Azure'da şifrelemeye genel bakış
Bu makalede, Microsoft Azure'da şifrelemenin nasıl kullanıldığına genel bir bakış sağlanır. Bekleyen şifreleme, uçuşta şifreleme ve Azure Key Vault ile anahtar yönetimi dahil olmak üzere başlıca şifreleme alanlarını kapsar. Her bölüm daha ayrıntılı bilgilere bağlantılar içerir.
Bekleyen verilerin şifrelenmesi
Bekleyen veriler, herhangi bir dijital biçimde fiziksel medyada kalıcı depolamada bulunan bilgileri içerir. Medya manyetik veya optik medyadaki dosyaları, arşivlenmiş verileri ve veri yedeklemelerini içerebilir. Microsoft Azure, dosya, disk, blob ve tablo depolama gibi farklı gereksinimleri karşılamak için çeşitli veri depolama çözümleri sunar. Microsoft ayrıca Azure SQL Veritabanı, Azure Cosmos DB'yi ve Azure Data Lake'i korumak için şifreleme sağlar.
AES 256 veri şifrelemesi kullanılarak bekleyen verilerin şifrelenmesi, hizmet olarak yazılım (SaaS), hizmet olarak platform (PaaS) ve hizmet olarak altyapı (IaaS) bulut modellerindeki hizmetler için kullanılabilir. Bu makale, Azure şifreleme seçeneklerini kullanmanıza yardımcı olacak kaynakları özetler ve sağlar.
Bekleyen verilerin Azure'da nasıl şifrelendiği hakkında daha ayrıntılı bir açıklama için bkz . Azure Veri Şifrelemesi-at-Rest.
Azure şifreleme modelleri
Azure desteği hizmet tarafından yönetilen anahtarları kullanan sunucu tarafı şifreleme, Key Vault'ta müşteri tarafından yönetilen anahtarlar veya müşteri tarafından denetlenen donanımda müşteri tarafından yönetilen anahtarlar gibi çeşitli şifreleme modelleri vardır. İstemci tarafı şifreleme sayesinde, anahtarları şirket içinde veya başka bir güvenli konumda yönetebilirsiniz.
İstemci tarafı şifreleme
İstemci tarafı şifrelemesi Azure dışında gerçekleştirilir. İçerik:
- Müşterinin veri merkezinde çalışan bir uygulama veya bir hizmet uygulaması tarafından şifrelenen veriler.
- Azure tarafından alındığında zaten şifrelenmiş olan veriler.
İstemci tarafı şifreleme ile bulut hizmeti sağlayıcıları şifreleme anahtarlarına erişemez ve bu verilerin şifresini çözemez. Anahtarların tam denetimini siz korursunuz.
Sunucu tarafı şifreleme
Üç sunucu tarafı şifreleme modeli, gereksinimlerinize göre seçebileceğiniz farklı anahtar yönetimi özellikleri sunar:
Hizmet tarafından yönetilen anahtarlar: Düşük ek yük ile denetim ve kolaylık birleşimi sağlar.
Müşteri tarafından yönetilen anahtarlar: Kendi Anahtarlarını Getir (KAG) desteği de dahil olmak üzere anahtarlar üzerinde denetim sahibi olmanıza veya yeni anahtarlar oluşturmanıza olanak tanır.
Müşteri tarafından denetlenen donanımlarda hizmet tarafından yönetilen anahtarlar: Özel deponuzdaki anahtarları Microsoft denetimi dışında yönetmenizi sağlar. Bu özelliğe Kendi Anahtarınızı Barındır (HYOK) adı verilir. Ancak yapılandırma karmaşıktır ve çoğu Azure hizmeti bu modeli desteklemez.
Azure disk şifrelemesi
Tüm Yönetilen Diskler, Anlık Görüntüler ve Görüntüler, hizmet tarafından yönetilen bir anahtar kullanılarak Depolama Hizmeti Şifrelemesi kullanılarak şifrelenir. Azure, Azure Key Vault'ta geçici diskleri, önbellekleri koruma ve anahtarları yönetme seçenekleri de sunar. Daha fazla bilgi için bkz . Yönetilen disk şifreleme seçeneklerine genel bakış.
Azure Depolama Hizmeti Şifrelemesi
Azure Blob depolama ve Azure dosya paylaşımlarında bekleyen veriler hem sunucu tarafı hem de istemci tarafı senaryolarında şifrelenebilir.
Azure Depolama Hizmeti Şifrelemesi (SSE), verileri depolanmadan önce otomatik olarak şifreleyebilir ve aldığınızda verilerin şifresini otomatik olarak çözer. İşlem kullanıcılar için tamamen şeffaftır. Depolama Hizmeti Şifrelemesi, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit Gelişmiş Şifreleme Standardı (AES) şifrelemesini kullanır. AES şifreleme, şifre çözme ve anahtar yönetimini saydam bir şekilde işler.
Azure bloblarının istemci tarafı şifrelemesi
Azure bloblarının istemci tarafı şifrelemesini çeşitli yollarla gerçekleştirebilirsiniz.
.NET NuGet için Azure Depolama İstemci Kitaplığı paketini kullanarak istemci uygulamalarınızdaki verileri Azure depolama alanınıza yüklemeden önce şifreleyebilirsiniz.
.NET NuGet için Azure Depolama İstemci Kitaplığı paketi hakkında daha fazla bilgi edinmek ve indirmek için bkz . Windows Azure Depolama 8.3.0.
Key Vault ile istemci tarafı şifreleme kullandığınızda, verileriniz Azure Depolama istemci SDK'sı tarafından oluşturulan tek seferlik simetrik İçerik Şifreleme Anahtarı (CEK) kullanılarak şifrelenir. CEK, simetrik anahtar veya asimetrik anahtar çifti olabilecek bir Anahtar Şifreleme Anahtarı (KEK) kullanılarak şifrelenir. Yerel olarak yönetebilir veya Key Vault'ta depolayabilirsiniz. Şifrelenmiş veriler daha sonra Azure Depolama'ya yüklenir.
Key Vault ile istemci tarafı şifrelemesi hakkında daha fazla bilgi edinmek ve nasıl yapılır yönergelerini kullanmaya başlamak için bkz . Öğretici: Key Vault kullanarak Azure Depolama'da blobları şifreleme ve şifresini çözme.
Son olarak, Verileri Azure Depolama'ya yüklemeden önce istemci tarafı şifrelemesi gerçekleştirmek ve istemciye indirdiğinizde verilerin şifresini çözmek için Java için Azure Depolama İstemci Kitaplığı'nı da kullanabilirsiniz. Bu kitaplık, depolama hesabı anahtar yönetimi için Key Vault ile tümleştirmeyi de destekler.
bekleyen verilerin Azure SQL Veritabanı ile şifrelenmesi
Azure SQL Veritabanı, Azure'da ilişkisel veriler, JSON, uzamsal ve XML gibi yapıları destekleyen genel amaçlı bir ilişkisel veritabanı hizmetidir. SQL Veritabanı, Saydam Veri Şifrelemesi (TDE) özelliği aracılığıyla hem sunucu tarafı şifrelemeyi hem de Always Encrypted özelliği aracılığıyla istemci tarafı şifrelemeyi destekler.
Saydam Veri Şifrelemesi
TDE, kurtarma sırasında kullanılabilirlik için veritabanı önyükleme kaydında depolanan Veritabanı Şifreleme Anahtarı (DEK) kullanılarak SQL Server, Azure SQL Veritabanı ve Azure Synapse Analytics veri dosyalarını gerçek zamanlı olarak şifrelemek için kullanılır.
TDE, AES ve Üçlü Veri Şifreleme Standardı (3DES) şifreleme algoritmalarını kullanarak veri ve günlük dosyalarını korur. Veritabanı dosyasının şifrelemesi sayfa düzeyinde gerçekleştirilir. Şifrelenmiş veritabanındaki sayfalar diske yazılmadan önce şifrelenir ve bellekte okunduğunda şifreleri çözülür. TDE artık yeni oluşturulan Azure SQL veritabanlarında varsayılan olarak etkindir.
Always Encrypted özelliği
Azure SQL'deki Always Encrypted özelliğiyle, verileri Azure SQL Veritabanı depolamadan önce istemci uygulamaları içinde şifreleyebilirsiniz. Ayrıca, şirket içi veritabanı yönetiminin üçüncü taraflara temsilci seçmesini etkinleştirebilir ve verileri sahip olan ve görüntüleyebilen ve bunları yöneten ancak erişimi olmaması gereken kişiler arasında ayrım yapabilirsiniz.
Hücre düzeyinde veya sütun düzeyinde şifreleme
Azure SQL Veritabanı ile Transact-SQL kullanarak bir veri sütununa simetrik şifreleme uygulayabilirsiniz. Bu yaklaşım hücre düzeyinde şifreleme veya sütun düzeyinde şifreleme (CLE) olarak adlandırılır, çünkü bunu farklı şifreleme anahtarlarına sahip belirli sütunları ve hatta belirli veri hücrelerini şifrelemek için kullanabilirsiniz. Bunu yaptığınızda, sayfalardaki verileri şifreleyen TDE'den daha ayrıntılı şifreleme özelliğine sahip olursunuz.
CLE, simetrik veya asimetrik anahtarlar, sertifikanın ortak anahtarı veya 3DES kullanarak parola kullanarak verileri şifrelemek için kullanabileceğiniz yerleşik işlevlere sahiptir.
Azure Cosmos DB veritabanı şifrelemesi
Azure Cosmos DB , Microsoft'un genel olarak dağıtılmış çok modelli veritabanıdır. Azure Cosmos DB'de geçici olmayan depolamada (katı hal sürücüleri) depolanan kullanıcı verileri varsayılan olarak şifrelenir. Açmak veya kapatmak için denetim yok. Bekleyen şifreleme, güvenli anahtar depolama sistemleri, şifrelenmiş ağlar ve şifreleme API'leri dahil olmak üzere bir dizi güvenlik teknolojisi kullanılarak uygulanır. Şifreleme anahtarları Microsoft tarafından yönetilir ve Microsoft iç yönergelerine göre döndürülür. İsteğe bağlı olarak, müşteri tarafından yönetilen anahtarları veya CMK özelliğini kullanarak yönettiğiniz anahtarlarla ikinci bir şifreleme katmanı eklemeyi seçebilirsiniz.
Data Lake'te bekleyen şifreleme
Azure Data Lake , gereksinimlerin veya şemanın resmi tanımından önce tek bir yerde toplanan her tür verinin kuruluş genelindeki bir deposudur. Data Lake Store, hesabınızın oluşturulması sırasında ayarlanan bekleyen verilerin saydam olarak şifrelenmesini "varsayılan olarak açık" olarak destekler. Varsayılan olarak, Azure Data Lake Store anahtarları sizin için yönetir, ancak bunları kendiniz yönetme seçeneğiniz vardır.
Verileri şifrelemek ve şifresini çözmek için üç tür anahtar kullanılır: Ana Şifreleme Anahtarı (MEK), Veri Şifreleme Anahtarı (DEK) ve Blok Şifreleme Anahtarı (BEK). MEK, kalıcı medyada depolanan DEK'yi şifrelemek için kullanılır ve BEK, DEK ve veri bloğundan türetilir. Kendi anahtarlarınızı yönetiyorsanız MEK'i döndürebilirsiniz.
Hareket halindeki verilerin şifrelenmesi
Azure, verileri bir konumdan diğerine taşırken gizli tutmak için birçok mekanizma sunar.
Azure'da Veri Bağlantısı Katmanı şifrelemesi
Azure Müşteri trafiği veri merkezleri arasında (Microsoft tarafından denetlenmeyen fiziksel sınırların dışında veya Microsoft adına) hareket ettiği her durumda, temel alınan ağ donanımında noktadan noktaya IEEE 802.1AE MAC Güvenlik Standartları (MACsec olarak da bilinir) kullanan bir veri bağlantısı katmanı şifreleme yöntemi uygulanır. Paketler gönderilmeden önce cihazlarda şifrelenir ve fiziksel "ortadaki adam" veya gözetleme/dinleme saldırıları engellenir. Bu teknoloji ağ donanımının kendisine entegre olduğundan, ağ donanımında ölçülebilir bağlantı gecikme süresi artışı olmadan hat hızı şifrelemesi sağlar. Bu MACsec şifrelemesi, bir bölgede veya bölgeler arasında seyahat eden tüm Azure trafiği için varsayılan olarak açıktır ve müşterilerin etkinleştirmesi için herhangi bir işlem yapılması gerekmez.
Azure'da TLS şifrelemesi
Microsoft, müşterilere bulut hizmetleriyle müşteriler arasında seyahat ederken verileri korumak için Aktarım Katmanı Güvenliği (TLS) protokollerini kullanma olanağı sunar. Microsoft veri merkezleri, Azure hizmetlerine bağlanan istemci sistemleriyle tls bağlantısı kurar. TLS güçlü kimlik doğrulaması, ileti gizliliği ve bütünlük (ileti üzerinde değişiklik, kesme ve sahteciliğin algılanması), birlikte çalışabilirlik, algoritma esnekliği ve dağıtım ve kullanım kolaylığı sağlar.
Mükemmel İletme Gizliliği (PFS), müşterilerin istemci sistemleriyle Microsoft bulut hizmetleri arasındaki bağlantıları benzersiz anahtarlarla korur. Bağlantılar ayrıca RSA tabanlı 2.048 bit anahtar uzunluklarını, ECC 256 bit anahtar uzunluklarını, SHA-384 ileti kimlik doğrulamayı ve AES-256 veri şifrelemesini destekler. Bu birleşim, birinin aktarımda olan verilere müdahale edip verilere erişmesini zorlaştırır.
Azure Depolama işlemleri
Azure portalı üzerinden Azure Depolama ile etkileşime geçtiğiniz zaman tüm işlemler HTTPS üzerinden gerçekleştirilir. Azure Depolama ile etkileşime geçmek için HTTPS üzerinden Depolama REST API'sini de kullanabilirsiniz. Depolama hesabı için gerekli olan güvenli aktarımı etkinleştirerek depolama hesaplarındaki nesnelere erişmek için REST API'lerini çağırdığınızda HTTPS kullanımını zorunlu kılabilirsiniz.
Azure Depolama nesnelerine erişimi temsilci olarak atamak için kullanılabilen Paylaşılan Erişim İmzaları (SAS), Paylaşılan Erişim İmzaları'nı kullandığınızda yalnızca HTTPS protokollerinin kullanılabileceğini belirten bir seçenek içerir. Bu yaklaşım, SAS belirteçleriyle bağlantı gönderen herkesin uygun protokolü kullanmasını sağlar.
Azure Dosyalar paylaşımlarına erişmek için kullanılan SMB 3.0 şifrelemeyi destekler ve Windows Server 2012 R2, Windows 8, Windows 8.1 ve Windows 10'da kullanılabilir. Bölgeler arası erişime ve hatta masaüstünde erişime izin verir.
İstemci tarafı şifrelemesi, verileri Azure Depolama örneğine gönderilmeden önce şifreler, böylece ağ üzerinden geçiş yaparken şifrelenir.
Azure sanal ağları üzerinden SMB şifrelemesi
Windows Server 2012 veya üzerini çalıştıran VM'lerde SMB 3.0 kullanarak, Azure Sanal Ağ s üzerinden aktarımdaki verileri şifreleyerek veri aktarımlarını güvenli hale getirebilirsiniz. Verileri şifreleyerek kurcalama ve dinleme saldırılarına karşı korumaya yardımcı olursunuz. Yöneticiler sunucunun tamamı veya yalnızca belirli paylaşımlar için SMB şifrelemesini etkinleştirebilir.
Varsayılan olarak, bir paylaşım veya sunucu için SMB şifrelemesi açıldıktan sonra şifrelenmiş paylaşımlara yalnızca SMB 3.0 istemcilerinin erişmesine izin verilir.
VM'lerde aktarım içi şifreleme
Windows çalıştıran VM'lere ve vm'ler arasında aktarım halindeki veriler, bağlantının yapısına bağlı olarak çeşitli yollarla şifrelenebilir.
RDP oturumları
Windows istemci bilgisayarından Uzak Masaüstü Protokolü'nü (RDP) veya RDP istemcisi yüklü bir Mac'ten kullanarak vm'ye bağlanabilir ve oturum açabilirsiniz. RDP oturumlarında ağ üzerinden aktarımda olan veriler TLS tarafından korunabilir.
Azure'da Linux VM'sine bağlanmak için Uzak Masaüstü'nü de kullanabilirsiniz.
SSH ile Linux VM'lerine güvenli erişim
Uzaktan yönetim için Secure Shell 'i (SSH) kullanarak Azure'da çalışan Linux VM'lerine bağlanabilirsiniz. SSH, güvenli olmayan bağlantılar üzerinden güvenli oturum açma işlemlerine izin veren şifreli bir bağlantı protokolüdür. Azure'da barındırılan Linux VM'leri için varsayılan bağlantı protokolüdür. Kimlik doğrulaması için SSH anahtarlarını kullanarak parolaların oturum açma gereksinimini ortadan kaldırırsınız. SSH, kimlik doğrulaması için ortak/özel anahtar çifti (asimetrik şifreleme) kullanır.
Azure VPN şifrelemesi
Ağ üzerinden gönderilen verilerin gizliliğini korumak için güvenli bir tünel oluşturan bir sanal özel ağ üzerinden Azure'a bağlanabilirsiniz.
Azure VPN ağ geçitleri
Azure VPN ağ geçidini kullanarak sanal ağınızla şirket içi konumunuz arasında genel bağlantı üzerinden şifrelenmiş trafik gönderebilir veya sanal ağlar arasında trafik gönderebilirsiniz.
Siteden siteye VPN'ler aktarım şifrelemesi için IPsec kullanır. Azure VPN ağ geçitleri bir dizi varsayılan teklif kullanır. Azure VPN ağ geçitlerini, Azure varsayılan ilke kümeleri yerine belirli şifreleme algoritmaları ve anahtar güçlü yönleriyle özel bir IPsec/IKE ilkesi kullanacak şekilde yapılandırabilirsiniz.
Noktadan siteye VPN’ler
Noktadan siteye VPN'ler, tek tek istemci bilgisayarların bir Azure sanal ağına erişmesine izin verir. Vpn tüneli oluşturmak için Güvenli Yuva Tünel Protokolü (SSTP) kullanılır. Güvenlik duvarlarından geçiş yapabilir (tünel bir HTTPS bağlantısı olarak görünür). Noktadan siteye bağlantı için kendi iç ortak anahtar altyapınızı (PKI) kök sertifika yetkilinizi (CA) kullanabilirsiniz.
Sertifika kimlik doğrulaması veya PowerShell ile Azure portalını kullanarak sanal ağa noktadan siteye VPN bağlantısı yapılandırabilirsiniz.
Azure sanal ağlarına yönelik noktadan siteye VPN bağlantıları hakkında daha fazla bilgi edinmek için bkz:
Siteden siteye VPN'ler
Şirket içi ağınızı IPsec/IKE (IKEv1 veya IKEv2) VPN tüneli üzerinden Azure sanal ağına bağlamak için siteden siteye VPN ağ geçidi bağlantısı kullanabilirsiniz. Bu tür bir bağlantı için, kendisine dış kullanıma yönelik genel IP adresi atanmış bir şirket içi VPN cihazı gerekir.
Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak sanal ağa siteden siteye VPN bağlantısı yapılandırabilirsiniz.
Daha fazla bilgi için bkz.
Azure portalında siteden siteye bağlantı oluşturma
PowerShell'de siteden siteye bağlantı oluşturma
CLI kullanarak siteden siteye VPN bağlantısıyla sanal ağ oluşturma
Data Lake'te aktarım içi şifreleme
Data Lake Store'da aktarımdaki (diğer adıyla hareket halindeki) veriler de her zaman şifrelenir. Verileri kalıcı medyada depolamadan önce şifrelemeye ek olarak, veriler de her zaman HTTPS kullanılarak aktarım sırasında güvenli hale getirilir. HTTPS, Data Lake Store REST arabirimleri için desteklenen tek protokoldür.
Data Lake'te aktarım halindeki verilerin şifrelenmesinin nasıl yapıldığını öğrenmek için bkz . Data Lake Store'da veri şifreleme.
Key Vault ile anahtar yönetimi
Anahtarların düzgün korunması ve yönetilmesi olmadan şifreleme işe yaramaz hale gelir. Key Vault, bulut hizmetleri tarafından kullanılan şifreleme anahtarlarına erişimi yönetmek ve denetlemek için Microsoft tarafından önerilen çözümdür. Anahtarlara erişim izinleri hizmetlere veya Microsoft Entra hesapları aracılığıyla kullanıcılara atanabilir.
Key Vault, kuruluşların donanım güvenlik modülleri (HSM) ve anahtar yönetimi yazılımını yapılandırma, koruma ve buna düzeltme eki uygulama ihtiyacını ortadan kaldırır. Key Vault'ı kullandığınızda denetimi korursunuz. Microsoft anahtarlarınızı hiçbir zaman görmez ve uygulamaların bunlara doğrudan erişimi yoktur. Ayrıca HSM'lerde anahtarları içeri aktarabilir veya oluşturabilirsiniz.