Azure veri güvenliği ve şifreleme en iyi uygulamaları
Bu makalede veri güvenliği ve şifreleme için en iyi yöntemler açıklanmaktadır.
En iyi yöntemler fikir birliğine dayalıdır ve geçerli Azure platformu özellikleri ve özellik kümeleriyle çalışır. Görüşler ve teknolojiler zaman içinde değişir ve bu makale bu değişiklikleri yansıtacak şekilde düzenli olarak güncelleştirilir.
Veri koruma
Buluttaki verilerin korunmasına yardımcı olmak için verilerinizin oluşabileceği olası durumları ve bu durum için hangi denetimlerin kullanılabilir olduğunu hesaba katın. Azure veri güvenliği ve şifrelemesi için en iyi yöntemler aşağıdaki veri durumları ile ilgilidir:
- Bekleyenler: Manyetik veya optik disk olsun, fiziksel medyada statik olarak bulunan tüm bilgi depolama nesnelerini, kapsayıcıları ve türleri içerir.
- Aktarım sırasında: Veriler bileşenler, konumlar veya programlar arasında aktarılırken aktarımda olur. Örnek olarak ağ üzerinden, bir hizmet veri yolu üzerinden (şirket içinden buluta ve ExpressRoute gibi karma bağlantılar dahil) veya giriş/çıkış işlemi sırasında aktarım verilebilir.
- Kullanımda: Veriler işlenirken özel AMD ve Intel yonga kümesi tabanlı Gizli işlem VM'leri, donanım tarafından yönetilen anahtarları kullanarak verileri bellekte şifrelenmiş olarak tutar.
Anahtar yönetimi çözümü seçme
Anahtarlarınızı korumak, buluttaki verilerinizi korumak için önemlidir.
Azure Key Vault, bulut uygulamalarının ve hizmetlerinin kullandığı şifreleme anahtarlarının ve gizli anahtarların korunmasına yardımcı olur. Key Vault, anahtar yönetimi işlemini kolaylaştırır ve verilerinize erişen ve bunları şifreleyen anahtarları denetiminizde tutmanıza olanak sağlar. Geliştiriciler, geliştirme ve test için dakikalar içinde anahtar oluşturabilir ve sonra bunları üretim anahtarlarına geçirebilir. Güvenlik yöneticileri gerektiğinde anahtarlara izin verebilir (ve iptal edebilir).
Key Vault'u kullanarak kasa adı verilen birden çok güvenli kapsayıcı oluşturabilirsiniz. Bu kasalar HSM'ler tarafından desteklenir. Kasalar, uygulama gizli dizilerinin depolanmasını merkezi hale getirerek güvenlik bilgilerini kazayla kaybetme olasılığını azaltmaya yardımcı olur. Anahtar kasaları ayrıca içlerinde depolanmış her şeye erişimi denetler ve günlüğe kaydeder. Azure Key Vault, Aktarım Katmanı Güvenliği (TLS) sertifikalarını isteme ve yenileme işlemlerini işleyebilir. Sertifika yaşam döngüsü yönetimi için sağlam bir çözüme yönelik özellikler sağlar.
Azure Key Vault, uygulama anahtarlarını ve gizli dizileri destekleyecek şekilde tasarlanmıştır. Key Vault, kullanıcı parolaları için bir depo olarak tasarlanmamıştır.
Aşağıda Key Vault'un kullanımına yönelik en iyi güvenlik yöntemleri yer alır.
En iyi yöntem: Belirli bir kapsamdaki kullanıcılara, gruplara ve uygulamalara erişim izni verme. Ayrıntı: Önceden tanımlanmış Azure RBAC rollerini kullanın. Örneğin, bir kullanıcıya anahtar kasalarını yönetmesi için erişim vermek için, bu kullanıcıya belirli bir kapsamda önceden tanımlanmış Anahtar Kasası Katkıda Bulunanı rolünü atayabilirsiniz. Bu durumda kapsam bir abonelik, kaynak grubu veya yalnızca belirli bir anahtar kasası olabilir. Önceden tanımlanmış roller gereksinimlerinize uymuyorsa kendi rollerinizi tanımlayabilirsiniz.
En iyi yöntem: Kullanıcıların hangi erişime sahip olduğunu denetleme. Ayrıntı: Anahtar kasasına erişim iki ayrı arabirimle denetlenmektedir: yönetim düzlemi ve veri düzlemi. Yönetim düzlemi ve veri düzlemi erişim denetimleri birbirinden bağımsız olarak çalışır.
Kullanıcıların hangi kullanıcılara erişimi olduğunu denetlemek için Azure RBAC'yi kullanın. Örneğin, bir uygulamaya anahtar kasasında anahtarları kullanması için erişim vermek istiyorsanız, yalnızca anahtar kasası erişim ilkelerini kullanarak veri düzlemi erişim izinleri vermeniz gerekir ve bu uygulama için yönetim düzlemi erişimi gerekmez. Buna karşılık, bir kullanıcının kasa özelliklerini ve etiketlerini okuyabilmesini ancak anahtarlara, gizli dizilere veya sertifikalara erişimi olmamasını istiyorsanız, Azure RBAC kullanarak bu kullanıcıya okuma erişimi vererek veri düzlemine erişim gerekmez.
En iyi yöntem: Sertifikaları anahtar kasanızda depolama. Sertifikalarınız yüksek değerlidir. Yanlış ellerde uygulamanızın güvenliği veya verilerinizin güvenliği tehlikeye girebilir. Ayrıntı: Azure Resource Manager, VM'ler dağıtıldığında Azure Key Vault'ta depolanan sertifikaları Azure VM'lerine güvenli bir şekilde dağıtabilir. Anahtar kasası için uygun erişim ilkelerini ayarlayarak, sertifikanıza kimlerin erişebileceğini de denetleyebilirsiniz. Diğer bir avantaj ise tüm sertifikalarınızı Azure Key Vault’ta yönetmenizdir. Daha fazla bilgi için bkz . Müşteri tarafından yönetilen Key Vault'tan VM'lere Sertifika Dağıtma.
En iyi yöntem: Anahtar kasalarının veya anahtar kasası nesnelerinin silinmesini kurtarabileceğinizden emin olun. Ayrıntı: Anahtar kasalarının veya anahtar kasası nesnelerinin silinmesi yanlışlıkla veya kötü amaçlı olabilir. Başta bekleyen verileri şifrelemek için kullanılan anahtarlar için olmak üzere, Key Vault’un yazılım silme ve temizleme koruması özelliklerini etkinleştirin. Bu anahtarların silinmesi veri kaybına eşdeğerdir; bu nedenle, gerekirse silinen kasaları ve kasa nesnelerini kurtarabilirsiniz. Key Vault kurtarma işlemlerini düzenli olarak uygulayın.
Not
Bir kullanıcının anahtar kasası yönetim düzleminde katkıda bulunan izinleri (Azure RBAC) varsa, bir anahtar kasası erişim ilkesi ayarlayarak veri düzlemine erişim izni verebilir. Anahtar kasalarınıza, anahtarlarınıza, anahtarlarınıza, gizli dizilerinize ve sertifikalarınıza yalnızca yetkili kişilerin erişebildiğinden ve bu kişilerin erişebildiğinden emin olmak için anahtar kasalarınıza katkıda bulunan erişimi olan kişileri sıkı bir şekilde denetlemenizi öneririz.
Güvenli iş istasyonlarıyla yönetme
Not
Abonelik yöneticisi veya sahibi güvenli erişim iş istasyonu veya ayrıcalıklı erişim iş istasyonu kullanmalıdır.
Saldırıların büyük çoğunluğu son kullanıcıyı hedeflediğinden uç nokta, saldırının birincil noktalarından biri haline gelir. Uç noktanın güvenliğini tehlikeye atan bir saldırgan, kuruluşun verilerine erişmek için kullanıcının kimlik bilgilerini kullanabilir. Çoğu uç nokta saldırısı, kullanıcıların yerel iş istasyonlarında yönetici olması gerçeğinden yararlanıyor.
En iyi yöntem: Hassas hesapları, görevleri ve verileri korumak için güvenli bir yönetim iş istasyonu kullanın. Ayrıntı: İş istasyonlarındaki saldırı yüzeyini azaltmak için ayrıcalıklı erişim iş istasyonu kullanın. Bu güvenli yönetim iş istasyonları, bu saldırıların bazılarını azaltmanıza ve verilerinizin daha güvenli olduğundan emin olmanıza yardımcı olabilir.
En iyi yöntem: Uç nokta korumasını güvence altına alın. Ayrıntı: Veri konumundan (bulut veya şirket içi) bağımsız olarak verileri kullanmak için kullanılan tüm cihazlarda güvenlik ilkelerini zorunlu kılma.
Bekleyen verileri koruma
Bekleyen verilerin şifrelenmesi, veri gizliliği, uyumluluk ve veri hakimiyetine yönelik zorunlu bir adımdır.
En iyi yöntem: Verilerinizi korumaya yardımcı olmak için disk şifrelemesi uygulayın. Ayrıntı: Linux VM'leri için Azure Disk Şifrelemesi veya Windows VM'leri için Azure Disk Şifrelemesi kullanın. Disk Şifrelemesi, işletim sistemi ve veri diskleri için birim şifrelemesi sağlamak üzere endüstri standardı Linux dm-crypt veya Windows BitLocker özelliğini birleştirir.
Azure Depolama ve Azure SQL Veritabanı bekleyen verileri varsayılan olarak şifreler ve birçok hizmet bir seçenek olarak şifreleme sunar. Verilerinize erişen ve bunları şifreleyen anahtarların denetimini ele almak için Azure Key Vault kullanabilirsiniz. Daha fazla bilgi edinmek için bkz. Azure kaynak sağlayıcıları şifreleme modeli desteği.
En iyi yöntemler: Yetkisiz veri erişimiyle ilgili riskleri azaltmaya yardımcı olmak için şifrelemeyi kullanın. Ayrıntı: Hassas verileri yazmadan önce sürücülerinizi şifreleyin.
Veri şifrelemesi uygulamayan kuruluşlar, veri gizliliği sorunlarına daha açık olur. Örneğin, yetkisiz veya düzenbaz kullanıcılar güvenliği aşılmış hesaplardaki verileri çalabilir veya Clear Format ile kodlanmış verilere yetkisiz erişim elde edebilir. Şirketler ayrıca, sektör düzenlemelerine uymak için veri güvenliğini artırmak için özenli olduklarını ve doğru güvenlik denetimlerini kullandıklarını kanıtlamalıdır.
Aktarılan verileri koruma
Aktarımdaki verilerin korunması veri koruma stratejinizin temel parçalarından biri olmalıdır. Veriler birçok konum arasında gidip geldiğinden, farklı konumlar arasındaki veri alışverişinde her zaman SSL/TLS protokollerini kullanmanızı öneririz. Bazı durumlarda VPN kullanarak şirket içi ile bulut altyapılarınız arasındaki iletişim kanalının tamamını yalıtmak isteyebilirsiniz.
Şirket içi altyapınızla Azure arasında taşınan veriler için HTTPS veya VPN gibi uygun korumaları göz önünde bulundurun. Bir Azure sanal ağı ile şirket içi konum arasında genel İnternet üzerinden şifrelenmiş trafik gönderirken Azure VPN Gateway'i kullanın.
Aşağıda Azure VPN Gateway, SSL/TLS ve HTTPS kullanımına özgü en iyi yöntemler yer alır.
En iyi yöntem: Şirket içinde bulunan birden çok iş istasyonundan Azure sanal ağına güvenli erişim. Ayrıntı: Siteden siteye VPN kullanın.
En iyi yöntem: Şirket içinde bulunan tek bir iş istasyonundan Azure sanal ağına güvenli erişim. Ayrıntı: Noktadan siteye VPN kullanın.
En iyi yöntem: Daha büyük veri kümelerini ayrılmış bir yüksek hızlı WAN bağlantısı üzerinden taşıma. Ayrıntı: ExpressRoute'u kullanın. ExpressRoute kullanmayı seçerseniz ek koruma için SSL/TLS veya başka protokoller kullanarak verileri uygulama düzeyinde de şifreleyebilirsiniz.
En iyi yöntem: Azure portalı aracılığıyla Azure Depolama ile etkileşim kurma. Ayrıntı: Tüm işlemler HTTPS aracılığıyla gerçekleşir. Azure Depolama ile etkileşime geçmek için HTTPS üzerinden Depolama REST API'sini de kullanabilirsiniz.
Aktarımdaki verileri koruyemeyen kuruluşlar, ortadaki adam saldırılarına, gizlice dinlemeye ve oturum ele geçirme işlemlerine daha duyarlıdır. Bu saldırılar gizli verilere erişim kazanmanın ilk adımı olabilir.
Kullanımdaki verileri koruma
Güven gereksinimini azalt Bulutta çalışan iş yükleri güven gerektirir. Bu güveni uygulamanızın farklı bileşenlerini etkinleştiren çeşitli sağlayıcılara verirsiniz.
- Uygulama yazılımı satıcıları: Şirket içi dağıtım yaparak, açık kaynak kullanarak veya şirket içi uygulama yazılımı oluşturarak yazılımlara güvenin.
- Donanım satıcıları: Şirket içi donanım veya şirket içi donanım kullanarak donanıma güvenin.
- Altyapı sağlayıcıları: Bulut sağlayıcılarına güvenin veya kendi şirket içi veri merkezlerinizi yönetin.
Saldırı yüzeyini azaltma Güvenilen Bilgi İşlem Tabanı (TCB), sistemin güvenli bir ortam sağlayan tüm donanım, üretici yazılımı ve yazılım bileşenlerini ifade eder. TCB içindeki bileşenler "kritik" olarak kabul edilir. TCB'nin içindeki bir bileşenin güvenliği tehlikeye atılırsa sistemin güvenliği tehlikeye girebilir. Daha düşük bir TCB daha yüksek güvenlik anlamına gelir. Çeşitli güvenlik açıklarına, kötü amaçlı yazılımlara, saldırılara ve kötü amaçlı kişilere maruz kalma riski daha düşüktür.
Azure gizli bilgi işlem size yardımcı olabilir:
- Yetkisiz erişimi engelleme: Hassas verileri bulutta çalıştırın. Azure'ın mümkün olan en iyi veri korumasını sağladığına ve bugün yapılan işlemlerden çok az veya hiç değişiklik yapmadığına güvenin.
- Mevzuat uyumluluğunu karşılayın: Kişisel bilgilerin korunmasına ve kurumsal IP'nin güvenliğinin sağlanmasına yönelik kamu düzenlemelerini karşılamak için buluta geçin ve verilerin tam denetimini koruyun.
- Güvenli ve güvenilmeyen bir işbirliği sağlayın: Geniş veri analizi ve daha derin içgörüler elde etmek için kuruluşlar, hatta rakipler arasında verileri tarayarak sektör genelindeki iş ölçeğinde sorunlarla başa çıkın.
- İşlemeyi yalıtma: Gizli işleme ile özel verilerde sorumluluğu kaldıran yeni bir ürün dalgası sunun. Kullanıcı verileri hizmet sağlayıcısı tarafından bile alınamaz.
Gizli bilgi işlem hakkında daha fazla bilgi edinin.
E-postanın, belgelerin ve hassas verilerin güvenliğini sağlama
Şirketinizin dışında paylaştığınız e-postaları, belgeleri ve hassas verileri denetlemek ve güvenliğini sağlamak istiyorsunuz. Azure Information Protection , bir kuruluşun belgelerini ve e-postalarını sınıflandırmasına, etiketlemesine ve korumasına yardımcı olan bulut tabanlı bir çözümdür. Bu, kuralları ve koşulları tanımlayan yöneticiler tarafından, kullanıcılar tarafından el ile veya kullanıcıların öneri aldığı bir birleşim tarafından otomatik olarak yapılabilir.
Verilerin nerede depolandığına veya kiminle paylaşıldığına bakılmaksızın sınıflandırma her zaman tanımlanabilir. Etiketler üst bilgi, alt bilgi veya filigran gibi görsel işaretler içerir. Meta veriler dosyalara ve e-posta üst bilgilerine düz metin olarak eklenir. Düz metin, veri kaybını önlemeye yönelik çözümler gibi diğer hizmetlerin sınıflandırmayı tanımlamasını ve uygun eylemleri gerçekleştirmesini sağlar.
Koruma teknolojisi Azure Rights Management 'ı (Azure RMS) kullanır. Bu teknoloji, Microsoft 365 ve Microsoft Entra Id gibi diğer Microsoft bulut hizmetleri ve uygulamalarıyla tümleşiktir. Bu koruma teknolojisi şifreleme, kimlik ve yetkilendirme ilkelerini kullanır. Azure RMS aracılığıyla uygulanan koruma, kuruluşunuzun içindeki veya dışındaki konumdan, ağlardan, dosya sunucularından ve uygulamalardan bağımsız olarak belgeler ve e-postalarla birlikte kalır.
Bu bilgi koruma çözümü, diğer kişilerle paylaşıldığında bile verilerinizin denetimini size sağlar. Azure RMS'yi, ister şirket içinde ister bulutta olsun, yazılım satıcılarının kendi iş kolu uygulamaları ve bilgi koruma çözümleriyle de kullanabilirsiniz.
Şunları yapmanızı öneririz:
- Kuruluşunuz için Azure Information Protection'ı dağıtın.
- İş gereksinimlerinizi yansıtan etiketler uygulayın. Örneğin: Bu verileri sınıflandırmak ve korumak için çok gizli veriler içeren tüm belgelere ve e-postalara "çok gizli" adlı bir etiket uygulayın. Ardından, belirttiğiniz kısıtlamalarla bu verilere yalnızca yetkili kullanıcılar erişebilir.
- Kuruluşunuzun koruma hizmetini nasıl kullandığını izleyebilmenizi sağlayan Azure RMS için kullanım günlüğünü yapılandırın.
Veri sınıflandırması ve dosya koruması konusunda zayıf olan kuruluşlar, veri sızıntısına veya veri kötüye kullanımına karşı daha duyarlı olabilir. Uygun dosya koruması sayesinde, işletmenizle ilgili içgörü elde etmek, riskli davranışları algılamak ve düzeltici önlemler almak, belgelere erişimi izlemek vb. için veri akışlarını analiz edebilirsiniz.
Sonraki adımlar
Azure kullanarak bulut çözümlerinizi tasarlarken, dağıtırken ve yönetirken kullanabileceğiniz daha fazla güvenlik en iyi uygulaması için bkz . Azure güvenlik en iyi yöntemleri ve desenleri .
Azure güvenliği ve ilgili Microsoft hizmetleri hakkında daha fazla genel bilgi sağlamak için aşağıdaki kaynaklar kullanılabilir:
- Azure Güvenlik Ekibi Blogu - Azure Güvenliği'nin en son sürümü hakkında güncel bilgiler için
- Microsoft Güvenlik Yanıt Merkezi - Azure ile ilgili sorunlar da dahil olmak üzere Microsoft güvenlik açıklarının secure@microsoft.com