Azure Depolama güvenlik özelliklerini keşfedin
Contoso, Azure Depolama’da yer alan çok büyük miktarda veriyi kullanmaktadır. Birçok uygulamada bloblar, yapılandırılmamış tablo depolama alanı, Azure Data Lake ve Sunucu İleti Bloğu (SMB) tabanlı dosya paylaşımı kullanılmaktadır.
Contoso'nun rakiplerinden biri veri ihlali durumuyla karşı karşıya kaldıktan sonra Contoso da ağ yöneticisine kuruluşun veri güvenliğini denetleme görevini vermiştir. Contoso'nun veri danışmanı olarak ağ yöneticisine Azure Depolama hesaplarının buluttaki veriler için birçok farklı üst düzey güvenlik avantajına sahip olduğunu ifade edebilirsiniz:
- Bekleyen verileri koruma
- Aktarılan verileri koruma
- Etki alanları arası tarayıcı erişimini destekleme
- Verilere kimlerin erişebileceğini denetleme
- Depolama erişimini denetleme
Bekleme sırasında şifreleme
Azure Depolama’ya yazılan tüm veriler Depolama Hizmeti Şifrelemesi (SSE) kullanılarak 256 bit Gelişmiş Şifreleme Standardı (AES) şifreleme ile otomatik olarak şifrelenir ve FIPS 140-2 ile uyumludur. SSE, verileri Azure Depolama’ya yazarken otomatik olarak şifreler. Azure Depolama'daki verileri okuduğunuzda veriler döndürülmeden önce şifresi Azure Depolama tarafından çözülür. Bu işlem ücretlendirmeye veya performansa etki etmez. Devre dışı bırakılamaz.
Azure, sanal makinelerin (VM) sanal sabit disklerini (VHD) Azure Disk Şifrelemesi ile şifrelemenizi sağlar. Bu şifrelemede Windows görüntüleri için BitLocker kullanılır ve Linux için dm-crypt kullanılır.
Azure Key Vault, disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için anahtarları otomatik olarak depolar. Bu sayede yetkisiz kişiler VHD görüntüsüne erişip onu indirse dahi VHD içindeki verilere erişemez.
Aktarım sırasında şifreleme
Taşıma düzeyinde güvenlik özelliğini etkinleştirerek verilerinizin Azure ile istemci arasında aktarılırken güvenli kalmasını sağlayabilirsiniz. Genel internet üzerinden gerçekleştirilen iletişimi güvenli hale getirmek için her zaman HTTPS kullanın. Depolama hesabınızdaki nesnelere erişmek için REST API'lerini çağırdığınızda depolama hesabınız için güvenli aktarım kullanarak HTTPS kullanımını zorunlu hale getirebilirsiniz. Güvenli aktarımı etkinleştirdiğinizde HTTP kullanan bağlantılar reddedilir. Bu bayrak tüm dosya paylaşımı bağlamaları için SMB 3.0 kullanılmasını gerektirerek SMB üzerinden güvenli aktarımı da zorunlu hale getirir.
CORS desteği
Contoso, Azure Depolama’da birden fazla web sitesi varlık türünü depoluyor. Bunların arasında görüntüler ve videolar da var. Contoso, tarayıcı uygulamalarını güvenli hale getirmek için GET isteklerini belirli etki alanlarıyla kilitliyor.
Azure Depolama, çıkış noktaları arası kaynak paylaşımı (CORS) aracılığıyla etki alanları arası erişimi destekler. CORS, bir etki alanındaki web uygulamasının farklı bir etki alanındaki sunucudan kaynaklara erişmesini sağlayan HTTP üst bilgileri kullanır. CORS kullanarak web uygulamaları yalnızca yetkili kaynaklardan içerik yüklediklerinden emin olabilir.
CORS desteği, Depolama hesaplarında etkinleştirebileceğiniz isteğe bağlı bir bayraktır. Bu bayrak, Depolama hesabındaki kaynakları almak için HTTP GET isteklerini kullandığınızda uygun üst bilgileri ekler.
Rol tabanlı erişim denetimi
Bir depolama hesabındaki verilere erişmek için istemci HTTP veya HTTPS üzerinden bir istek gönderir. Güvenli bir kaynağa yönelik her isteğin yetkilendirilmesi gerekir. Hizmet, istemcinin verilere erişmek için gerekli izinlere sahip olduğundan emin olur. Farklı erişim seçeneklerinden birini kullanabilirsiniz. En esnek seçenek muhtemelen rol tabanlı erişimdir.
Azure Depolama, hem kaynak yönetimi hem de veri işlemleri için Microsoft Entra Kimliğini ve rol tabanlı erişim denetimini (RBAC) destekler. Güvenlik sorumluları için, depolama hesabı kapsamındaki RBAC rollerini atayabilirsiniz. Yapılandırma gibi kaynak yönetimi işlemlerini yetkilendirmek için Active Directory'yi kullanabilirsiniz. Active Directory, Blob ve Kuyruk depolamadaki veri işlemleri için desteklenir.
Bir abonelik, kaynak grubu, depolama hesabı veya tek bir kapsayıcı veya kuyruk kapsamındaki Azure kaynakları için bir güvenlik sorumlusuna veya yönetilen kimliğe RBAC rolleri atayabilirsiniz.
Erişimi denetleme
Denetim, erişimi kontrol etmenin aşamalarından biridir. Azure Depolama erişimini denetlemek için yerleşik Depolama Analizi hizmetinden faydalanabilirsiniz.
Depolama Analizi her işlemi gerçek zamanlı olarak günlüğe kaydeder. Depolama Analizi günlüklerinde belirli istekler için arama yapabilirsiniz. Kimlik doğrulama mekanizmasına, işlemin başarısına veya erişilen kaynağa göre filtreleyebilirsiniz.