Azure Veri Gezgini'de güvenlik
Bu makalede, buluttaki verilerinizi ve kaynaklarınızı korumanıza ve işletmenizin güvenlik gereksinimlerini karşılamanıza yardımcı olmak için Azure Veri Gezgini güvenliğine giriş bilgileri sağlanmaktadır. Kümelerinizin güvenliğini sağlamak önemlidir. Kümelerinizin güvenliğini sağlamak, güvenli erişim ve depolama içeren bir veya daha fazla Azure özelliği içerir. Bu makalede kümenizin güvenliğini sağlamanıza yardımcı olacak bilgiler sağlanır.
İşletmeniz veya kuruluşunuz için uyumlulukla ilgili daha fazla kaynak için Azure uyumluluk belgelerine bakın.
Ağ güvenliği
Ağ güvenliği, güvenlik bilincine sahip kurumsal müşterilerimiz tarafından paylaşılan bir gereksinimdir. Amaç, ağ trafiğini yalıtmak ve Azure Veri Gezgini ve ilgili iletişimler için saldırı yüzeyini sınırlamaktır. Bu nedenle Azure dışı Veri Gezgini ağ kesimlerinden kaynaklanan trafiği engelleyebilir ve yalnızca bilinen kaynaklardan gelen trafiğin Azure Veri Gezgini uç noktalarına ulaşmasını sağlayabilirsiniz. Bu, şirket içinde veya Azure dışından gelen ve Azure hedefi olan ve tam tersi olan trafiği içerir. Azure Veri Gezgini bu hedefe ulaşmak için aşağıdaki özellikleri destekler:
- Özel uç nokta (önerilen)
- Sanal ağ (VNet) ekleme
Kümenize ağ erişiminin güvenliğini sağlamak için özel uç noktaları kullanmanızı kesinlikle öneririz. Bu seçeneğin sanal ağ eklemeye kıyasla daha basit bir dağıtım işlemi ve sanal ağ değişikliklerine karşı daha sağlam olması da dahil olmak üzere daha düşük bakım yüküne neden olan birçok avantajı vardır.
Kimlik ve erişim denetimi
Rol tabanlı erişim denetimi
Görevleri ayrıştırmak ve küme kullanıcılarına yalnızca gerekli erişimi vermek için rol tabanlı erişim denetimini (RBAC) kullanın. Kümede herkese sınırsız izin vermek yerine, yalnızca belirli rollere atanan kullanıcıların belirli eylemleri gerçekleştirmesine izin vekleyebilirsiniz. Azure CLI veya Azure PowerShell kullanarak Azure portalındaki veritabanları için erişim denetimini yapılandırabilirsiniz.
Azure kaynakları için yönetilen kimlikler
Bulut uygulamaları oluştururken karşılaşılan yaygın bir zorluk, bulut hizmetlerinde kimlik doğrulaması yapmak için kodunuzdaki kimlik bilgileri yönetimidir. Kimlik bilgilerinin güvenlik altında tutulması önemli bir görevdir. Kimlik bilgileri geliştirici iş istasyonlarında depolanmamalı veya kaynak denetimine alınmamalıdır. Azure Key Vault kimlik bilgilerini, gizli dizileri ve diğer anahtarları güvenle depolamak için bir yol sağlar, ama bunları alabilmek için kodunuzun Key Vault'ta kimlik doğrulaması yapması gerekir.
Azure kaynakları için Microsoft Entra yönetilen kimlikleri özelliği bu sorunu çözer. Bu özellik, Azure hizmetlerine Microsoft Entra ID'de otomatik olarak yönetilen bir kimlik sağlar. Kodunuzda hiçbir kimlik bilgisi olmadan Key Vault dahil olmak üzere Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapmak için kimliği kullanabilirsiniz. Bu hizmet hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimliklere genel bakış sayfası.
Veri koruması
Azure disk şifrelemesi
Azure Disk Şifrelemesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizi korumaya ve korumaya yardımcı olur. Kümenizin sanal makinelerinin işletim sistemi ve veri diskleri için birim şifrelemesi sağlar. Azure Disk Şifrelemesi ile de tümleşir Azure Key Vault, disk şifreleme anahtarlarını ve gizli dizilerini denetlememize ve yönetmemize ve VM disklerindeki tüm verilerin şifrelendiğinden emin olmamıza olanak tanır.
Azure Key Vault ile müşteri tarafından yönetilen anahtarlar
Varsayılan olarak, veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde ek denetim için, veri şifrelemesi için kullanılacak müşteri tarafından yönetilen anahtarlar sağlayabilirsiniz. Verilerinizin şifrelemesini depolama düzeyinde kendi anahtarlarınızla yönetebilirsiniz. Müşteri tarafından yönetilen anahtar, tüm verileri şifrelemek ve şifresini çözmek için kullanılan kök şifreleme anahtarına erişimi korumak ve denetlemek için kullanılır. Müşteri tarafından yönetilen anahtarlar erişim denetimleri oluşturmak, döndürmek, devre dışı bırakmak ve iptal etmek için daha fazla esneklik sunar. Verilerinizi korumak için kullanılan şifreleme anahtarlarını da denetleyebilirsiniz.
Müşteri tarafından yönetilen anahtarlarınızı depolamak için Azure Key Vault'ı kullanın. Kendi anahtarlarınızı oluşturup bir anahtar kasasında depolayabilir veya anahtar oluşturmak için Azure Key Vault API'sini kullanabilirsiniz. Azure Veri Gezgini kümesi ve Azure Key Vault aynı bölgede olmalıdır, ancak farklı aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi için bkz . Azure Key Vault nedir?. Müşteri tarafından yönetilen anahtarlar hakkında ayrıntılı bir açıklama için bkz . Azure Key Vault ile müşteri tarafından yönetilen anahtarlar. Portal, C#, Azure Resource Manager şablonu, CLI veya PowerShell kullanarak Azure Veri Gezgini kümenizde müşteri tarafından yönetilen anahtarları yapılandırın.
Not
Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID'nin bir özelliği olan Azure kaynakları için yönetilen kimlikleri kullanır. Azure portalında müşteri tarafından yönetilen anahtarları yapılandırmak için, Azure Veri Gezgini kümeniz için yönetilen kimlikleri yapılandırma bölümünde açıklandığı gibi kümenize yönetilen kimlik yapılandırın.
Müşteri tarafından yönetilen anahtarları Azure Key Vault'ta depolama
Bir kümede müşteri tarafından yönetilen anahtarları etkinleştirmek için anahtarlarınızı depolamak için bir Azure Key Vault kullanın. Anahtar kasasında Hem Geçici Silme hem de Temizleme özelliklerini etkinleştirmeniz gerekir. Anahtar kasası kümeyle aynı bölgede bulunmalıdır. Azure Veri Gezgini şifreleme ve şifre çözme işlemleri için anahtar kasasında kimlik doğrulaması yapmak üzere Azure kaynakları için yönetilen kimlikleri kullanır. Yönetilen kimlikler dizinler arası senaryoları desteklemez.
Müşteri tarafından yönetilen anahtarları döndürme
Azure Key Vault'ta müşteri tarafından yönetilen bir anahtarı uyumluluk ilkelerinize göre döndürebilirsiniz. Anahtarı döndürmek için Azure Key Vault'ta anahtar sürümünü güncelleştirin veya yeni bir anahtar oluşturun ve ardından yeni anahtar URI'sini kullanarak verileri şifrelemek için kümeyi güncelleştirin. Bu adımları Azure CLI'yi kullanarak veya portalda gerçekleştirebilirsiniz. Anahtarı döndürmek, kümedeki mevcut verilerin yeniden şifrelenmesini tetiklemez.
Bir anahtarı döndürürken genellikle kümeyi oluştururken kullanılan kimliğin aynısını belirtirsiniz. İsteğe bağlı olarak, anahtar erişimi için kullanıcı tarafından atanan yeni bir kimlik yapılandırın veya kümenin sistem tarafından atanan kimliğini etkinleştirin ve belirtin.
Not
Anahtar erişimi için yapılandırdığınız kimlik için gerekli Get, Unwrap Key ve Wrap Key izinlerinin ayarlandığından emin olun.
Anahtar sürümünü güncelleştirme
Yaygın bir senaryo, müşteri tarafından yönetilen anahtar olarak kullanılan anahtarın sürümünü güncelleştirmektir. Küme şifrelemesinin nasıl yapılandırıldığına bağlı olarak, kümedeki müşteri tarafından yönetilen anahtar otomatik olarak güncelleştirilir veya el ile güncelleştirilmelidir.
Müşteri tarafından yönetilen anahtarlara erişimi iptal etme
Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için PowerShell veya Azure CLI kullanın. Daha fazla bilgi için bkz . Azure Key Vault PowerShell veya Azure Key Vault CLI. Şifreleme anahtarına Azure Veri Gezgini tarafından erişilemediğinden erişimin iptali kümenin depolama düzeyindeki tüm verilere erişimi engeller.
Not
Azure Veri Gezgini, müşteri tarafından yönetilen bir anahtara erişimin iptal edilmiş olduğunu belirlediğinde, önbelleğe alınan verileri silmek için kümeyi otomatik olarak askıya alır. Anahtara erişim döndürüldükten sonra küme otomatik olarak sürdürülür.