Azure'da şifrelemeye genel bakış

Bu makalede, Microsoft Azure'da şifrelemenin nasıl kullanıldığına genel bir bakış sağlanır. Bekleyen şifreleme, uçuşta şifreleme ve Azure Key Vault ile anahtar yönetimi dahil olmak üzere başlıca şifreleme alanlarını kapsar.

Depolama halindeki verilerin şifrelenmesi

Durgun veriler, herhangi bir dijital biçimde fiziksel ortamdaki kalıcı depolamada bulunan bilgileri içerir. Microsoft Azure, dosya, disk, blob ve tablo depolama gibi farklı gereksinimleri karşılamak için çeşitli veri depolama çözümleri sunar. Microsoft ayrıca Azure SQL Veritabanı, Azure Cosmos DB ve Azure Data Lake'i korumak için şifreleme sağlar.

Hizmet olarak yazılım (SaaS), hizmet olarak platform (PaaS) ve hizmet olarak altyapı (IaaS) bulut modellerindeki hizmetlerin bekleyen verilerini korumak için AES 256 şifrelemesini kullanabilirsiniz.

Azure'ın durağan verileri nasıl şifrelediğinin daha ayrıntılı bir tartışması için bkz. Azure Durağan Veri Şifrelemesi.

Azure şifreleme modelleri

Azure, hizmet tarafından yönetilen anahtarları kullanan sunucu tarafı şifreleme, Key Vault'ta müşteri tarafından yönetilen anahtarlar veya müşteri tarafından denetlenen donanımda müşteri tarafından yönetilen anahtarlar gibi çeşitli şifreleme modellerini destekler. İstemci tarafı şifreleme kullanarak anahtarları şirket içinde veya başka bir güvenli konumda yönetebilir ve depolayabilirsiniz.

İstemci tarafı şifreleme

Azure dışında istemci tarafı şifrelemesi gerçekleştirirsiniz. İçerik:

• Veri merkezinizde çalışan bir uygulama veya bir hizmet uygulaması tarafından şifrelenen veriler
• Azure tarafından alındığında zaten şifrelenmiş veriler

Bulut hizmeti sağlayıcıları, istemci tarafı şifrelemeyi kullanarak şifreleme anahtarlarına erişemez ve bu verilerin şifresini çözemez. Anahtarların tam denetimini siz korursunuz.

Sunucu tarafı şifreleme

Üç sunucu tarafı şifreleme modeli farklı anahtar yönetimi özellikleri sunar:

• Hizmet tarafından yönetilen anahtarlar: Düşük ek yük ile denetim ve kolaylık birleşimi sağlar.
• Müşteri tarafından yönetilen anahtarlar: Kendi Anahtarlarını Getir (KAG) desteği de dahil olmak üzere anahtarlar üzerinde denetim sahibi olmanıza veya yeni anahtarlar oluşturmanıza olanak tanır.
• Müşteri tarafından denetlenen donanımlarda hizmet tarafından yönetilen anahtarlar: Microsoft denetimi dışında (Kendi Anahtarınızı Barındır veya HYOK olarak da adlandırılır) özel deponuzda anahtarları yönetmenizi sağlar.

Azure Disk Şifrelemesi

Önemli

Azure Disk Şifrelemesi 15 Eylül 2028'de kullanımdan kaldırılıyor. Bu tarihe kadar Azure Disk Şifrelemesi'ni kesinti olmadan kullanmaya devam edebilirsiniz. 15 Eylül 2028'de ADE özellikli iş yükleri çalışmaya devam edecek, ancak VM yeniden başlatıldıktan sonra şifrelenmiş disklerin kilidi açılamaz ve hizmet kesintisine neden olur.

Yeni VM'ler için ana makinede şifreleme kullanın veya gizli bilgi işlem iş yükleri için işletim sistemi disk şifrelemesi ile Gizli VM boyutlarını değerlendirin. Hizmet kesintisini önlemek için tüm ADE özellikli VM'lerin (yedeklemeler dahil) kullanımdan kaldırma tarihinden önce konakta şifrelemeye geçirilmesi gerekir. Ayrıntılar için bkz. Azure Disk Şifrelemesi'nden konakta şifrelemeye geçiş .

Tüm Yönetilen Diskler, Anlık Görüntüler ve Görüntüler, hizmet tarafından yönetilen bir anahtarla Depolama Hizmeti Şifrelemesi kullanılarak varsayılan olarak şifrelenir. Sanal makineler için, konakta şifreleme, geçici diskler ve işletim sistemi/veri diski önbellekleri dahil olmak üzere VM verileriniz için uçtan uca şifreleme sağlar. Azure, Azure Key Vault'ta anahtarları yönetme seçenekleri de sunar. Daha fazla bilgi için bkz. Yönetilen disk şifreleme seçeneklerine genel bakış.

Azure Depolama Hizmeti Şifrelemesi

Hem sunucu tarafı hem de istemci tarafı senaryoları için Azure Blob depolama ve Azure dosya paylaşımlarında bekleyen verileri şifreleyebilirsiniz.

Azure Depolama Hizmeti Şifrelemesi (SSE), verileri depolanmadan önce otomatik olarak şifreler ve aldığınızda verilerin şifresini otomatik olarak çözer. Depolama Hizmeti Şifrelemesi, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit AES şifrelemesini kullanır.

Azure SQL Veritabanı şifrelemesi

Azure SQL Veritabanı , ilişkisel veriler, JSON, uzamsal ve XML gibi yapıları destekleyen genel amaçlı bir ilişkisel veritabanı hizmetidir. SQL Veritabanı, Saydam Veri Şifrelemesi (TDE) özelliği aracılığıyla hem sunucu tarafı şifrelemeyi hem de Always Encrypted özelliği aracılığıyla istemci tarafı şifrelemeyi destekler.

Şeffaf Veri Şifrelemesi

TDE , Veritabanı Şifreleme Anahtarı (DEK) kullanarak SQL Server, Azure SQL Veritabanı ve Azure Synapse Analytics veri dosyalarını gerçek zamanlı olarak şifreler. TDE, yeni oluşturulan Azure SQL veritabanlarında varsayılan olarak etkindir.

Always Encrypted (Her Zaman Şifreli)

Azure SQL'deki Always Encrypted özelliği, verileri Azure SQL Veritabanı'nda depolamadan önce istemci uygulamaları içinde şifrelemenize olanak tanır. Şirket içi veritabanı yönetimini üçüncü taraflara devretmeyi etkinleştirirken, verinin sahibi ve görüntüleyebileni ile yönetenler arasındaki ayrımı koruyabilirsiniz.

Hücre düzeyinde veya sütun düzeyinde şifreleme

Azure SQL Veritabanı ile Transact-SQL kullanarak bir veri sütununa simetrik şifreleme uygulayabilirsiniz. Bu yaklaşım hücre düzeyinde şifreleme veya sütun düzeyinde şifreleme (CLE) olarak adlandırılır, çünkü bunu farklı şifreleme anahtarlarına sahip belirli sütunları veya hücreleri şifrelemek için kullanabilirsiniz. Bu yaklaşım, TDE'den daha ayrıntılı şifreleme özelliği sunar.

Azure Cosmos DB veritabanı şifrelemesi

Azure Cosmos DB , Microsoft'un genel olarak dağıtılmış çok modelli veritabanıdır. Azure Cosmos DB'de geçici olmayan depolamada (katı hal sürücüleri) depolanan kullanıcı verileri, hizmet tarafından yönetilen anahtarlar kullanılarak varsayılan olarak şifrelenir. Müşteri tarafından yönetilen anahtarlar (CMK) özelliğini kullanarak kendi anahtarlarınızla ikinci bir şifreleme katmanı ekleyebilirsiniz.

Azure Data Lake'te depolanan verilerin şifrelenmesi

Azure Data Lake , gereksinimlerin veya şemanın resmi tanımından önce tek bir yerde toplanan her tür verinin kuruluş genelindeki bir deposudur. Data Lake Store, varsayılan olarak açık olan ve hesabınızın oluşturulması sırasında ayarlanan bekleyen saydam şifrelemeyi destekler. Varsayılan olarak, Azure Data Lake Store anahtarları sizin için yönetir, ancak bunları kendiniz yönetmeyi seçebilirsiniz.

Verileri şifrelemek ve şifresini çözmek için üç tür anahtar kullanılır: Ana Şifreleme Anahtarı (MEK), Veri Şifreleme Anahtarı (DEK) ve Blok Şifreleme Anahtarı (BEK). MEK, kalıcı medyada depolanan DEK'yi şifreler ve BEK, DEK ve veri bloğundan türetilir. Kendi anahtarlarınızı yönetiyorsanız MEK'i döndürebilirsiniz.

Hareket halindeki verilerin şifrelenmesi

Azure, verileri bir konumdan diğerine taşırken gizli tutmak için birçok mekanizma sağlar.

Veri bağlantısı katmanı şifrelemesi

Azure müşteri trafiği veri merkezleri arasında (Fiziksel sınırların dışında) Microsoft tarafından denetlenmeyen her hareketinde, temel alınan ağ donanımında noktadan noktaya IEEE 802.1AE MAC Güvenlik Standartları (MACsec olarak da bilinir) kullanan bir veri bağlantısı katmanı şifreleme yöntemi uygulanır. Cihazlar, paketleri göndermeden önce şifreler ve bu da fiziksel "ortadaki adam" veya gözetleme/dinleme saldırılarını önler. Bu MACsec şifrelemesi, bir bölge içinde veya bölgeler arasında seyahat eden tüm Azure trafiği için varsayılan olarak açıktır.

TLS şifrelemesi

Microsoft, müşterilere bulut hizmetleriyle müşteriler arasında seyahat ederken verileri korumak için Aktarım Katmanı Güvenliği (TLS) protokollerini kullanma olanağı sunar. Microsoft veri merkezleri, Azure hizmetlerine bağlanan istemci sistemleriyle tls bağlantısı kurar. TLS güçlü kimlik doğrulaması, ileti gizliliği ve bütünlük sağlar.

Önemli

Azure, Azure hizmetlerine yapılan tüm bağlantılar için TLS 1.2 veya üzerini gerektirecek şekilde geçiş yaptı. Azure hizmetlerinin çoğu bu geçişi 31 Ağustos 2025'e kadar tamamladı. Uygulamalarınızın TLS 1.2 veya üzerini kullandığına emin olun.

Mükemmel İletme Gizliliği (PFS), müşterilerin istemci sistemleriyle Microsoft bulut hizmetleri arasındaki bağlantıları benzersiz anahtarlarla korur. Bağlantılar RSA tabanlı 2.048 bit anahtar uzunluklarını, ECC 256 bit anahtar uzunluklarını, SHA-384 ileti kimlik doğrulamayı ve AES-256 veri şifrelemesini destekler.

Azure Depolama işlemleri

Azure portalı üzerinden Azure Depolama ile etkileşime geçtiğiniz zaman tüm işlemler HTTPS üzerinden gerçekleştirilir. Azure Depolama ile etkileşime geçmek için HTTPS üzerinden Depolama REST API'sini de kullanabilirsiniz. Depolama hesabı için güvenli aktarım gereksinimini etkinleştirerek REST API'lerini çağırırken HTTPS kullanımını zorunlu kılabilirsiniz.

Azure Depolama nesnelerine erişimi temsilci olarak atamak için kullanabileceğiniz Paylaşılan Erişim İmzaları (SAS), yalnızca HTTPS protokollerinin kullanılabileceğini belirten bir seçenek içerir.

SMB şifrelemesi

Azure Dosyalar paylaşımlarına erişmek için kullanılan SMB 3.0 şifrelemeyi destekler ve Windows Server 2012 R2, Windows 8, Windows 8.1 ve Windows 10'da kullanılabilir. Masaüstü ve bölgeler arası erişimi destekler.

VPN şifrelemesi

Ağ üzerinden gönderilen verilerin gizliliğini korumak için güvenli bir tünel oluşturan bir sanal özel ağ üzerinden Azure'a bağlanabilirsiniz.

Azure VPN ağ geçitleri

Azure VPN ağ geçidi , genel bir bağlantı üzerinden veya sanal ağlar arasında sanal ağınızla şirket içi konumunuz arasında şifrelenmiş trafik gönderir. Siteden siteye VPN'ler aktarım şifrelemesi için IPsec kullanır.

Noktadan siteye VPN’ler

Noktadan siteye VPN'ler, tek tek istemci bilgisayarların bir Azure sanal ağına erişmesine izin verir. Güvenli Yuva Tünel Protokolü (SSTP), VPN tüneli oluşturur. Daha fazla bilgi için bkz. Sanal ağa noktadan siteye bağlantı yapılandırma.

Siteden siteye VPN'ler

Siteden siteye VPN ağ geçidi bağlantısı, şirket içi ağınızı bir IPsec/IKE VPN tüneli üzerinden bir Azure sanal ağına bağlar. Daha fazla bilgi için bkz . Siteden siteye bağlantı oluşturma.

Key Vault ile anahtar yönetimi

Anahtarların düzgün korunması ve yönetilmesi olmadan şifreleme işe yaramaz. Azure, Azure Key Vault, Azure Key Vault Yönetilen HSM, Azure Bulut HSM ve Azure Ödeme HSM gibi çeşitli anahtar yönetimi çözümleri sunar.

Key Vault, donanım güvenlik modülleri (HSM'ler) ve anahtar yönetimi yazılımlarını yapılandırma, düzeltme eki uygulama ve bakımını yapma gereksinimini ortadan kaldırır. Key Vault'ı kullanarak denetimi korursunuz; uygulamaların anahtarlarınıza doğrudan erişimi yoktur. Ayrıca HSM'lerde anahtarları içeri aktarabilir veya oluşturabilirsiniz. En güçlü anahtar yalıtımı garantileri için Azure Yönetilen HSM, Microsoft'un anahtar malzemelerinize erişimi olmayan müşteriye ait bir güvenlik etki alanı sağlar.

Azure'da anahtar yönetimi hakkında daha fazla bilgi için bkz. Azure'da anahtar yönetimi.

Sonraki adımlar

• Azure güvenliğine genel bakış
• Azure ağ güvenliğine genel bakış
• Azure veritabanı güvenliğine genel bakış
• Azure sanal makineleri güvenliğine genel bakış
• Bekleyen veri şifreleme
• Veri güvenliği ve şifreleme için en iyi yöntemler
• Azure'da anahtar yönetimi