Önceki

Sonraki

Özel ve hibrit bulut dağıtım modelleriyle kavramsal mimari tasarlama

Tamamlandı

Sınıflandırılmış iş yükleri için müşteriler Azure hizmetlerini kullanarak hedef iş yüklerinin güvenliğini sağlayabilir ve belirlenen riskleri azaltabilir. Azure Stack Hub ve Azure Stack Edge ile Azure, özel ve hibrit bulut dağıtım modellerini destekleyebilir ve hem sınıflandırılmamış hem de sınıflandırılmış veriler içeren birçok farklı kamu iş yükü için uygundur. Bu ünitede aşağıdaki veri sınıflandırması taksonomisi kullanılır: gizli, gizli ve çok gizli. Sınıflandırılmamış veriler, daha fazla koruma gerektirmediğinden bu taksonominin dışındadır. Benzer veri sınıflandırma düzenleri birçok ülkede/bölgede mevcuttur.

Bilgi grafiği, Azure desteği sınıflandırma düzeylerine karşılık gelen bir dizi eşmerkezli halkayı gösterir. Grafiğin hub'ı "Top Secret—Private/hybrid cloud" olarak etiketlenmiştir. Merkezden ikinci halka "Gizli" olarak, merkezden üçüncü halka "Gizli" ve merkezden dördüncü halka "Sınıflandırılmamış" olarak etiketlenmiştir. "Microsoft Azure" etiketli bir ok ikinci, üçüncü ve dördüncü halkalara (sırasıyla "Gizli", "Gizli" ve "Sınıflandırılmamış" olarak etiketlenmiştir) yayılır. Okun en üstünde bir Microsoft Azure simgesi bulunur.

Gizli verileri ve iş yüklerini dağıtma

Aşağıdaki liste, müşterilerin Azure'da gizli verileri ve iş yüklerini dağıtırken yararlı bulabileceği önemli etkinleştirme teknolojilerini ve hizmetlerini tanımlar:

• Sınıflandırılmamış veriler, özellikle de Sanal Ağ, Bulut için Microsoft Defender ve Azure İzleyici gibi hizmetler için önerilen tüm teknolojiler.
• Genel IP adresleri devre dışı bırakılarak yalnızca ExpressRoute ve Sanal Özel Ağ (VPN) ağ geçidi dahil olmak üzere özel bağlantılardan gelen trafiğe izin verir.
• Bekleyen ve aktarımdaki veri şifrelemesi, FIPS 140-2 Düzey 2 doğrulamasına sahip çok kiracılı donanım güvenlik modülleri (HSM) tarafından desteklenen Azure Key Vault'ta müşteri tarafından yönetilen anahtarlarla (CMK) önerilir.
• Yalnızca Sanal Ağ Tümleştirme seçeneklerini destekleyen hizmetler etkinleştirilir. Azure sanal ağı, müşterilerin Azure kaynaklarını İnternet'e yönlendirilemeyen bir ağa yerleştirmesine olanak tanır. Bu ağ daha sonra VPN teknolojileri kullanılarak müşteri şirket içi ağına bağlanabilir. Sanal Ağ Tümleştirmesi, web uygulamalarının sanal ağdaki kaynaklara erişmesini sağlar.
• Müşteriler sanal ağlarındaki özel uç nokta üzerinden Azure PaaS hizmetlerine erişmek için Azure Özel Bağlantı kullanabilir. Bu bağlantı, sanal ağları ile hizmet arasındaki trafiğin Microsoft genel omurga ağı üzerinden seyahat etmesini sağlar ve bu da hizmeti genel İnternet'e sunma gereksinimini ortadan kaldırır.
• Azure için Müşteri Kasası , müşterilerin destek senaryolarında müşteri verilerine yönelik yükseltilmiş erişim isteklerini onaylamasına/reddetmesine olanak tanır. Tam denetim günlüğü etkin olarak gelen Tam Zamanında (JIT) iş akışının bir uzantısıdır.

Azure genel çok kiracılı bulut özellikleri, müşterilerin gizli verileri depolamak için gereken yalıtım, güvenlik ve güvenilirlik düzeyine ulaşmasını sağlar. Müşteriler, güvenlik duruşu dahil olmak üzere Azure ortamlarına görünürlük sağlamak için Bulut için Microsoft Defender ve Azure İzleyici'yi kullanmalıdır.

Gizli dizi verilerini ve iş yüklerini dağıtma

Aşağıdaki liste, müşterilerin Azure'da gizli dizi verileri ve iş yüklerini dağıtırken yararlı bulabileceği önemli etkinleştirme teknolojilerini ve hizmetlerini tanımlar:

• Gizli veriler için kullanılan tüm önerilen teknolojiler.
• FIPS 140-2 Düzey 3 doğrulanmış HSM'leri kullanan bir hizmet olarak tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı bir HSM sağlayan Azure Key Vault Yönetilen HSM'yi kullanın. Her Yönetilen HSM örneği, müşteri tarafından denetlenen ayrı bir güvenlik etki alanına bağlıdır ve diğer müşterilere ait örneklerden şifreli olarak yalıtılır.
• Azure Ayrılmış Ana Bilgisayar , bir veya daha fazla Azure VM'sini barındırabilen ve bir Azure aboneliğine ayrılmış fiziksel sunucular sağlar. Müşteriler bir bölge, kullanılabilirlik alanı ve hata etki alanı içinde ayrılmış konaklar sağlayabilir. Daha sonra, gereksinimlerini en iyi karşılayan yapılandırmayı kullanarak VM'leri doğrudan ayrılmış konaklara yerleştirebilirler. Ayrılmış Ana Bilgisayar, fiziksel sunucu düzeyinde donanım yalıtımı sağlayarak müşterilerin Azure VM'lerini kurumsal uyumluluk gereksinimlerini karşılamak için yalnızca kuruluşlarının iş yüklerini çalıştıran yalıtılmış ve ayrılmış bir fiziksel sunucuya yerleştirmesine olanak sağlar.
• Azure SmartNIC'leri temel alan hızlandırılmış FPGA ağı, müşterilerin konak ağını ayrılmış donanıma boşaltmasına olanak tanıyarak sanal ağlar, güvenlik ve yük dengeleme için tünel oluşturma olanağı sağlar. Ağ trafiğini ayrılmış bir yongaya boşaltmak, ana CPU'da yan kanal saldırılarını önler.
• Azure gizli bilgi işlem , kullanımdayken verilerin şifrelenmesini sağlayarak verilerin her zaman müşteri denetimi altında olmasını sağlar. Veriler donanım tabanlı bir güvenilen yürütme ortamında (kapanım olarak da bilinir) korunur ve kapanım dışından verileri veya işlemleri görüntülemenin hiçbir yolu yoktur.
• Ağ güvenlik grubu (NSG) kuralları oluşturarak Azure VM'lerine gelen trafiği kilitlemek için tam zamanında (JIT) sanal makine (VM) erişimi kullanılabilir. Müşteri VM'de gelen trafiğe kilitlenmiş bağlantı noktalarını seçer. Kullanıcı vm'ye erişim istediğinde Bulut için Microsoft Defender kullanıcının uygun rol tabanlı erişim denetimi (RBAC) izinlerine sahip olduğunu denetler.

Azure genel çok kiracılı buluttaki gizli verileri barındırmak için müşteriler, gizli veriler için kullanılanlara ek olarak daha fazla teknoloji ve hizmet dağıtabilir. Ayrıca hizmetlerini yeterli yalıtım sağlayan hizmetlerle sınırlayabilirler. Bu hizmetler çalışma zamanında yalıtım seçenekleri sunar ve bekleyen veri şifrelemesini destekler. Yalnızca müşteri denetimi altında olan ayrılmış tek kiracılı HSM'lerde müşteri tarafından yönetilen anahtarları kullanırlar.

Çok gizli verileri ve iş yüklerini dağıtma

Aşağıdaki liste, müşterilerin Azure'da çok gizli verileri ve iş yüklerini dağıtırken yararlı bulabileceği anahtar etkinleştirme ürünlerini tanımlar:

• Gizli veriler için önerilen tüm teknolojileri kullanın.
• Azure Stack Hub , müşterilerin en yüksek sınıflandırma verileri için fiziksel olarak yalıtılmış bir ağa sahipken Azure'dakiyle aynı mimariyi ve API'leri kullanarak iş yüklerini çalıştırmasını sağlar.
• Azure Stack Edge , en yüksek sınıflandırma verilerinin depolanmasına ve işlenmesine olanak tanır, aynı zamanda müşterilerin elde edilen bilgileri veya modelleri doğrudan Azure'a yüklemesine olanak tanır. Bu yaklaşım, etki alanları arasında bilgi paylaşımı için daha kolay ve daha güvenli bir yol oluşturur.
• Taktiksel Azure Stack Hub ; sınırlı bağlantı, tam mobil gereksinimler, askeri belirtim çözümleri gerektiren zorlu koşullar vb. için taktik uç dağıtımlarını ele alır.
• Kullanıcı tarafından sağlanan donanım güvenlik modülleri (HSM' ler), müşterilerin şifreleme anahtarlarını ve diğer gizli dizilerini şirket içinde dağıtılan ve yalnızca müşteriler tarafından denetlenen HSM'lerde depolamasına olanak tanır.

Çok gizli verileri kabul etmek için genellikle Azure Stack Hub'ın sağladığı gibi bağlantısı kesilmiş bir ortam gerekir. Azure Stack Hub' ın Azure veya İnternet bağlantısı kesilebilir. "Hava erişimli" ağlar güvenliği artırmak zorunda olmasa da, birçok devlet bu sınıflandırmaya sahip verileri İnternet'e bağlı bir ortamda depolamak istemiyor olabilir. Azure, her müşterinin verilerinin denetimiyle ilgili endişelerini gidermek için benzersiz bir genel, özel ve hibrit bulut dağıtım modeli sunar.

Şimdi bilgi kontrolüyle öğrendiklerini gözden geçirelim.

Devam et