Azure müşteri veri koruması

Microsoft operasyonları ve destek personeli tarafından müşteri verilerine erişim varsayılan olarak reddedilir. Destek olayıyla ilgili verilere erişim verildiğinde, yalnızca uyumluluk ve gizlilik ilkelerimize göre denetlenen ve denetlenen ilkeler kullanılarak tam zamanında (JIT) model kullanılarak verilir. Erişim denetimi gereksinimleri aşağıdaki Azure Güvenlik İlkesi tarafından oluşturulur:

• Varsayılan olarak müşteri verilerine erişim yoktur.
• Müşteri sanal makinelerinde (VM) kullanıcı veya yönetici hesabı yok.
• Görevi tamamlamak için gereken en düşük ayrıcalığı verin; denetim ve günlük erişim istekleri.

Azure desteği personeline Microsoft tarafından benzersiz kurumsal Active Directory hesapları atanır. Azure, önemli bilgi sistemlerine erişimi denetlemek için Microsoft Information Technology (MSIT) tarafından yönetilen Microsoft kurumsal Active Directory'ye güvenir. Çok faktörlü kimlik doğrulaması gereklidir ve erişim yalnızca güvenli konsollardan verilir.

Veri koruması

Azure, müşterilere hem varsayılan hem de müşteri seçenekleri olarak güçlü veri güvenliği sağlar.

Veri ayırma: Azure çok kiracılı bir hizmettir ve bu da birden çok müşteri dağıtımının ve VM'nin aynı fiziksel donanımda depolandığı anlamına gelir. Azure, her müşterinin verilerini başkalarının verilerinden ayrıştırmak için mantıksal yalıtım kullanır. Ayrıştırma, çok kiracılı hizmetlerin ölçek ve ekonomik avantajlarını sağlarken müşterilerin bir başkasının verilerine erişmesini de sıkı bir şekilde engeller.

Bekleyen veri koruması: Müşteriler, Azure'da depolanan verilerin standartlarına uygun olarak şifrelendiğinden emin olur. Azure, müşterilere ihtiyaçlarına en uygun çözümü seçme esnekliği sunan çok çeşitli şifreleme özellikleri sunar. Azure Key Vault, müşterilerin verileri şifrelemek için bulut uygulamaları ve hizmetleri tarafından kullanılan anahtarların denetimini kolayca korumasına yardımcı olur. Azure Disk Şifrelemesi müşterilerin VM'leri şifrelemesini sağlar. Azure Depolama Hizmeti Şifrelemesi, müşterinin depolama hesabına yerleştirilen tüm verileri şifrelemeyi mümkün kılar.

Aktarım içi veri koruması: Microsoft, müşteriler tarafından Azure ağı içinde ve İnternet dışından son kullanıcıya aktarımdaki verilerin güvenliğini sağlamak için kullanılabilecek birçok seçenek sunar. Bunlar Sanal Özel Ağlar (IPsec/IKE şifrelemesi kullanılarak), Aktarım Katmanı Güvenliği (TLS) 1.2 veya üzeri (Application Gateway veya Azure Front Door gibi Azure bileşenleri aracılığıyla), doğrudan Azure sanal makinelerinde (Windows IPsec veya SMB gibi) protokoller aracılığıyla iletişim ve daha fazlasını içerir.

Ayrıca, müşteri verilerinin gizliliğini ve bütünlüğünü sağlamak için Azure veri merkezleri arasında seyahat eden tüm Azure trafiği için MACsec (veri bağlantısı katmanında bir IEEE standardı) kullanılarak "varsayılan olarak şifreleme" etkinleştirilir.

Veri yedekliliği: Microsoft, bir veri merkezinde siber saldırı veya fiziksel hasar olması durumunda verilerin korunmasına yardımcı olur. Müşteriler şunları tercih edebilir:

• Uyumluluk veya gecikme süresi konusunda dikkat edilmesi gerekenler için ülke/bölge içi depolama.
• Güvenlik veya olağanüstü durum kurtarma amacıyla ülke dışı/bölge depolama alanı.

Veriler, yedeklilik için seçilen bir coğrafi alan içinde çoğaltılabilir, ancak bunun dışına aktarılamaz. Müşterilerin verileri çoğaltmak için kopya sayısı ve çoğaltma veri merkezlerinin sayısı ve konumu dahil olmak üzere birden çok seçeneği vardır.

Depolama hesabınızı oluştururken aşağıdaki çoğaltma seçeneklerinden birini seçin:

• Yerel olarak yedekli depolama (LRS):Yerel olarak yedekli depolama, verilerinizin üç kopyasını tutar. LRS, tek bir bölgedeki tek bir tesis içinde üç kez çoğaltılır. LRS verilerinizi normal donanım hatalarından korur, ancak tek bir tesisin arızasından korumaz.
• Alanlar arası yedekli depolama (ZRS):Alanlar arası yedekli depolama, verilerinizin üç kopyasını tutar. ZRS, LRS'den daha yüksek dayanıklılık sağlamak için iki ile üç tesis arasında üç kez çoğaltılır. Çoğaltma tek bir bölgede veya iki bölgede gerçekleşir. ZRS, verilerinizin tek bir bölgede dayanıklı olmasını sağlamaya yardımcı olur.
• Coğrafi olarak yedekli depolama (GRS):Coğrafi olarak yedekli depolama, oluşturduğunuzda depolama hesabınız için varsayılan olarak etkinleştirilir. GRS verilerinizin altı kopyasını tutar. GRS ile verileriniz birincil bölge içinde üç kez çoğaltılır. Verileriniz ayrıca birincil bölgeden yüzlerce mil uzaktaki ikincil bir bölgede üç kez çoğaltılır ve en yüksek dayanıklılık düzeyini sağlar. Birincil bölgede bir hata olursa Azure Depolama ikincil bölgeye yük devreder. GRS, verilerinizin iki ayrı bölgede dayanıklı olmasını sağlamaya yardımcı olur.

Veri yok etme: Müşteriler verileri sildiğinde veya Azure'dan ayrıldığında, Microsoft verileri silmek ve kullanımdan kaldırılan donanımın fiziksel olarak yok edilmesi için katı standartlara uyar. Microsoft, müşteri isteğinde ve sözleşme sonlandırmada verilerin tamamen silinmesini yürütür. Daha fazla bilgi için bkz . Microsoft'ta veri yönetimi.

Müşteri veri sahipliği

Microsoft, müşterilerin Azure'a dağıttığı uygulamaları incelemez, onaylamaz veya izlemez. Ayrıca Microsoft, müşterilerin Azure'da ne tür veri depolamayı seçtiğini de bilmez. Microsoft, Azure'a girilen müşteri bilgileri üzerinde veri sahipliği talep etmez.

Kayıt yönetimi

Azure, arka uç verileri için dahili kayıt saklama gereksinimleri oluşturdu. Müşteriler kendi kayıt saklama gereksinimlerini belirlemekle sorumludur. Azure'da depolanan kayıtlar için müşteriler verilerini ayıklamaktan ve içeriklerini azure dışında müşteri tarafından belirtilen bir saklama süresi boyunca tutmaktan sorumludur.

Azure, müşterilerin üründen veri ve denetim raporlarını dışarı aktarmasına olanak tanır. Dışarı aktarmalar, müşteri tanımlı saklama süresine ilişkin bilgileri saklamak için yerel olarak kaydedilir.

Elektronik bulma (e-bulma)

Azure müşterileri, Azure hizmetlerini kullanırken e-bulma gereksinimlerine uymakla sorumludur. Azure müşterilerinin müşteri verilerini koruması gerekiyorsa verileri dışarı aktarabilir ve yerel olarak kaydedebilirler. Ayrıca müşteriler, Azure Müşteri Desteği departmanından verilerini dışarı aktarma isteğinde bulunabilir. Azure, müşterilerin verilerini dışarı aktarmasına izin vermenin yanı sıra şirket içinde kapsamlı günlüğe kaydetme ve izleme işlemleri de yürütür.

Sonraki adımlar

Microsoft'un Azure altyapısının güvenliğini sağlamak için neler yaptığı hakkında daha fazla bilgi edinmek için bkz:

• Azure tesisleri, şirket içi ve fiziksel güvenlik
• Azure altyapısı kullanılabilirliği
• Azure bilgi sistemi bileşenleri ve sınırları
• Azure ağ mimarisi
• Azure üretim ağı
• güvenlik özelliklerini Azure SQL Veritabanı
• Azure üretim işlemleri ve yönetimi
• Azure altyapısı izleme
• Azure altyapı bütünlüğü