Azure Veri Gezgini'de güvenlik

Bu makalede, buluttaki verilerinizi ve kaynaklarınızı korumanıza ve işletmenizin güvenlik gereksinimlerini karşılamanıza yardımcı olmak için Azure Veri Gezgini güvenliğine giriş bilgileri sağlanmaktadır. Kümelerinizin güvenliğini sağlamak önemlidir. Kümelerinizin güvenliğini sağlamak, güvenli erişim ve depolama sağlayan bir veya daha fazla Azure özelliği içerir. Bu makalede kümenizin güvenliğini sağlamanıza yardımcı olacak bilgiler sağlanır.

İşletmeniz veya kuruluşunuz için uyumlulukla ilgili daha fazla kaynak için Azure uyumluluk belgelerine bakın.

Ağ güvenliği

Ağ güvenliği, güvenlik bilincine sahip birçok kurumsal müşteri tarafından paylaşılan bir gereksinimdir. Amaç, ağ trafiğini yalıtmak ve Azure Veri Gezgini ve ilgili iletişimler için saldırı yüzeyini sınırlamaktır. Azure Veri Gezgini olmayan ağ kesimlerinden kaynaklanan trafiği engelleyebilir ve yalnızca bilinen kaynaklardan gelen trafiğin Azure Veri Gezgini uç noktalarına ulaşmasını sağlayabilirsiniz. Bu koruma, şirket içinde veya Azure dışından gelen ve Azure hedefine sahip trafiği (veya tam tersini) içerir.

Azure Veri Gezgini, ağ yalıtımı ve güvenliği elde etmek için özel uç noktaları destekler. Özel uç noktalar, sanal ağınızdan bir özel IP adresi kullanarak Azure Veri Gezgini kümenize bağlanmak için güvenli bir yol sağlar ve hizmeti etkin bir şekilde sanal ağınıza getirir. Bu yapılandırma, sanal ağınızla hizmet arasındaki trafiğin Microsoft omurga ağı üzerinden seyahat etmesini sağlayarak genel İnternet'ten etkilenmeyi ortadan kaldırır.

Kümeniz için özel uç noktaları yapılandırma hakkında daha fazla bilgi için bkz. Özel uç nokta.

Kimlik ve erişim denetimi

Rol tabanlı erişim denetimi

Görevleri ayrıştırmak ve küme kullanıcılarına yalnızca gerekli erişimi vermek için rol tabanlı erişim denetimini (RBAC) kullanın. Kümede herkese sınırsız izin vermek yerine, yalnızca belirli rollere atanan kullanıcıların belirli eylemleri gerçekleştirmesine izin verin. Azure CLI veya Azure PowerShell kullanarak Azure portalındakiveritabanları için erişim denetimini yapılandırabilirsiniz.

Azure kaynakları için yönetilen kimlikler

Bulut uygulamaları oluştururken karşılaşılan yaygın bir zorluk, bulut hizmetlerinde kimlik doğrulaması yapmak için kodunuzdaki kimlik bilgileri yönetimidir. Kimlik bilgilerinin güvenlik altında tutulması önemli bir görevdir. Kimlik bilgilerini geliştirici iş istasyonlarında depolamamalı veya kaynak denetiminde denetlememelisiniz. Azure Key Vault kimlik bilgilerini, gizli dizileri ve diğer anahtarları güvenle depolamak için bir yol sağlar, ama bunları alabilmek için kodunuzun Key Vault'ta kimlik doğrulaması yapması gerekir.

Azure kaynakları için Microsoft Entra yönetilen kimlikleri özelliği bu sorunu çözer. Bu özellik, Azure hizmetlerine Microsoft Entra ID'de otomatik olarak yönetilen bir kimlik sağlar. Kodunuzda hiçbir kimlik bilgisi olmadan Key Vault dahil olmak üzere Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapmak için kimliği kullanabilirsiniz. Bu hizmet hakkında daha fazla bilgi için Azure kaynakları için yönetilen kimliklere bkz. genel bakış sayfası.

Veri koruması

Azure disk şifrelemesi

Azure Disk Şifrelemesi , kuruluşunuzun güvenlik ve uyumluluk taahhütlerini yerine getirebilmeniz için verilerinizin korunmasına ve korunmasına yardımcı olur. Kümenizin sanal makinelerinin işletim sistemi ve veri diskleri için birim şifrelemesi sağlar. Azure Disk Şifrelemesi ayrıca, disk şifreleme anahtarlarını ve gizli dizilerini denetlemek ve yönetmek ve VM disklerindeki tüm verilerin şifrelendiğinden emin olmak için kullanabileceğiniz Azure Key Vault ile tümleşir.

Azure Key Vault ile müşteri tarafından yönetilen anahtarlar

Varsayılan olarak, Microsoft tarafından yönetilen anahtarlar verileri şifreler. Şifreleme anahtarları üzerinde ek denetim için, veri şifrelemesi için müşteri tarafından yönetilen anahtarlar sağlayın. Kendi anahtarlarınızı kullanarak verilerinizin şifrelemesini depolama düzeyinde yönetebilirsiniz. Müşteri tarafından yönetilen anahtar, tüm verileri şifreleyen ve şifrelerini çözen kök şifreleme anahtarına erişimi korur ve denetler. Müşteri tarafından yönetilen anahtarlar, erişim denetimlerini oluşturma, döndürme, devre dışı bırakma ve iptal etme esnekliğini daha fazla sağlar. Verilerinizi koruyan şifreleme anahtarlarını da denetleyebilirsiniz.

Müşteri tarafından yönetilen anahtarlarınızı depolamak için Azure Key Vault'ı kullanın. Kendi anahtarlarınızı oluşturup bir anahtar kasasında depolayabilir veya anahtar oluşturmak için Azure Key Vault API'sini kullanabilirsiniz. Azure Veri Gezgini kümesi ve Azure Key Vault aynı bölgede olmalıdır, ancak farklı aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi için bkz . Azure Key Vault nedir?. Müşteri tarafından yönetilen anahtarlar hakkında ayrıntılı bir açıklama için bkz. Azure Key Vault ile müşteri tarafından yönetilen anahtarlar. Portal, C#, Azure Resource Manager şablonu, CLI veya PowerShell kullanarak Azure Veri Gezgini kümenizde müşteri tarafından yönetilen anahtarları yapılandırın.

Not

Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID'nin bir özelliği olan Azure kaynakları için yönetilen kimlikleri kullanır. Azure portalında müşteri tarafından yönetilen anahtarları yapılandırmak için, Azure Veri Gezgini kümeniz için yönetilen kimlikleri yapılandırma bölümünde açıklandığı gibi kümenize yönetilen kimlik yapılandırın.

Müşteri tarafından yönetilen anahtarları Azure Key Vault'ta depolama

Bir kümede müşteri tarafından yönetilen anahtarları etkinleştirmek için anahtarlarınızı depolamak için bir Azure Key Vault kullanın. Anahtar kasasında Geçici Silme ve Silme Koruması özelliklerini etkinleştirmeniz gerekir. Anahtar kasası kümeyle aynı bölgede olmalıdır. Azure Veri Gezgini şifreleme ve şifre çözme işlemleri için anahtar kasasında kimlik doğrulaması yapmak üzere Azure kaynakları için yönetilen kimlikleri kullanır. Yönetilen kimlikler dizinler arası senaryoları desteklemez.

Müşteri tarafından yönetilen anahtarları döndürme

Azure Key Vault'ta müşteri tarafından yönetilen bir anahtarı uyumluluk ilkelerinize göre döndürebilirsiniz. Anahtarı döndürmek için anahtar sürümünü güncelleştirin veya Azure Key Vault'ta yeni bir anahtar oluşturun ve ardından yeni anahtar URI'sini kullanarak verileri şifrelemek için kümeyi güncelleştirin. Bu adımları Azure CLI'yi kullanarak veya portalda gerçekleştirebilirsiniz. Anahtarı döndürmek, kümedeki mevcut verilerin yeniden şifrelenmesini tetiklemez.

Bir anahtarı döndürdüğünüzde, genellikle kümeyi oluştururken kullanılan kimliğin aynısını belirtirsiniz. İsteğe bağlı olarak, anahtar erişimi için kullanıcı tarafından atanan yeni bir kimlik yapılandırın veya kümenin sistem tarafından atanan kimliğini etkinleştirin ve belirtin.

Not

Anahtar erişimi için yapılandırdığınız kimlik için gerekli Get, Unwrap Key ve Wrap Key izinlerinin ayarlandığından emin olun.

Anahtar sürümünü güncelle

Yaygın bir senaryo, müşteri tarafından yönetilen anahtar olarak kullanılan anahtarın sürümünü güncelleştirmektir. Küme şifrelemesini nasıl yapılandırdığınıza bağlı olarak, kümedeki müşteri tarafından yönetilen anahtar otomatik olarak güncelleştirilir veya bunu el ile güncelleştirmeniz gerekir.

Müşteri tarafından yönetilen anahtarlara erişimi iptal etme

Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için PowerShell veya Azure CLI kullanın. Daha fazla bilgi için bkz . Azure Key Vault PowerShell veya Azure Key Vault CLI. Şifreleme anahtarına Azure Veri Gezgini tarafından erişilemediğinden erişimin iptali kümenin depolama düzeyindeki tüm verilere erişimi engeller.

Not

Azure Veri Gezgini, müşteri tarafından yönetilen bir anahtara erişimin iptal olduğunu belirlediğinde, önbelleğe alınan verileri silmek için kümeyi otomatik olarak askıya alır. Anahtara erişim döndürüldükten sonra küme otomatik olarak devam eder.