Azure Depolama kullanarak PaaS web ve mobil uygulamalarının güvenliğini sağlamaya yönelik en iyi yöntemler
Bu makalede, hizmet olarak platform (PaaS) web ve mobil uygulamalarınızın güvenliğini sağlamaya yönelik Azure Depolama güvenliği en iyi uygulamalarının bir koleksiyonu ele alınıyor. Bu en iyi yöntemler, Azure deneyimimizden ve sizin gibi müşterilerin deneyimlerinden türetilmiştir.
Azure, depolamayı şirket içinde kolayca ulaşılamayan yollarla dağıtmayı ve kullanmayı mümkün kılar. Azure depolama ile görece az çabayla yüksek düzeyde ölçeklenebilirlik ve kullanılabilirlik düzeyine ulaşabilirsiniz. Azure Depolama, Windows ve Linux Azure Sanal Makineler için temel oluşturmanın yanında büyük dağıtılmış uygulamaları da destekleyebilir.
Azure Depolama şu dört hizmeti sağlar: Blob depolama, Tablo depolama, Kuyruk depolama ve Dosya depolama. Daha fazla bilgi edinmek için bkz. Microsoft Azure Depolama giriş.
Bu makalede aşağıdaki en iyi yöntemler ele verilmiştir:
- Paylaşılan erişim imzaları (SAS)
- Azure rol tabanlı erişim denetimi (Azure RBAC)
- Yüksek değerli veriler için istemci tarafı şifrelemesi
- Depolama Hizmeti Şifrelemesi
Depolama hesabı anahtarı yerine paylaşılan erişim imzası kullanma
Erişim denetimi kritiktir. Azure Depolama'ya erişimi denetlemenize yardımcı olmak için, depolama hesabı oluşturduğunuzda Azure iki adet 512 bit depolama hesabı anahtarı (SDK) oluşturur. Anahtar yedekliliği düzeyi, rutin anahtar döndürme sırasında hizmet kesintilerini önlemenizi mümkün kılar.
Depolama erişim anahtarları yüksek öncelikli gizli dizilerdir ve yalnızca depolama erişim denetiminden sorumlu kişiler tarafından erişilebilir olmalıdır. Bu anahtarlara yanlış kişiler erişirse, depolama alanı tam denetime sahip olur ve dosyaları değiştirebilir, silebilir veya depolama alanına ekleyebilir. Buna kötü amaçlı yazılımlar ve kuruluşunuzun veya müşterilerinizin güvenliğini tehlikeye atabilecek diğer içerik türleri dahildir.
Depolamadaki nesnelere erişim sağlamak için yine de bir yönteme ihtiyacınız vardır. Daha ayrıntılı erişim sağlamak için paylaşılan erişim imzasından (SAS) yararlanabilirsiniz. SAS, önceden tanımlanmış bir zaman aralığı için ve belirli izinlerle depolamadaki belirli nesneleri paylaşmanızı mümkün kılar. Paylaşılan erişim imzası şunları tanımlamanızı sağlar:
- Sas'nin geçerli olduğu zaman aralığı (başlangıç saati ve süre sonu da dahil).
- SAS tarafından verilen izinler. Örneğin, bir blob üzerindeki SAS, kullanıcıya bu blob üzerinde okuma ve yazma izinleri verebilir, ancak silme izinlerini vermeyebilir.
- Azure Depolama'nın SAS'yi kabul ettiği isteğe bağlı bir IP adresi veya IP adresi aralığı. Örneğin, kuruluşunuza ait bir IP adresi aralığı belirtebilirsiniz. Bu, SAS'niz için başka bir güvenlik ölçüsü sağlar.
- Azure Depolama'nın SAS'yi kabul ettiği protokol. HTTPS kullanarak istemcilere erişimi kısıtlamak için bu isteğe bağlı parametreyi kullanabilirsiniz.
SAS, depolama hesabı anahtarlarınızı vermeden içeriği paylaşmak istediğiniz şekilde paylaşmanızı sağlar. Uygulamanızda her zaman SAS kullanmak, depolama hesabı anahtarlarınızdan ödün vermeden depolama kaynaklarınızı paylaşmanın güvenli bir yoludur.
Paylaşılan erişim imzası hakkında daha fazla bilgi edinmek için bkz . Paylaşılan erişim imzalarını kullanma.
Azure rol tabanlı erişim denetimini kullanma
Erişimi yönetmenin bir diğer yolu da Azure rol tabanlı erişim denetimini (Azure RBAC) kullanmaktır. Azure RBAC ile çalışanlara, güvenlik ilkelerini bilme ve en az ayrıcalık verme gereksinimine bağlı olarak tam olarak ihtiyaç duydukları izinleri vermeye odaklanırsınız. Çok fazla izin bir hesabı saldırganlara açıklayabilir. İzinlerin çok az olması, çalışanların işlerini verimli bir şekilde gerçekleştiremeyecekleri anlamına gelir. Azure RBAC, Azure için ayrıntılı erişim yönetimi sunarak bu sorunun giderilmesine yardımcı olur. Erişim denetimi, veri erişimi için güvenlik ilkelerini zorunlu kılmak isteyen kuruluşlar için zorunludur.
Kullanıcılara ayrıcalık atamak için Azure'daki yerleşik Azure rollerini kullanabilirsiniz. Örneğin, depolama hesaplarını yönetmesi gereken bulut operatörleri için Depolama Hesabı Katkıda Bulunanı'nı ve klasik depolama hesaplarını yönetmek için Klasik Depolama Hesabı Katkıda Bulunanı rolünü kullanın. VM'leri yönetmesi gereken ancak bağlı oldukları sanal ağı veya depolama hesabını yönetmeyen bulut operatörleri için, bunları Sanal Makine Katılımcısı rolüne ekleyebilirsiniz.
Azure RBAC gibi özellikleri kullanarak veri erişim denetimini zorunlu kılmayen kuruluşlar, kullanıcıları için gerekenden daha fazla ayrıcalık verebilir. Gerekenden daha fazla ayrıcalık, bazı kullanıcıların ilk etapta sahip olmamaları gereken verilere erişmesine izin vererek verilerin tehlikeye atılmasına neden olabilir.
Azure RBAC hakkında daha fazla bilgi edinmek için bkz:
- Azure portalı kullanarak Azure rolleri atama
- Azure yerleşik rolleri
- Blob depolama için güvenlik önerileri
Yüksek değerli veriler için istemci tarafı şifreleme kullanma
İstemci tarafı şifrelemesi, Azure Depolama'ya yüklemeden önce aktarımdaki verileri program aracılığıyla şifrelemenize ve verileri alırken program aracılığıyla şifre çözmenize olanak tanır. İstemci tarafı şifrelemesi, aktarımdaki verilerin şifrelenmesini sağlar, ancak bekleyen verilerin de şifrelenmesini sağlar. İstemci tarafı şifrelemesi, verilerinizi şifrelemenin en güvenli yöntemidir, ancak uygulamanızda programlı değişiklikler yapmanızı ve anahtar yönetim süreçlerini devreye sokmanızı gerektirir.
İstemci tarafı şifrelemesi, şifreleme anahtarlarınız üzerinde tek denetim sahibi olmanıza da olanak tanır. Kendi şifreleme anahtarlarınızı oluşturabilir ve yönetebilirsiniz. Azure depolama istemci kitaplığının daha sonra anahtar şifreleme anahtarı (KEK) kullanılarak sarmalanan (şifrelenmiş) bir içerik şifreleme anahtarı (CEK) oluşturduğu bir zarf tekniği kullanır. KEK bir anahtar tanımlayıcısı ile tanımlanır ve asimetrik anahtar çifti veya simetrik anahtar olabilir ve yerel olarak yönetilebilir veya Azure Key Vault'de depolanabilir.
İstemci tarafı şifreleme, Java ve .NET depolama istemci kitaplıkları içinde yerleşik olarak bulunur. İstemci uygulamalarındaki verileri şifreleme ve kendi şifreleme anahtarlarınızı oluşturma ve yönetme hakkında bilgi için bkz. İstemci tarafı şifreleme ve Microsoft Azure Depolama için Azure Key Vault.
Bekleyen veriler için Depolama Hizmeti Şifrelemesini etkinleştirme
Dosya depolama için Depolama Hizmeti Şifrelemesi etkinleştirildiğinde, veriler AES-256 şifrelemesi kullanılarak otomatik olarak şifrelenir. Tüm şifreleme, şifre çözme ve anahtar yönetimi Microsoft tarafından gerçekleştirilir. Bu özellik LRS ve GRS yedeklilik türleri için kullanılabilir.
Sonraki adımlar
Bu makalede PaaS web ve mobil uygulamalarınızın güvenliğini sağlamaya yönelik Azure Depolama güvenliği en iyi yöntemleri koleksiyonu tanıtıldı. PaaS dağıtımlarınızın güvenliğini sağlama hakkında daha fazla bilgi edinmek için bkz: