Güvenli yapılandırma için planlama konusunda dikkat edilmesi gerekenler

  • 5 dakika

Arc özellikli sunucuların dağıtımı, iş açısından kritik iş yüklerini işleyen birden çok ofisteki binlerce makineyi kapsayacak şekilde düşünüldüğünde, Wide World Importers için güvenlik en üst sırada yer alır. Güvenli bir dağıtım planlarken, kaynakların uyumluluğunu ve korunmasını sağlamak için erişim rollerini, ilkeleri ve ağı birlikte nasıl uygulayabileceğinizi göz önünde bulundurmanız önemlidir.

Azure Arc özellikli sunucular, tasarım gereği dikkatli şifreleme ve veri paylaşımı ile yerleşik güvenlik avantajlarından yararlanmakla kalmaz, aynı zamanda çeşitli ek güvenlik yapılandırmalarına da sahiptir. Güvenli bir dağıtım sağlamak için uygun erişim denetimlerini, idare altyapısını ve gelişmiş ağ seçeneklerini yapılandırarak Arc özellikli kaynaklar için etkili bir giriş bölgesi hazırlamanız gerekebilir. Bu ünitede şunları öğreneceksiniz:

  1. Rol tabanlı erişim denetimini (RBAC) yapılandırma: Azure Arc özellikli sunucuları yönetmek için kimlerin erişimi olduğunu ve diğer Azure hizmetlerinden verilerini görüntüleme özelliğini denetlemek için bir erişim planı geliştirin.

  2. Azure İlkesi idare planı geliştirme: Azure İlkesi ile abonelik veya kaynak grubu kapsamında karma sunucuların ve makinelerin idaresini nasıl uygulayabileceğinizi belirleyin.

  3. Gelişmiş Ağ seçenekleri'ni seçin: Arc özellikli sunucu dağıtımınız için Ara Sunucu veya Azure Özel Bağlantı gerekip gerekmediğini değerlendirin

Güvenli Kimlikler ve Erişim Denetimi

Azure Arc özellikli her sunucunun, Azure aboneliği içindeki bir kaynak grubunun parçası olarak yönetilen kimliği vardır. Bu kimlik, şirket içinde veya başka bir bulut ortamında çalışan sunucuyu temsil eder. Bu kaynağa erişim, standart Azure rol tabanlı erişim denetimi (RBAC) tarafından denetlenmektedir. Arc özellikli Sunucuya özgü iki rol, Azure Bağlan Makine Ekleme rolü ve Azure Bağlan Makine Kaynağı Yönetici istrator rolündendir.

Azure Bağlan makine ekleme rolü, büyük ölçekte ekleme için kullanılabilir ve Azure'da yalnızca Azure Arc özellikli yeni sunucuları okuyabilir veya oluşturabilir. Zaten kayıtlı sunucuları silemez veya uzantıları yönetemez. En iyi yöntem olarak, bu rolü yalnızca uygun ölçekte makineleri eklemek için kullanılan Microsoft Entra hizmet sorumlusuna atamanızı öneririz.

Azure Bağlan Makine Kaynağı Yönetici istrator rolüne sahip kullanıcılar bir makineyi okuyabilir, değiştirebilir, yeniden ekleyebilir ve silebilir. Bu rol, Azure Arc özellikli sunucuların yönetimini desteklemek için tasarlanmıştır, ancak kaynak grubu veya abonelikteki diğer kaynakları desteklemez.

Ayrıca Azure Bağlan ed Machine aracısı, Azure hizmetiyle iletişim kurmak için ortak anahtar kimlik doğrulamasını kullanır. Azure Arc'a bir sunucu eklediğinizde, diske özel bir anahtar kaydedilir ve aracı Azure ile iletişim kurarken kullanılır. Çalınırsa, özel anahtar hizmetle iletişim kurmak ve özgün sunucu gibi davranabilmek için başka bir sunucuda kullanılabilir. Bu, sistem tarafından atanan kimliğe ve bu kimliğin erişime sahip olduğu tüm kaynaklara erişim sağlamayı içerir. Özel anahtar dosyası yalnızca HI AVH hesabı erişiminin okumasına izin verecek şekilde korunur. Çevrimdışı saldırıları önlemek için, sunucunuzun işletim sistemi biriminde tam disk şifrelemesi (örneğin, BitLocker, dm-crypt vb.) kullanılmasını kesinlikle öneririz.

Azure İlkesi İdaresi

Azure İlkesi'ndeki Mevzuat Uyumluluğu, farklı uyumluluk standartlarıyla ilgili uyumluluk etki alanları ve güvenlik denetimleri için Microsoft tarafından oluşturulan, yönetilen ve yerleşik öğeler olarak bilinen girişim tanımlarını sağlar. Bazı Mevzuat Uyumluluğu Azure İlkeleri şunlardır:

  • ISM İLE KORUNAN Avustralya Kamu
  • Azure Güvenlik Karşılaştırması
  • Azure Güvenlik Karşılaştırması v1
  • Kanada Federal PBMM
  • CMMC Düzey 3
  • FedRAMP Yüksek
  • FedRAMP Moderate
  • HIPAA HITRUST 9.2
  • IRS 1075 Eylül 2016
  • ISO 27001:2013
  • Yeni Zelanda ISM Kısıtlı
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • UK OFFICIAL ve UK NHS

Azure Arc özellikli sunucuları bir kaynak grubuna dağıtmadan önce, denetim ve uyumluluk korumalarının yerinde olduğundan emin olmak için Azure İlkeleri'ni kaynak grubu, abonelik veya yönetim grubu düzeyinde ilgili düzeltme görevleriyle sistemsel olarak tanımlayabilir ve atayabilirsiniz.

Genel uç noktanın ötesinde, Azure Arc özellikli sunucular için diğer iki güvenli ağ seçeneği Ara Sunucu ve Azure Özel Bağlantı'dir.

Makineniz İnternet'e bağlanmak için bir ara sunucu üzerinden iletişim kuruyorsa, ara sunucu IP adresini veya makinenin ara sunucuyla iletişim kurmak için kullanacağı adı ve bağlantı noktası numarasını belirtebilirsiniz. Arc'a birden çok makine eklemek için bir betik oluştururken bu belirtimi doğrudan Azure portalında yapabilirsiniz.

Yüksek güvenlikli senaryolar için Azure Özel Bağlantı, özel uç noktaları kullanarak Azure PaaS hizmetlerini sanal ağınıza güvenli bir şekilde bağlamanıza olanak tanır. Birçok hizmet için, kaynak başına bir uç nokta ayarlamanız gerekir. Bu, şirket içi veya çok bulutlu sunucularınızı Azure Arc'a bağlayabileceğiniz ve tüm trafiği genel ağları kullanmak yerine bir Azure ExpressRoute veya siteden siteye VPN bağlantısı üzerinden gönderebileceğiniz anlamına gelir. Arc özellikli sunucularla Özel Bağlantı kullanarak şunları yapabilirsiniz:

  • Bağlan herhangi bir genel ağ erişimi açmadan Azure Arc'a özel olarak.
  • Azure Arc özellikli makine veya sunucudaki verilere yalnızca yetkili özel ağlar aracılığıyla erişildiğinden emin olun.
  • ExpressRoute ve Özel Bağlantı kullanarak özel şirket içi ağınızı Azure Arc'a güvenli bir şekilde bağlayın.
  • Tüm trafiği Microsoft Azure omurga ağı içinde tutun.

Illustration showing secure networking for Azure Arc-enabled servers through Azure Private Link.