Güvenliği destekleyen bulut tasarımı desenleri
İş yükü mimarileri tasarlarken, yaygın zorluklara çözüm getiren sektör desenlerini kullanmanız gerekir. Desenler, iş yükleri içinde kasıtlı olarak ödünler oluşturmanıza ve istediğiniz sonuç için iyileştirme yapmanıza yardımcı olabilir. Ayrıca güvenilirlik, performans, maliyet ve işlemleri etkileyebilecek belirli sorunlardan kaynaklanan riskleri azaltmaya da yardımcı olabilir. Bu riskler, güvenlik güvencesi eksikliğinin göstergesi olabilir ve katılımsız bırakılırsa işletme için önemli riskler oluşturabilir. Bu desenler gerçek dünya deneyimi tarafından desteklenir, bulut ölçeği ve işletim modelleri için tasarlanmıştır ve doğası gereği satıcıdan bağımsızdır. İş yükü tasarımınızı standartlaştırmanın bir yolu olarak iyi bilinen desenleri kullanmak, operasyonel mükemmelliğinizin bir bileşenidir.
Birçok tasarım deseni bir veya daha fazla mimari sütununu doğrudan destekler. Güvenlik sütununu destekleyen tasarım desenleri segmentasyon ve yalıtım, güçlü yetkilendirme, tekdüzen uygulama güvenliği ve modern protokoller gibi kavramlara öncelik verir.
Güvenlik için tasarım desenleri
Aşağıdaki tabloda, güvenlik hedeflerini destekleyen bulut tasarım desenleri özetlemektedir.
Desen | Özet |
---|---|
Büyükelçi | Ağ iletişimi ile ilgili çapraz kesme görevlerini boşaltarak ağ iletişimlerini kapsüller ve yönetir. Sonuçta elde edilen yardımcı hizmetler istemci adına iletişim başlatır. Bu aracılık noktası, ağ iletişimlerinde güvenliği artırma fırsatı sunar. |
Ön Uçlar için Arka Uçlar | Belirli bir ön uç arabirimine özel ayrı hizmetler oluşturarak iş yükünün hizmet katmanını bireyselleştirir. Bu ayrım nedeniyle, bir istemciyi destekleyen hizmet katmanındaki güvenlik ve yetkilendirme, bu istemci tarafından sağlanan işlevlere göre uyarlanabilir ve potansiyel olarak API'nin yüzey alanını ve farklı özellikleri ortaya çıkarabilecek farklı arka uçlar arasında yanal hareketi azaltabilir. |
Bölme Perdesi | Arızaların patlama yarıçapını yalıtmak için bileşenler arasında kasıtlı ve tam segmentasyon sağlar. Güvenliği aşılmış bölme başlığına güvenlik olayları eklemek için de bu stratejiyi kullanabilirsiniz. |
Talep Denetimi | İletiyle ilgili verileri ayrı olarak almak için bir yol sağlayarak verileri mesajlaşma akışından ayırır. Bu düzen, hassas verilerin ileti gövdelerinin dışında tutulmasını, bunun yerine güvenli bir veri deposunda yönetilmesini destekler. Bu yapılandırma, verileri kullanması beklenen hizmetlerden hassas verilere erişimi desteklemek için daha katı bir yetkilendirme oluşturmanıza, ancak kuyruk izleme çözümleri gibi yardımcı hizmetlerden görünürlüğü kaldırmanıza olanak tanır. |
Federal Kimlik | Temsilciler, kullanıcıları yönetmek ve uygulamanız için kimlik doğrulaması sağlamak için iş yükünün dışında olan bir kimlik sağlayıcısına güvenir. Kullanıcı yönetimini ve kimlik doğrulamasını dışlaştırarak, iş yükünüzde bu özellikleri uygulamaya gerek kalmadan kimlik tabanlı tehdit algılama ve önleme için gelişmiş özellikler elde edebilirsiniz. Dış kimlik sağlayıcıları modern birlikte çalışabilir kimlik doğrulama protokollerini kullanır. |
Ağ Geçidi Denetleyicisi | İsteği arka uç düğümüne iletmeden önce ve sonra özellikle güvenlik ve erişim denetimi zorlamasına yönelik istek işleme yükünü boşaltabilir. İstek akışına bir ağ geçidi eklemek web uygulaması güvenlik duvarları, DDoS koruması, bot algılama, istek işleme, kimlik doğrulama başlatma ve yetkilendirme denetimleri gibi güvenlik işlevlerini merkezileştirmenize olanak tanır. |
Ağ Geçidi Toplama | Tek bir istekte birden çok arka uç hizmetine yapılan çağrıları toplayarak iş yükünüzle istemci etkileşimlerini basitleştirir. Bu topoloji genellikle bir istemcinin sistemle sahip olduğu dokunma noktası sayısını azaltır ve bu da genel yüzey alanını ve kimlik doğrulama noktalarını azaltır. Toplanan arka uçlar istemcilerden tamamen ağdan yalıtılmış olarak kalabilir. |
Ağ Geçidi Boşaltma | İsteği arka uç düğümüne iletmeden önce ve sonra istek işlemeyi bir ağ geçidi cihazına boşaltıyor. İstek akışına bir ağ geçidi eklemek, web uygulaması güvenlik duvarları ve istemcilerle TLS bağlantıları gibi güvenlik işlevlerini merkezileştirmenizi sağlar. Platform tarafından sağlanan tüm boşaltılmış işlevler zaten gelişmiş güvenlik sunar. |
Yayımcı/Abone | Doğrudan istemciden hizmete iletişimi ara ileti aracısı veya olay veri yolu aracılığıyla iletişimle değiştirerek mimarideki bileşenleri ayırır. Bu değişiklik, kuyruk abonelerinin yayımcıdan ağdan yalıtılmış olmasını sağlayan önemli bir güvenlik segmentasyonu sınırı sağlar. |
Karantina | Dış varlıkların iş yükünde kullanma yetkisi olmadan önce ekip tarafından kabul edilen bir kalite düzeyine uymasını sağlar. Bu denetim, dış yapıtların ilk güvenlik doğrulaması görevi görür. Yapıt üzerindeki doğrulama, güvenli geliştirme yaşam döngüsü (SDL) içinde kullanılmadan önce kesimli bir ortamda gerçekleştirilen bir yapıttır. |
Sepet | Bir uygulamanın işlevselliğini, ana uygulamayla birlikte mevcut olan eşlikçi bir işlemde ayrıcalıksız veya çapraz kesme görevlerini kapsülleyerek genişletir. Bu görevleri kapsülleyerek ve işlem dışı dağıtarak, hassas işlemlerin yüzey alanını yalnızca görevi gerçekleştirmek için gereken koda düşürebilirsiniz. Ayrıca, bu işlevsellikle yerel olarak tasarlanmamış bir uygulama bileşenine çapraz kesme güvenlik denetimleri eklemek için sepetleri de kullanabilirsiniz. |
Azaltma | Bir kaynağa veya bileşene gelen isteklerin hızına veya aktarım hızına sınırlar uygular. Sistemin otomatik olarak kötüye kullanılmasına neden olabilecek kaynak tükenmesini önlemeye yardımcı olmak için sınırları tasarlayabilirsiniz. |
Vale Anahtarı | Erişime ara sunucu sağlamak için ara kaynak kullanmadan kaynağa güvenlik kısıtlamalı erişim verir. Bu düzen, istemcinin uzun süreli veya kalıcı kimlik bilgilerine gerek kalmadan kaynağa doğrudan erişmesini sağlar. Tüm erişim istekleri denetlenebilir bir işlemle başlar. Verilen erişim daha sonra hem kapsam hem de süre olarak sınırlandırılır. Bu düzen, verilen erişimi iptal etme işlemini de kolaylaştırır. |
Sonraki adımlar
Diğer Azure Well-Architected Framework yapılarını destekleyen bulut tasarımı desenlerini gözden geçirin: