Depolama Hesapları ve operasyonel mükemmellik
Azure Depolama Hesapları , hızlı ve tutarlı yanıt süreleri gerektiren veya saniyede yüksek sayıda giriş çıkışı (IOP) işlemine sahip iş yükleri için idealdir. Depolama hesapları, aşağıdakiler dahil tüm Azure Depolama veri nesnelerinizi içerir:
- Bloblar
- Dosya paylaşımları
- Kuyruklar
- Tablolar
- Diskler
Depolama hesapları, verileriniz için veya HTTPSüzerinden HTTP her yerden erişilebilen benzersiz bir ad alanı sağlar.
Farklı özellikleri destekleyen farklı depolama hesabı türleri hakkında daha fazla bilgi için bkz. Depolama hesabı türleri.
Azure depolama hesabının iş yükünüz için operasyonel mükemmelliği nasıl destekleyebileceğinizi anlamak için aşağıdaki makalelere bakın:
- İzleme Azure Blob Depolama için en iyi yöntemler
- Günlükleri ve ölçüm verilerini toplamak için Azure Depolama analizini kullanma
- Azure Depolama analizini günlüğe kaydetme
Aşağıdaki bölümlerde tasarım konuları, yapılandırma denetim listesi ve Azure depolama hesaplarına özgü önerilen yapılandırma seçenekleri ve operasyonel mükemmellik yer alır.
Tasarım konusunda dikkat edilmesi gerekenler
Azure depolama hesapları aşağıdaki tasarım konularını içerir:
Genel amaçlı v1 depolama hesapları tüm Azure Depolama hizmetlerine erişim sağlar, ancak en son özelliklere veya gigabayt başına daha düşük fiyatlandırmaya sahip olmayabilir. Çoğu durumda genel amaçlı v2 depolama hesaplarının kullanılması önerilir. v1'i kullanmanın nedenleri şunlardır:
- Uygulamalar için klasik dağıtım modeli gerekir.
- Uygulamalar yoğun işlem kullanır veya önemli coğrafi çoğaltma bant genişliği kullanır, ancak büyük kapasite gerektirmez.
- 14 Şubat 2014'ten önceki bir Depolama Hizmeti REST API'sinin veya sürümünden
4.xönceki bir sürüme sahip bir istemci kitaplığının kullanılması gerekir. Uygulama yükseltmesi mümkün değildir.
Daha fazla bilgi için Depolama hesabına genel bakış bölümüne bakın.
- Depolama hesabı adları üç ile 24 karakter arasında olmalıdır ve yalnızca sayı ve küçük harf içerebilir.
- Geçerli SLA belirtimleri için Depolama Hesapları için SLA'ya başvurun.
- Belirli bir senaryo için en uygun yedeklilik seçeneğini belirlemek için Azure Depolama yedekliliği'ne gidin.
- Depolama hesabı adları Azure içinde benzersiz olmalıdır. İki depolama hesabı aynı ada sahip olamaz.
Denetim Listesi
Azure Depolama Hesabınızı operasyonel mükemmelliği göz önünde bulundurarak yapılandırdınız mı?
- Tüm depolama hesaplarınız için Azure Defender'i etkinleştirin.
- Blob verileri için geçici silmeyi açın.
- Blob verilerine erişimi yetkilendirmek için Microsoft Entra kimliğini kullanın.
- Azure RBAC aracılığıyla bir Microsoft Entra güvenlik sorumlusuna izin atarken en az ayrıcalık ilkesini göz önünde bulundurun.
- Blob ve kuyruk verilerine erişmek için yönetilen kimlikleri kullanın.
- İş açısından kritik verileri depolamak için blob sürümü oluşturma veya sabit bloblar kullanın.
- Depolama hesapları için varsayılan İnternet erişimini kısıtlayın.
- Güvenlik duvarı kurallarını etkinleştirin.
- Ağ erişimini belirli ağlara sınırlayın.
- Güvenilen Microsoft hizmetlerinin depolama hesabına erişmesine izin verin.
- Tüm depolama hesaplarınızda Güvenli aktarım gerekli seçeneğini etkinleştirin.
- Paylaşılan erişim imzası (SAS) belirteçlerini
HTTPSyalnızca bağlantılarla sınırlayın. - Depolama hesaplarına erişmek için Paylaşılan Anahtar yetkilendirmesini kullanmaktan kaçının ve bunu engelleyin.
- Hesap anahtarlarınızı düzenli aralıklarla yeniden oluşturun.
- Bir iptal planı oluşturun ve istemcilere yayımladığınız tüm SAS'ler için bu planı uygulayın.
- Ani bir SAS, hizmet SAS veya hesap SAS'sinde yakın vadeli süre sonu süreleri kullanın.
Yapılandırma önerileri
Azure Depolama Hesabınızı yapılandırırken operasyonel mükemmelliği iyileştirmek için aşağıdaki önerileri göz önünde bulundurun:
| Öneri | Description |
|---|---|
| Tüm depolama hesaplarınız için Azure Defender'i etkinleştirin. | Azure Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir güvenlik zekası katmanı sağlar. Etkinlikteki anomaliler oluştuğunda güvenlik uyarıları Azure Güvenlik Merkezi tetiklenir. Uyarılar ayrıca, şüpheli etkinliklerin ayrıntıları ve tehditleri araştırma ve düzeltme önerileriyle birlikte abonelik yöneticilerine e-postayla gönderilir. Daha fazla bilgi için bkz. Azure Depolama için Azure Defender'ı yapılandırma. |
| Blob verileri için geçici silmeyi açın. | Azure Depolama blobları için geçici silme , blob verileri silindikten sonra kurtarmanıza olanak tanır. |
| Blob verilerine erişimi yetkilendirmek için Microsoft Entra kimliğini kullanın. | Microsoft Entra Kimliği, blob depolamaya yönelik istekleri yetkilendirmek için Paylaşılan Anahtar üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Paylaşılan Anahtar'da bulunan olası güvenlik açıklarını en aza indirmek için mümkün olduğunda blob ve kuyruk uygulamalarınızla Microsoft Entra yetkilendirme kullanmanız önerilir. Daha fazla bilgi için bkz. Microsoft Entra kimliğini kullanarak Azure bloblarına ve kuyruklarına erişimi yetkilendirme. |
| Azure RBAC aracılığıyla bir Microsoft Entra güvenlik sorumlusuna izin atarken en az ayrıcalık ilkesini göz önünde bulundurun. | Bir kullanıcı, grup veya uygulamaya rol atarken, bu güvenlik sorumlusuna yalnızca görevlerini tamamlaması için gereken izinleri verin. Kaynaklara erişimi sınırlamak, verilerinizin hem kasıtsız hem de kötü amaçlı kötüye kullanımını önlemeye yardımcı olur. |
| Blob ve kuyruk verilerine erişmek için yönetilen kimlikleri kullanın. | Azure Blob ve Kuyruk depolama, Azure kaynakları için yönetilen kimliklerle Microsoft Entra kimlik doğrulamasını destekler. Azure kaynakları için yönetilen kimlikler, Azure sanal makinelerinde (VM), işlev uygulamalarında, sanal makine ölçek kümelerinde ve diğer hizmetlerde çalışan uygulamalardan Microsoft Entra kimlik bilgilerini kullanarak blob ve kuyruk verilerine erişim yetkisi verebilir. Azure kaynakları için yönetilen kimlikleri Microsoft Entra kimlik doğrulamasıyla birlikte kullanarak, kimlik bilgilerini bulutta çalışan uygulamalarınızla depolamaktan ve süresi dolan hizmet sorumlularıyla ilgili sorunlardan kaçınabilirsiniz. Daha fazla bilgi için Bkz. Azure kaynakları için yönetilen kimliklerle blob ve kuyruk verilerine erişimi yetkilendirme . |
| İş açısından kritik verileri depolamak için blob sürümü oluşturma veya sabit bloblar kullanın. | Blob verilerini WORM (Bir Kez Yaz, Çok Oku) durumunda depolamak için nesnenin önceki sürümlerini korumak veya yasal tutmalar ve zamana bağlı saklama ilkeleri kullanmak için Blob sürümü oluşturmayı kullanmayı göz önünde bulundurun. Sabit bloblar okunabilir, ancak saklama süresi boyunca değiştirilemez veya silinemez. Daha fazla bilgi için bkz . Sabit depolama ile iş açısından kritik blob verilerini depolama. |
| Depolama hesapları için varsayılan İnternet erişimini kısıtlayın. | Varsayılan olarak, Depolama Hesaplarına ağ erişimi kısıtlanmaz ve İnternet'ten gelen tüm trafiğe açıktır. Depolama hesaplarına erişim yalnızca mümkün olduğunda belirli Azure Sanal Ağlarına verilmelidir veya sanal ağdaki (VNet) istemcilerin bir Özel Bağlantı üzerinden verilere güvenli bir şekilde erişmesine izin vermek için özel uç noktalar kullanılmalıdır. Daha fazla bilgi için Bkz. Azure Depolama için özel uç noktaları kullanma . İnternet üzerinden erişilebilir olması gereken Depolama Hesapları için özel durumlar oluşturulabilir. |
| Güvenlik duvarı kurallarını etkinleştirin. | Depolama hesabınıza erişimi, belirtilen IP adreslerinden veya aralıklardan veya Azure Sanal Ağ (VNet) alt ağ listesinden kaynaklanan isteklerle sınırlandırmak için güvenlik duvarı kurallarını yapılandırın. Güvenlik duvarı kurallarını yapılandırma hakkında daha fazla bilgi için Bkz. Azure Depolama güvenlik duvarlarını ve sanal ağlarını yapılandırma. |
| Ağ erişimini belirli ağlara sınırlayın. | Ağ erişiminin erişim gerektiren istemcileri barındıran ağlarla sınırlandırılması, yerleşik Güvenlik Duvarı ve sanal ağlar işlevselliğini veya özel uç noktaları kullanarak kaynaklarınızın ağ saldırılarına maruz kalmasını azaltır. |
| Güvenilen Microsoft hizmetlerinin depolama hesabına erişmesine izin verin. | İstekler bir Azure Sanal Ağ (VNet) içinde çalışan bir hizmetten veya izin verilen genel IP adreslerinden gelmediği sürece, depolama hesapları için güvenlik duvarı kurallarının açılması varsayılan olarak gelen veri isteklerini engeller. Engellenen istekler, diğer Azure hizmetlerinden, Azure portal, günlüğe kaydetme ve ölçüm hizmetlerinden vb. gelen istekleri içerir. Güvenilen Microsoft hizmetlerinin depolama hesabına erişmesine izin vermek için bir özel durum ekleyerek diğer Azure hizmetlerinden gelen isteklere izin vekleyebilirsiniz. Güvenilen Microsoft hizmetleri için özel durum ekleme hakkında daha fazla bilgi için Bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma. |
| Tüm depolama hesaplarınızda Güvenli aktarım gerekli seçeneğini etkinleştirin. | Güvenli aktarım gerekli seçeneğini etkinleştirdiğinizde, depolama hesabından yapılan tüm isteklerin güvenli bağlantılar üzerinden gerçekleşmesi gerekir. HTTP üzerinden yapılan istekler başarısız olur. Daha fazla bilgi için Bkz. Azure Depolama'da güvenli aktarım gerektir. |
Paylaşılan erişim imzası (SAS) belirteçlerini HTTPS yalnızca bağlantılarla sınırlayın. |
HTTPS İstemcinin blob verilerine erişmek için SAS belirteci kullanması gerektiğinde, dinleme riskini en aza indirmeye yardımcı olur. Daha fazla bilgi için bkz. Paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme. |
| Depolama hesaplarına erişmek için Paylaşılan Anahtar yetkilendirmesini kullanmaktan kaçının ve bunu engelleyin. | Azure Depolama'ya yönelik istekleri yetkilendirmek ve Paylaşılan Anahtar Yetkilendirmesini önlemek için Microsoft Entra kimliğini kullanmanız önerilir. Paylaşılan Anahtar yetkilendirmesi gerektiren senaryolar için, Paylaşılan Anahtarı dağıtmak yerine her zaman SAS belirteçlerini tercih edin. |
| Hesap anahtarlarınızı düzenli aralıklarla yeniden oluşturun. | Hesap anahtarlarının düzenli aralıklarla döndürülmesi, verilerinizi kötü amaçlı aktörlere ifşa etme riskini azaltır. |
| Bir iptal planı oluşturun ve istemcilere yayımladığınız tüm SAS'ler için bu planı uygulayın. | Bir SAS'nin güvenliği aşılırsa, bu SAS'yi hemen iptal etmek istersiniz. Kullanıcı temsilcisi SAS'sini iptal etmek için kullanıcı temsilcisi anahtarını iptal edin ve bu anahtarla ilişkili tüm imzaları hızla geçersiz kılın. Depolanmış erişim ilkesiyle ilişkili bir hizmet SAS'sini iptal etmek için, depolanan erişim ilkesini silebilir, ilkeyi yeniden adlandırabilir veya süre sonu süresini geçmişteki bir zamana değiştirebilirsiniz. |
| Ani bir SAS, hizmet SAS veya hesap SAS'sinde yakın vadeli süre sonu süreleri kullanın. | SAS'nin güvenliği aşılırsa, bu yalnızca kısa bir süre için geçerlidir. Depolanmış erişim ilkesine başvuramıyorsanız bu uygulama özellikle önemlidir. Yakın vadeli süre sonu süreleri, bloba yüklenebilecek süreyi sınırlayarak bloba yazılabilecek veri miktarını da sınırlar. İSTEMCIler, SAS'yi sağlayan hizmet kullanılamıyorsa yeniden denemelere zaman tanıyacak şekilde, süre dolmadan önce SAS'yi yenilemelidir. |
Sonraki adım
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin