Azure tesisleri, şirket içi ve fiziksel güvenlik

Bu makalede, Microsoft'un Azure altyapısının güvenliğini sağlamak için neler yaptığı açıklanmaktadır.

Veri merkezi altyapısı

Azure, binlerce çevrimiçi hizmetler destekleyen ve dünya çapında 100'den fazla yüksek oranda güvenli tesise yayılan küresel olarak dağıtılmış bir veri merkezi altyapısından oluşur.

Altyapı, uygulamaları dünyanın dört bir yanındaki kullanıcılara yakınlaştırmak, veri yerleşimini korumak ve müşteriler için kapsamlı uyumluluk ve dayanıklılık seçenekleri sunmak üzere tasarlanmıştır. Azure'ın dünya çapında 60'ın üzerinde bölgesi vardır ve 140 ülkede/bölgede kullanılabilir.

Bölge, büyük ve dayanıklı bir ağ üzerinden birbirine bağlanan bir veri merkezleri kümesidir. Ağ, bir bölgedeki veya bölgeler arasında seyahat eden tüm Azure trafiği için varsayılan olarak içerik dağıtımı, yük dengeleme, yedeklilik ve veri bağlantısı katmanı şifrelemesini içerir. Azure, diğer bulut sağlayıcılarından daha fazla küresel bölgeyle, uygulamaları ihtiyacınız olan yere dağıtma esnekliği sunar.

Azure bölgeleri coğrafyalar halinde düzenlenir. Her Azure coğrafyası, veri yerleşimi, bağımsızlık, uyumluluk ve dayanıklılık gereksinimlerinin ilgili coğrafi bölge içinde karşılanmasını sağlar.

Coğrafyalar, özel veri yerleşikliği ve uyumluluk gereksinimleri olan müşterilerin verileri ile uygulamalarını yakın tutmasına olanak tanır. Coğrafyalar, ayrılmış, yüksek kapasiteli ağ altyapısına olan bağlantıları aracılığıyla tüm bölge hatalarına dayanmak için hataya dayanıklıdır.

Kullanılabilirlik alanları, bir Azure bölgesi içinde fiziksel olarak ayrı konumlardır. Her kullanılabilirlik alanı, bağımsız enerji, soğutma ve ağ kaynaklarıyla donatılmış bir veya daha fazla veri merkezinden oluşur. Kullanılabilirlik alanları, yüksek kullanılabilirlik ve düşük gecikme süreli çoğaltma ile görev açısından kritik uygulamaları çalıştırmanıza olanak tanır.

Aşağıdaki şekilde Azure genel altyapısının yüksek kullanılabilirlik, olağanüstü durum kurtarma ve yedekleme için aynı veri yerleşimi sınırı içindeki bölge ve kullanılabilirlik alanlarını nasıl eşleştir ettiği gösterilmektedir.

Coğrafi olarak dağıtılmış veri merkezleri, Microsoft'un ağ gecikme süresini azaltmak ve coğrafi olarak yedekli yedekleme ve yük devretmeye olanak sağlamak için müşterilere yakın olmasını sağlar.

Fiziksel güvenlik

Microsoft, veri merkezlerini, verilerinizin depolandığı alanlara fiziksel erişimi kesinlikle denetleyen bir şekilde tasarlar, derler ve çalıştırır. Microsoft, verilerinizi korumanın önemini anlar ve verilerinizi içeren veri merkezlerinin güvenliğinin korunmasına yardımcı olmaya kararlıdır. Microsoft'ta Azure'ı destekleyen fiziksel tesisleri tasarlamaya, oluşturmaya ve çalıştırmaya ayrılmış bir bölüme sahibiz. Bu ekip, en son düzey fiziksel güvenliği korumaya yatırım yaptı.

Microsoft, yetkisiz kullanıcıların verilere ve veri merkezi kaynaklarına fiziksel erişim sağlama riskini azaltmak için fiziksel güvenliğe katmanlı bir yaklaşım benimser. Microsoft tarafından yönetilen veri merkezlerinin kapsamlı koruma katmanları vardır: tesisin çevresinde, binanın çevresinde, binanın içinde ve veri merkezi katında erişim onayı. Fiziksel güvenlik katmanları şunlardır:

• Erişim isteği ve onayı. Veri merkezine gelmeden önce erişim istemeniz gerekir. Ziyaretiniz için uyumluluk veya denetim amaçları gibi geçerli bir iş gerekçesi sağlamanız gerekir. Tüm istekler, Microsoft çalışanları tarafından erişime ihtiyaç duyulacak şekilde onaylanır. Erişim ihtiyacı temeli, veri merkezlerindeki bir görevi tamamlamak için gereken kişi sayısını en düşük düzeyde tutmaya yardımcı olur. Microsoft izin verdikten sonra, onaylanan iş gerekçesine bağlı olarak bir kişi yalnızca gerekli veri merkezinin ayrık alanına erişebilir. İzinler belirli bir süreyle sınırlıdır ve ardından süresi dolar.

• Ziyaretçi erişimi. Geçici erişim rozetleri erişim denetimindeki SOC içinde depolanır ve her vardiyanın başında ve sonunda envantere kaydedilir. Veri merkezine erişimi onaylayan tüm ziyaretçiler rozetlerinde Yalnızca Eskort olarak belirlenir ve her zaman eskortlarıyla kalmaları gerekir. Eskortlu ziyaretçiler, kendilerine verilen herhangi bir erişim düzeyine sahip değildir ve yalnızca eskortlarının erişimiyle seyahat edebilir. Eskort, veri merkezini ziyaretleri sırasında ziyaretçilerinin eylemlerini ve erişimini gözden geçirmekle sorumludur. Microsoft, ziyaretçilerin herhangi bir Microsoft tesisinden ayrıldığında rozetleri teslim etmelerini gerektirir. Tüm ziyaretçi rozetleri, gelecekteki ziyaretler için yeniden kullanılmadan önce erişim düzeyleri kaldırılır.

• Tesisin çevresi. Bir veri merkezine ulaştığınızda, iyi tanımlanmış bir erişim noktasından geçmeniz gerekir. Tipik olarak, çelik ve betondan yapılmış uzun çitler çevrenin her bir inçini kaplar. Veri merkezlerinin çevresinde kameralar vardır ve bir güvenlik ekibi videolarını her zaman izler. Güvenlik görevlileri, giriş ve çıkışın belirlenen alanlarla sınırlandırılmasını sağlar. Bollards ve diğer önlemler, yetkisiz erişim de dahil olmak üzere veri merkezinin dış cephesini olası tehditlerden korur.

• Bina girişi. Veri merkezi girişi, sıkı eğitim ve arka plan kontrollerinden geçmiş profesyonel güvenlik görevlileriyle görevlidir. Bu güvenlik görevlileri ayrıca düzenli olarak veri merkezinde devriye gezer ve veri merkezinin içindeki kameraların videolarını her zaman izler.

• Binanın içinde. Binaya girdikten sonra, veri merkezinde ilerlemeye devam etmek için biyometri ile iki öğeli kimlik doğrulamasını geçirmeniz gerekir. Kimliğiniz doğrulandıysa, veri merkezinin yalnızca erişimi onayladığınız bölümünü girebilirsiniz. Orada yalnızca onaylanan süre boyunca kalabilirsiniz.

• Veri merkezi katı. Sadece girmeniz onaylanan kata girmenize izin verilir. Tam gövde metal algılama taraması geçirmeniz gerekir. Yetkisiz verilerin bilgimiz olmadan veri merkezine girme veya veri merkezinden çıkma riskini azaltmak için, veri merkezi tabanına yalnızca onaylı cihazlar girebilir. Ayrıca, video kameralar her sunucu rafının ön ve arkasını izler. Veri merkezi katından çıktığınızda, tekrar tam gövde metal algılama taramasını geçmeniz gerekir. Veri merkezinden çıkmak için ek bir güvenlik taraması geçirmeniz gerekir.

Fiziksel güvenlik gözden geçirmeleri

Veri merkezlerinin Azure güvenlik gereksinimlerini düzgün bir şekilde karşıladığından emin olmak için tesislerin fiziksel güvenlik incelemelerini düzenli aralıklarla gerçekleştiriyoruz. Veri merkezi barındırma sağlayıcısı personeli Azure hizmet yönetimi sağlamaz. Personel Azure sistemlerinde oturum açamaz ve Azure birlikte bulundurma odası ve kafeslerine fiziksel erişime sahip değildir.

Veri taşıyan cihazlar

Microsoft en iyi yöntem yordamlarını ve NIST 800-88 uyumlu bir silme çözümünü kullanır. Silinemez sabit sürücüler için, onu yok eden ve bilgilerin kurtarılmasını imkansız hale getiren bir yok etme işlemi kullanırız. Bu yıkım işlemi parçalanma, parçalanma, pulverize veya yakılma olabilir. Elden çıkarma araçlarını varlık türüne göre belirleriz. Yıkımın kayıtlarını saklarız.

Ekipmanların atılması

Bir sistemin kullanım ömrü sona erdiği zaman Microsoft operasyonel personeli, verilerinizi içeren donanımın güvenilmeyen tarafların kullanımına sunulmadığından emin olmak için sıkı veri işleme ve donanım elden çıkarma yordamlarını izler. Bunu destekleyen sabit sürücüler için güvenli bir silme yaklaşımı kullanırız. Silinemez sabit sürücüler için sürücüyü yok eden ve bilgilerin kurtarılmasını imkansız hale getiren bir yok etme işlemi kullanırız. Bu yıkım işlemi parçalanma, parçalanma, pulverize veya yakılma olabilir. Elden çıkarma araçlarını varlık türüne göre belirleriz. Yıkımın kayıtlarını saklarız. Tüm Azure hizmetleri onaylı medya depolama ve elden çıkarma yönetim hizmetlerini kullanır.

Uyumluluk

Azure altyapısını ISO 27001, HIPAA, FedRAMP, SOC 1 ve SOC 2 gibi uluslararası ve sektöre özgü geniş bir uyumluluk standartlarını karşılayacak şekilde tasarlar ve yönetiriz. Ayrıca Avustralya IRAP, UK G-Cloud ve Singapur MTCS dahil olmak üzere ülkeye/bölgeye özgü standartları karşılıyoruz. British Standards Institute tarafından yapılanlar gibi sıkı üçüncü taraf denetimler, bu standartların gerektirdiği katı güvenlik denetimlerine bağlı kalındığını doğrular.

Azure'ın bağlı olduğu uyumluluk standartlarının tam listesi için bkz . Uyumluluk teklifleri.

Sonraki adımlar

Microsoft'un Azure altyapısının güvenliğini sağlamaya yardımcı olmak için neler yaptığı hakkında daha fazla bilgi edinmek için bkz:

• Azure altyapısı kullanılabilirliği
• Azure bilgi sistemi bileşenleri ve sınırları
• Azure ağ mimarisi
• Azure üretim ağı
• güvenlik özelliklerini Azure SQL Veritabanı
• Azure üretim işlemleri ve yönetimi
• Azure altyapısı izleme
• Azure altyapı bütünlüğü
• Azure müşteri veri koruması