Çok Kiracılı ve Azure Key Vault
Azure Key Vault gizli diziler, şifreleme anahtarları ve sertifikalar dahil olmak üzere çözümünüz için güvenli verileri yönetmek için kullanılır. Bu makalede, Azure Key Vault'un çok kiracılı çözümler için yararlı olan bazı özellikleri açıklanmaktadır. Ardından, Key Vault'un nasıl kullanılacağını planlarken size yardımcı olabilecek rehberliğe bağlantılar sağlıyoruz.
Yalıtım modelleri
Key Vault kullanarak çok kiracılı bir sistemle çalışırken, kullanmak istediğiniz yalıtım düzeyi hakkında bir karar vermeniz gerekir. Kullandığınız yalıtım modellerinin seçimi aşağıdaki faktörlere bağlıdır:
- Kaç kiracınız olmasını planlıyorsunuz?
- Uygulama katmanınızı birden çok kiracı arasında mı paylaşıyorsunuz, tek kiracılı uygulama örnekleri mi dağıtıyorsunuz yoksa her kiracı için ayrı dağıtım damgaları mı dağıtıyorsunuz?
- Kiracılarınızın kendi şifreleme anahtarlarını yönetmesi gerekiyor mu?
- Kiracılarınızın gizli dizilerinin diğer kiracıların gizli dizilerinden ayrı olarak depolanmasını gerektiren uyumluluk gereksinimleri var mı?
Aşağıdaki tabloda Key Vault için ana kiracı modelleri arasındaki farklar özetlemektedir:
| Dikkat edilmesi gereken noktalar | Sağlayıcının aboneliğinde kiracı başına kasa | Kiracı aboneliğinde kiracı başına kasa | Paylaşılan kasa |
|---|---|---|---|
| Veri yalıtımı | Yüksek | Çok yüksek | Düşük |
| Performans yalıtımı | Orta. Birçok kasada bile yüksek aktarım hızı sınırlı olabilir | Yüksek | Düşük |
| Dağıtım karmaşıklığı | Kiracı sayısına bağlı olarak düşük-orta | Yüksek. Kiracının sağlayıcıya doğru erişim vermesi gerekir | Düşük |
| operasyonel karmaşıklık | Yüksek | Sağlayıcı için düşük, kiracı için daha yüksek | En Düşük |
| Örnek senaryo | Kiracı başına tek tek uygulama örnekleri | Müşteri tarafından yönetilen şifreleme anahtarları | Paylaşılan uygulama katmanına sahip büyük çok kiracılı çözüm |
Sağlayıcının aboneliğinde kiracı başına kasa
(Hizmet sağlayıcısının) Azure aboneliğinizdeki kiracılarınızın her biri için bir kasa dağıtmayı düşünebilirsiniz. Bu yaklaşım, her kiracının verileri arasında güçlü veri yalıtımı sağlar. Ancak, kiracı sayısını artırdıkça artan sayıda kasa dağıtmanızı ve yönetmenizi gerektirir.
Azure aboneliğine dağıtabileceğiniz kasa sayısıyla ilgili bir sınır yoktur. Ancak aşağıdaki sınırları dikkate almanız gerekir:
- Bir süre içinde yapabileceğiniz istek sayısı için abonelik genelinde sınırlar vardır. Bu sınırlar abonelikteki kasa sayısından bağımsız olarak geçerlidir. Bu nedenle, kiracıya özgü kasalarınız olsa bile azaltma kılavuzumuzu izlemeniz önemlidir.
- Bir abonelik içinde oluşturabileceğiniz Azure rol atamalarının sayısıyla ilgili bir sınır vardır. Bir abonelikte çok sayıda kasa dağıtıp yapılandırdığınızda bu sınırlara yaklaşabilirsiniz.
Kiracı aboneliğinde kiracı başına kasa
Bazı durumlarda kiracılarınız kendi Azure aboneliklerinde kasalar oluşturabilir ve uygulamanıza gizli diziler, sertifikalar veya anahtarlarla çalışmak için erişim vermek isteyebilir. Çözümünüzde şifreleme için müşteri tarafından yönetilen anahtarlara (CMK) izin verildiğinde bu yaklaşım uygundur.
Kiracınızın kasasındaki verilere erişmek için kiracının uygulamanıza kendi kasasına erişim sağlaması gerekir. Bu işlem, uygulamanızın Microsoft Entra örneği aracılığıyla kimlik doğrulaması gerçekleştirmesini gerektirir. Bir yaklaşım, çok kiracılı bir Microsoft Entra uygulaması yayımlamaktır. Kiracılarınızın tek seferlik bir onay işlemi gerçekleştirmesi gerekir. İlk olarak çok kiracılı Microsoft Entra uygulamasını kendi Microsoft Entra kiracılarına kaydeder. Ardından, çok kiracılı Microsoft Entra uygulamanıza kasalarına uygun erişim düzeyini verir. Ayrıca, oluşturdukları kasanın tam kaynak kimliğini de sağlamaları gerekir. Ardından, uygulama kodunuz her kiracının kasasına erişmek için kendi Microsoft Entra kimliğinizdeki çok kiracılı Microsoft Entra uygulamasıyla ilişkili bir hizmet sorumlusu kullanabilir.
Alternatif olarak, her kiracıdan hizmetinizin kullanması için bir hizmet sorumlusu oluşturmasını ve size kimlik bilgilerini sağlamasını isteyebilirsiniz. Ancak bu yaklaşım, güvenlik sorumluluğu olan her kiracı için kimlik bilgilerini güvenli bir şekilde depolamanızı ve yönetmenizi gerektirir.
Kiracılarınız kasalarında ağ erişim denetimleri yapılandırıyorsa kasalara erişebildiğinizden emin olun. Bir kiracının ağ erişim denetimlerini değiştirdiği ve kasalarına erişmenizi engellediği durumları işlemek için uygulamanızı tasarlar.
Paylaşılan kasalar
Kiracıların gizli dizilerini tek bir kasada paylaşmayı seçebilirsiniz. Kasa (çözüm sağlayıcısının) Azure aboneliğinize dağıtılır ve bunu yönetmek sizin sorumluluğunuzdadır. Bu yaklaşım en basittir ancak en az veri yalıtımı ve performans yalıtımı sağlar.
Birden çok paylaşılan kasa dağıtmayı da seçebilirsiniz. Örneğin, Dağıtım Damga DamgaLarı desenini izlerseniz, her damganın içinde paylaşılan bir kasa dağıtmanız olasıdır. Benzer şekilde, çok bölgeli bir çözüm dağıtırsanız, aşağıdaki nedenlerle kasaları her bölgeye dağıtmanız gerekir:
- Kasanızdaki verilerle çalışırken bölgeler arası trafik gecikmesini önlemek için.
- Veri yerleşimi gereksinimlerini desteklemek için.
- Aynı bölge dağıtımları gerektiren diğer hizmetler içinde bölgesel kasaların kullanımını etkinleştirmek için.
Paylaşılan bir kasayla çalışırken kasaya karşı gerçekleştirdiğiniz işlemlerin sayısını göz önünde bulundurmanız önemlidir. İşlemler gizli dizileri okumayı ve şifreleme veya şifre çözme işlemlerini gerçekleştirmeyi içerir. Key Vault, tek bir kasada ve azure aboneliğindeki tüm kasalarda gerçekleştirilebilecek istek sayısına sınırlar uygular. Azaltma yönergelerini izlediğinize emin olun. Aldığınız gizli dizileri güvenli bir şekilde önbelleğe almak ve her şifreleme işlemini Key Vault'a göndermekten kaçınmak için zarf şifrelemesi kullanmak da dahil olmak üzere önerilen uygulamaları izlemek önemlidir. Bu en iyi yöntemleri izlediğinizde, tek bir kasada yüksek ölçekli çözümler çalıştırabilirsiniz.
Kiracıya özgü gizli dizileri, anahtarları veya sertifikaları depolamanız gerekiyorsa, adlandırma ön eki gibi bir adlandırma kuralı kullanmayı göz önünde bulundurun. Örneğin, kiracı kimliğini her gizli dizinin adına önceden ekleyebilirsiniz. Ardından uygulama kodunuz belirli bir kiracı için belirli bir gizli dizi değerini kolayca yükleyebilir.
Azure Key Vault'un çok kiracılılığı destekleyen özellikleri
Etiketler
Key Vault özel meta verilerle gizli dizileri, sertifikaları ve anahtarları etiketlemeyi desteklediğinden, kiracıya özgü her gizli dizi için kiracı kimliğini izlemek için bir etiket kullanabilirsiniz. Ancak, Key Vault etiketlere göre sorgulamayı desteklemez, bu nedenle bu özellik uygulama mantığınızda kullanmak yerine yönetim amaçları için en uygun seçenektir.
Daha fazla bilgi:
Azure İlkesi desteği
Çok sayıda kasa dağıtmaya karar verirseniz, bunların ağ erişim yapılandırması, günlüğe kaydetme ve erişim denetimi için tutarlı bir standarda uygun olduğundan emin olmanız önemlidir. Kasaların gereksinimlerinize göre yapılandırıldığını doğrulamak için Azure İlkesi kullanmayı göz önünde bulundurun.
Daha fazla bilgi:
Yönetilen HSM ve Ayrılmış HSM
Saniyede çok sayıda işlem gerçekleştirmeniz gerekiyorsa ve Key Vault işlem sınırları yetersizse, Yönetilen HSM veya Ayrılmış HSM kullanmayı göz önünde bulundurun. Her iki ürün de size ayrılmış kapasite sağlar, ancak genellikle Key Vault'tan daha maliyetlidir. Ayrıca, her bölgeye dağıtabileceğiniz bu hizmetlerin örneklerinin sayısıyla ilgili sınırlara dikkat edin.
Daha fazla bilgi:
- Azure Key Vault mu yoksa Azure Ayrılmış HSM mi kullanacağınıza karar Nasıl yaparım??
- Azure Ayrılmış HSM sizin için uygun mu?
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazar:
- John Downs | Baş Yazılım Mühendisi
Diğer katkıda bulunanlar:
- Jack Lichwa | Ana Ürün Yöneticisi, Azure Key Vault
- Arsen Vladimirskiy | Baş Müşteri Mühendisi, Azure için FastTrack
Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Sonraki adımlar
Çok kiracılı dağıtım ve yapılandırma yaklaşımlarını gözden geçirin.