür anahtar kullanılır: Ana Şifreleme Anahtarı (MEK), Veri Şifreleme Anahtarı (DEK) ve Blok Şifreleme Anahtarı (BEK). MEK, kalıcı medyada depolanan DEK'yi şifrelemek için kullanılır ve BEK, DEK ve veri bloğundan türetilir. Kendi anahtarlarınızı yönetiyorsanız MEK'i döndürebilirsiniz.

Hareket halindeki verilerin şifrelenmesi

Azure, verileri bir konumdan diğerine taşırken gizli tutmak için birçok mekanizma sunar.

Azure'da Veri Bağlantısı Katmanı şifrelemesi

Azure Müşteri trafiği veri merkezleri arasında (Microsoft tarafından denetlenmeyen fiziksel sınırların dışında veya Microsoft adına) hareket ettiği her durumda, temel alınan ağ donanımında noktadan noktaya IEEE 802.1AE MAC Güvenlik Standartları (MACsec olarak da bilinir) kullanan bir veri bağlantısı katmanı şifreleme yöntemi uygulanır. Paketler gönderilmeden önce cihazlarda şifrelenir ve fiziksel "ortadaki adam" veya gözetleme/dinleme saldırıları engellenir. Bu teknoloji ağ donanımının kendisine entegre olduğundan, ağ donanımında ölçülebilir bağlantı gecikme süresi artışı olmadan hat hızı şifrelemesi sağlar. Bu MACsec şifrelemesi, bir bölgede veya bölgeler arasında seyahat eden tüm Azure trafiği için varsayılan olarak açıktır ve müşterilerin etkinleştirmesi için herhangi bir işlem yapılması gerekmez.

Azure'da TLS şifrelemesi

Microsoft, müşterilere bulut hizmetleriyle müşteriler arasında seyahat ederken verileri korumak için Aktarım Katmanı Güvenliği (TLS) protokollerini kullanma olanağı sunar. Microsoft veri merkezleri, Azure hizmetlerine bağlanan istemci sistemleriyle tls bağlantısı kurar. TLS güçlü kimlik doğrulaması, ileti gizliliği ve bütünlük (ileti üzerinde değişiklik, kesme ve sahteciliğin algılanması), birlikte çalışabilirlik, algoritma esnekliği ve dağıtım ve kullanım kolaylığı sağlar.

Mükemmel İletme Gizliliği (PFS), müşterilerin istemci sistemleriyle Microsoft bulut hizmetleri arasındaki bağlantıları benzersiz anahtarlarla korur. Bağlan ions ayrıca RSA tabanlı 2.048 bit şifreleme anahtarı uzunluklarını da kullanır. Bu birleşim, birinin aktarımda olan verilere müdahale edip verilere erişmesini zorlaştırır.

Azure Depolama işlemleri

Azure portalı aracılığıyla Azure Depolama ile etkileşime geçtiğiniz zaman tüm işlemler HTTPS üzerinden gerçekleştirilir. Azure Depolama ile etkileşime geçmek için HTTPS üzerinden Depolama REST API'sini de kullanabilirsiniz. Depolama hesabı için gerekli olan güvenli aktarımı etkinleştirerek depolama hesaplarındaki nesnelere erişmek için REST API'lerini çağırdığınızda HTTPS kullanımını zorunlu kılabilirsiniz.

Azure Depolama nesnelerine erişimi temsilci olarak atamak için kullanılabilen Paylaşılan Erişim İmzaları (SAS), Paylaşılan Erişim İmzalarını kullandığınızda yalnızca HTTPS protokollerinin kullanılabileceğini belirten bir seçenek içerir. Bu yaklaşım, SAS belirteçleriyle bağlantı gönderen herkesin uygun protokolü kullanmasını sağlar.

Azure Dosyalar paylaşımlarına erişmek için kullanılan SMB 3.0 şifrelemeyi destekler ve Windows Server 2012 R2, Windows 8, Windows 8.1 ve Windows 10'da kullanılabilir. Bölgeler arası erişime ve hatta masaüstünde erişime izin verir.

İstemci tarafı şifrelemesi, verileri Azure Depolama örneğine gönderilmeden önce şifreler, böylece ağ üzerinden geçiş yaparken şifrelenir.

Azure sanal ağları üzerinden SMB şifrelemesi

Windows Server 2012 veya üzerini çalıştıran VM'lerde SMB 3.0 kullanarak, Azure Sanal Ağ s üzerinden aktarımdaki verileri şifreleyerek veri aktarımlarını güvenli hale getirebilirsiniz. Verileri şifreleyerek kurcalama ve dinleme saldırılarına karşı korumaya yardımcı olursunuz. Yönetici istrator'lar sunucunun tamamı veya yalnızca belirli paylaşımlar için SMB şifrelemesini etkinleştirebilir.

Varsayılan olarak, bir paylaşım veya sunucu için SMB şifrelemesi açıldıktan sonra şifrelenmiş paylaşımlara yalnızca SMB 3.0 istemcilerinin erişmesine izin verilir.

VM'lerde aktarım içi şifreleme

Windows çalıştıran VM'lere ve vm'ler arasında aktarım halindeki veriler, bağlantının yapısına bağlı olarak çeşitli yollarla şifrelenebilir.

RDP oturumları

Windows istemci bilgisayarından Uzak Masaüstü Protokolü'nü (RDP) veya RDP istemcisi yüklü bir Mac'ten kullanarak vm'ye bağlanabilir ve oturum açabilirsiniz. RDP oturumlarında ağ üzerinden aktarımda olan veriler TLS tarafından korunabilir.

Azure'da Linux VM'sine bağlanmak için Uzak Masaüstü'nü de kullanabilirsiniz.

SSH ile Linux VM'lerine güvenli erişim

Uzaktan yönetim için Secure Shell 'i (SSH) kullanarak Azure'da çalışan Linux VM'lerine bağlanabilirsiniz. SSH, güvenli olmayan bağlantılar üzerinden güvenli oturum açma işlemlerine izin veren şifreli bir bağlantı protokolüdür. Azure'da barındırılan Linux VM'leri için varsayılan bağlantı protokolüdür. Kimlik doğrulaması için SSH anahtarlarını kullanarak parolaların oturum açma gereksinimini ortadan kaldırırsınız. SSH, kimlik doğrulaması için ortak/özel anahtar çifti (asimetrik şifreleme) kullanır.

Azure VPN şifrelemesi

Ağ üzerinden gönderilen verilerin gizliliğini korumak için güvenli bir tünel oluşturan bir sanal özel ağ üzerinden Azure'a bağlanabilirsiniz.

Azure VPN ağ geçitleri

Azure VPN ağ geçidini kullanarak sanal ağınızla şirket içi konumunuz arasında genel bağlantı üzerinden şifrelenmiş trafik gönderebilir veya sanal ağlar arasında trafik gönderebilirsiniz.

Siteden siteye VPN'ler aktarım şifrelemesi için IPsec kullanır. Azure VPN ağ geçitleri bir dizi varsayılan teklif kullanır. Azure VPN ağ geçitlerini, Azure varsayılan ilke kümeleri yerine belirli şifreleme algoritmaları ve anahtar güçlü yönleriyle özel bir IPsec/IKE ilkesi kullanacak şekilde yapılandırabilirsiniz.

Noktadan siteye VPN’ler

Noktadan siteye VPN'ler, tek tek istemci bilgisayarların bir Azure sanal ağına erişmesine izin verir. Vpn tüneli oluşturmak için Güvenli Yuva Tünel Protokolü (SSTP) kullanılır. Güvenlik duvarlarından geçiş yapabilir (tünel bir HTTPS bağlantısı olarak görünür). Noktadan siteye bağlantı için kendi iç ortak anahtar altyapınızı (PKI) kök sertifika yetkilinizi (CA) kullanabilirsiniz.

Sertifika kimlik doğrulaması veya PowerShell ile Azure portalını kullanarak sanal ağa noktadan siteye VPN bağlantısı yapılandırabilirsiniz.

Azure sanal ağlarına yönelik noktadan siteye VPN bağlantıları hakkında daha fazla bilgi edinmek için bkz:

Sertifika kimlik doğrulamasını kullanarak sanal ağa noktadan siteye bağlantı yapılandırma: Azure portalı

Sertifika kimlik doğrulamasını kullanarak sanal ağa noktadan siteye bağlantı yapılandırma: PowerShell

Siteden siteye VPN'ler

Şirket içi ağınızı IPsec/IKE (IKEv1 veya IKEv2) VPN tüneli üzerinden Azure sanal ağına bağlamak için siteden siteye VPN ağ geçidi bağlantısı kullanabilirsiniz. Bu tür bir bağlantı için, kendisine dış kullanıma yönelik genel IP adresi atanmış bir şirket içi VPN cihazı gerekir.

Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak sanal ağa siteden siteye VPN bağlantısı yapılandırabilirsiniz.

Daha fazla bilgi için bkz.

Azure portalında siteden siteye bağlantı oluşturma

PowerShell'de siteden siteye bağlantı oluşturma

CLI kullanarak siteden siteye VPN bağlantısıyla sanal ağ oluşturma

Data Lake'te aktarım içi şifreleme

Data Lake Store'da aktarımdaki (diğer adıyla hareket halindeki) veriler de her zaman şifrelenir. Verileri kalıcı medyada depolamadan önce şifrelemeye ek olarak, veriler de her zaman HTTPS kullanılarak aktarım sırasında güvenli hale getirilir. HTTPS, Data Lake Store REST arabirimleri için desteklenen tek protokoldür.

Data Lake'te aktarım halindeki verilerin şifrelenmesinin nasıl yapıldığını öğrenmek için bkz . Data Lake Store'da veri şifreleme.

Key Vault ile anahtar yönetimi

Anahtarların düzgün korunması ve yönetilmesi olmadan şifreleme işe yaramaz hale gelir. Key Vault, bulut hizmetleri tarafından kullanılan şifreleme anahtarlarına erişimi yönetmek ve denetlemek için Microsoft tarafından önerilen çözümdür. Anahtarlara erişim izinleri hizmetlere veya Microsoft Entra hesapları aracılığıyla kullanıcılara atanabilir.

Key Vault, kuruluşların donanım güvenlik modülleri (HSM) ve anahtar yönetimi yazılımını yapılandırma, koruma ve buna düzeltme eki uygulama ihtiyacını ortadan kaldırır. Key Vault'ı kullandığınızda denetimi korursunuz. Microsoft anahtarlarınızı hiçbir zaman görmez ve uygulamaların bunlara doğrudan erişimi yoktur. Ayrıca HSM'lerde anahtarları içeri aktarabilir veya oluşturabilirsiniz.

Sonraki adımlar

• Azure güvenliğine genel bakış
• Azure ağ güvenliğine genel bakış
• Azure veritabanı güvenliğine genel bakış
• Azure sanal makineleri güvenliğine genel bakış
• Bekleme sırasında veri şifrelemesi
• Veri güvenliği ve şifreleme için en iyi uygulamalar