Güvenli yapılandırma için planlamada dikkat edilmesi gerekenler

Tamamlandı

Arc özellikli sunucuların dağıtımının, iş açısından kritik iş yüklerini işleyen birden çok ofis genelinde binlerce makineyi kapsayacağı düşünüldüğünde, Geniş Dünya İthalatçıları için güvenlik önem taşır. Güvenli bir dağıtım planlarken, kaynakların uyumluluğunu ve korumasını sağlamak için erişim rollerinin, ilkelerin ve ağın nasıl birlikte uygulanabileceğini göz önünde bulundurmanız önemlidir.

Azure Arc özellikli sunucular, tasarım gereği dikkatli şifreleme ve veri paylaşımı ile yerleşik güvenlikten yararlanmakla kalmaz, aynı zamanda bir dizi ek güvenlik yapılandırmasına da sahiptir. Güvenli bir dağıtım sağlamak için uygun erişim denetimlerini, idare altyapısını ve gelişmiş ağ seçeneklerini yapılandırarak Arc özellikli kaynaklar için etkili bir giriş bölgesi hazırlamanız gerekebilir. Bu ünitede şunu öğreneceksiniz:

  1. Rol tabanlı erişim denetimini (RBAC) yapılandırma: Azure Arc özellikli sunucuları yönetmek için kimlerin erişimi olduğunu ve diğer Azure hizmetlerinden verilerini görüntüleme özelliğini denetlemek için bir erişim planı geliştirin.

  2. Azure İlkesi idare planı geliştirme: Azure İlkesi ile abonelik veya kaynak grubu kapsamında karma sunucuların ve makinelerin idaresini nasıl uygulayabileceğinizi belirleyin.

  3. Gelişmiş Ağ seçenekleri'ni seçin: Arc özellikli sunucu dağıtımınız için Ara Sunucu veya Azure Özel Bağlantı gerekip gerekmediğini değerlendirin

Güvenli Kimlikler ve Access Control

Azure Arc özellikli her sunucunun, azure aboneliği içindeki bir kaynak grubunun parçası olarak yönetilen bir kimliği vardır. Bu kimlik, şirket içinde veya başka bir bulut ortamında çalışan sunucuyu temsil eder. Bu kaynağa erişim, standart Azure rol tabanlı erişim denetimi (RBAC) tarafından denetlenmektedir. Arc özellikli sunucuya özgü iki rol, Azure Bağlı Makine Ekleme rolü ve Azure Bağlı Makine Kaynak Yöneticisi rolü'lerdir.

Azure Connected Machine Onboarding rolü, büyük ölçekte ekleme için kullanılabilir ve yalnızca Azure'da yeni Azure Arc özellikli sunucuları okuyabilir veya oluşturabilir. Zaten kayıtlı sunucuları silmek veya uzantıları yönetmek için kullanılamaz. En iyi uygulama olarak, bu rolü yalnızca uygun ölçekte makineleri eklemek için kullanılan Azure Active Directory (Azure AD) hizmet sorumlusuna atamanızı öneririz.

Azure Bağlı Makine Kaynak Yöneticisi rolünün üyesi olan kullanıcılar bir makineyi okuyabilir, değiştirebilir, yeniden ekleyebilir ve silebilir. Bu rol, Azure Arc özellikli sunucuların yönetimini destekleyecek şekilde tasarlanmıştır, ancak kaynak grubu veya abonelikteki diğer kaynakları desteklemez.

Ayrıca Azure Connected Machine aracısı, Azure hizmetiyle iletişim kurmak için ortak anahtar kimlik doğrulamasını kullanır. Azure Arc'a bir sunucu ekledikten sonra diske özel bir anahtar kaydedilir ve aracı Azure ile her iletişim kurarken kullanılır. Çalınırsa, özel anahtar hizmetle iletişim kurmak ve özgün sunucu gibi davranabilmek için başka bir sunucuda kullanılabilir. Bu, sistem tarafından atanan kimliğe ve kimliğin erişimi olan tüm kaynaklara erişim sağlamayı içerir. Özel anahtar dosyası yalnızca HIMDS hesabı erişiminin okumasına izin verecek şekilde korunur. Çevrimdışı saldırıları önlemek için, sunucunuzun işletim sistemi biriminde tam disk şifrelemesi (örneğin, BitLocker, dm-crypt vb.) kullanılmasını kesinlikle öneririz.

Azure İlkesi İdaresi

Azure İlkesi'ndeki Mevzuat Uyumluluğu, farklı uyumluluk standartlarıyla ilgili uyumluluk etki alanları ve güvenlik denetimleri için Microsoft tarafından oluşturulan, yönetilen ve yerleşik öğeler olarak bilinen girişim tanımlarını sağlar. Bazı Mevzuat Uyumluluğu Azure İlkeleri şunlardır:

  • ISM İLE KORUNAN Avustralya Kamu
  • Azure Güvenlik Karşılaştırması
  • Azure Güvenlik Karşılaştırması v1
  • Kanada Federal PBMM
  • CMMC Düzey 3
  • FedRAMP High
  • FedRAMP Moderate
  • HIPAA HITRUST 9.2
  • IRS 1075 Eylül 2016
  • ISO 27001:2013
  • Yeni Zelanda ISM Kısıtlı
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • UK OFFICIAL ve UK NHS

Azure Arc özellikli sunucuları bir kaynak grubuna dağıtmadan önce, denetim ve uyumluluk korumalarının uygulandığından emin olmak için Azure İlkelerini sistemsel olarak kaynak grubu, abonelik veya yönetim grubu düzeyinde ilgili düzeltme görevleriyle tanımlayabilir ve atayabilirsiniz.

Genel uç noktanın ötesinde, Azure Arc özellikli sunucular için iki diğer güvenli ağ seçeneği Proxy Server ve Azure Özel Bağlantı'dir.

Makineniz İnternet'e bağlanmak için bir ara sunucu üzerinden iletişim kuruyorsa, ara sunucu IP adresini veya makinenin ara sunucuyla iletişim kurmak için kullanacağı adı ve bağlantı noktası numarasını belirtebilirsiniz. Bu belirtim, Arc'a birden çok makine eklemek için bir betik oluşturulurken doğrudan Azure portal yapılabilir.

Yüksek güvenlik senaryoları için Azure Özel Bağlantı, özel uç noktaları kullanarak Azure PaaS hizmetlerini sanal ağınıza güvenli bir şekilde bağlamanıza olanak tanır. Birçok hizmet için kaynak başına bir uç nokta ayarlamanız gerekir. Bu, şirket içi veya çok bulutlu sunucularınızı Azure Arc'a bağlayabileceğiniz ve genel ağları kullanmak yerine tüm trafiği bir Azure ExpressRoute veya siteden siteye VPN bağlantısı üzerinden gönderebileceğiniz anlamına gelir. Arc özellikli sunucularla Özel Bağlantı kullanarak şunları yapabilirsiniz:

  • Genel ağ erişimi açmadan Azure Arc'a özel olarak bağlanın.
  • Azure Arc özellikli makine veya sunucudaki verilere yalnızca yetkili özel ağlar üzerinden erişildiğinden emin olun.
  • ExpressRoute ve Özel Bağlantı kullanarak özel şirket içi ağınızı Azure Arc'a güvenli bir şekilde bağlayın.
  • Tüm trafiği Microsoft Azure omurga ağı içinde tutun.

Azure Özel Bağlantı aracılığıyla Azure Arc özellikli sunucular için güvenli ağı gösteren çizim.