Bu makalede, güvenli bir data lakehouse çözümü oluşturmak için Azure Synapse'i kullanmaya yönelik tasarım süreci, ilkeler ve teknoloji seçenekleri açıklanmaktadır. Güvenlikle ilgili önemli noktalara ve önemli teknik kararlara odaklanıyoruz.
Apache®, Apache Spark® ve alev logosu, Apache Software Foundation'ın Birleşik Devletler ve/veya diğer ülkelerdeki tescilli ticari markaları veya ticari markalarıdır. Bu işaretlerin kullanılması Apache Software Foundation tarafından onaylanmamaktadır.
Mimari
Aşağıdaki diyagramda data lakehouse çözümünün mimarisi gösterilmektedir. Güvenlik tehditlerini azaltmak için hizmetler arasındaki etkileşimleri denetlemek için tasarlanmıştır. Çözümler, işlevsel ve güvenlik gereksinimlerine bağlı olarak değişir.
Bu mimarinin bir Visio dosyasını indirin.
Veri akışı
Çözümün veri akışı aşağıdaki diyagramda gösterilmiştir:
- Veriler, veri kaynağından Azure Blob depolamaya veya Azure Dosyalar tarafından sağlanan bir dosya paylaşımına veri giriş bölgesine yüklenir. Veriler bir toplu karşıya yükleme programı veya sistemi tarafından karşıya yüklenir. Akış verileri, Azure Event Hubs'ın Yakalama özelliği kullanılarak Blob Depolama yakalanır ve depolanır. Birden çok veri kaynağı olabilir. Örneğin, birkaç farklı fabrika operasyon verilerini karşıya yükleyebilir. Blob Depolama, dosya paylaşımları ve diğer depolama kaynaklarına erişimin güvenliğini sağlama hakkında bilgi için bkz. Blob Depolama için güvenlik önerileri ve Azure Dosyalar dağıtımı planlama.
- Veri dosyasının gelmesi, verileri işlemek ve çekirdek veri bölgesindeki veri gölünde depolamak için Azure Data Factory'yi tetikler. Azure Data Lake'te çekirdek veri bölgesine veri yüklemek, veri sızdırmaya karşı koruma sağlar.
- Azure Data Lake, farklı kaynaklardan alınan ham verileri depolar. Güvenlik duvarı kuralları ve sanal ağlar tarafından korunur. Genel İnternet'ten gelen tüm bağlantı girişimlerini engeller.
- Veri gölüne veri gelmesi Azure Synapse işlem hattını tetikler veya zamanlanmış bir tetikleyici bir veri işleme işi çalıştırır. Azure Synapse'te Apache Spark etkinleştirilir ve bir Spark işi veya not defteri çalıştırır. Ayrıca data lakehouse'daki veri işlemi akışını düzenler. Azure Synapse işlem hatları, verileri Bronz bölgeden Silver Bölgesi'ne ve ardından Altın Bölge'ye dönüştürür.
- Spark işi veya not defteri, veri işleme işini çalıştırır. Veri seçme veya makine öğrenmesi eğitim işi Spark'ta da çalıştırılabilir. Altın bölgedeki yapılandırılmış veriler Delta Lake biçiminde depolanır.
- Sunucusuz SQL havuzu , Delta Lake'te depolanan verileri kullanan dış tablolar oluşturur. Sunucusuz SQL havuzu güçlü ve verimli bir SQL sorgu altyapısı sağlar ve geleneksel SQL kullanıcı hesaplarını veya Microsoft Entra kullanıcı hesaplarını destekleyebilir.
- Power BI, verileri görselleştirmek için sunucusuz SQL havuzuna bağlanır. Data Lakehouse'daki verileri kullanarak raporlar veya panolar oluşturur.
- Veri Analisti'ler veya bilim adamları Azure Synapse Studio'da şu işlemleri yapmak için oturum açabilir:
- Verileri daha da geliştirin.
- İş içgörüleri elde etmek için analiz edin.
- Makine öğrenmesi modelini eğitin.
- İş uygulamaları sunucusuz bir SQL havuzuna bağlanır ve diğer iş işlemi gereksinimlerini desteklemek için verileri kullanır.
- Azure Pipelines, çözümü otomatik olarak oluşturan, test eden ve dağıtan CI/CD işlemini çalıştırır. Dağıtım işlemi sırasında insan müdahalesini en aza indirmek için tasarlanmıştır.
Bileşenler
Bu data lakehouse çözümündeki temel bileşenler şunlardır:
- Azure Synapse
- Azure Dosyaları
- Event Hubs
- Blob Depolama
- Azure Data Lake Storage
- Azure DevOps
- Power BI
- Data Factory
- Azure Bastion
- Azure İzleyici
- Bulut için Microsoft Defender
- Azure Key Vault
Alternatifler
- Gerçek zamanlı veri işlemeye ihtiyacınız varsa, tek tek dosyaları veri giriş bölgesinde depolamak yerine, Event Hubs'dan veri akışını almak ve işlemek için Apache Yapılandırılmış Akış'ı kullanın.
- Verilerin karmaşık bir yapısı varsa ve karmaşık SQL sorguları gerektiriyorsa, bunu sunucusuz SQL havuzu yerine ayrılmış bir SQL havuzunda depolamayı göz önünde bulundurun.
- Veriler birçok hiyerarşik veri yapısı içeriyorsa (örneğin, büyük bir JSON yapısına sahipse) azure synapse Veri Gezgini depolamak isteyebilirsiniz.
Senaryo ayrıntıları
Azure Synapse Analytics kurumsal veri ambarı, gerçek zamanlı veri analizi, işlem hatları, zaman serisi veri işleme, makine öğrenmesi ve veri idaresini destekleyen çok yönlü bir veri platformudur. Bu özellikleri desteklemek için aşağıdakiler gibi birkaç farklı teknolojiyi tümleştirir:
- Kurumsal veri ambarı oluşturma
- Sunucusuz SQL havuzları
- Apache Spark
- Pipelines
- Veri Gezgini
- Makine öğrenmesi özellikleri
- Purview birleşik veri idaresi
Bu özellikler birçok olasılık sunar, ancak güvenli kullanım için altyapıyı güvenli bir şekilde yapılandırmak için yapılması gereken birçok teknik seçenek vardır.
Bu makalede, güvenli bir data lakehouse çözümü oluşturmak için Azure Synapse'i kullanmaya yönelik tasarım süreci, ilkeler ve teknoloji seçenekleri açıklanmaktadır. Güvenlikle ilgili önemli noktalara ve önemli teknik kararlara odaklanıyoruz. Çözüm şu Azure hizmetlerini kullanır:
- Azure Synapse
- Azure Synapse sunucusuz SQL havuzları
- Azure Synapse Analytics’te Apache Spark
- Azure Synapse işlem hatları
- Azure Data Lake
- Azure DevOps.
Amaç, kurumsal kullanım için güvenli ve uygun maliyetli bir data lakehouse platformu oluşturma ve teknolojilerin sorunsuz ve güvenli bir şekilde birlikte çalışmasını sağlama konusunda rehberlik sağlamaktır.
Olası kullanım örnekleri
Data Lakehouse, bir veri gölünün maliyet verimliliği, ölçek ve esneklik özelliklerini bir veri ambarının veri ve işlem yönetimi özellikleriyle birleştiren modern bir veri yönetimi mimarisidir. Bir data lakehouse çok büyük miktarda veriyi işleyebilir ve iş zekası ile makine öğrenmesi senaryolarını destekleyebilir. Ayrıca çeşitli veri yapılarından ve veri kaynaklarından verileri işleyebilir. Daha fazla bilgi için bkz . Databricks Lakehouse nedir?.
Burada açıklanan çözüm için bazı yaygın kullanım örnekleri şunlardır:
- Nesnelerin İnterneti (IoT) telemetrisinin analizi
- Akıllı fabrikaların otomasyonu (üretim için)
- Tüketici etkinliklerini ve davranışını izleme (perakende için)
- Güvenlik olaylarını ve olaylarını yönetme
- Uygulama günlüklerini ve uygulama davranışını izleme
- Yarı yapılandırılmış verilerin işlenmesi ve iş analizi
Üst düzey tasarım
Bu çözüm, mimarideki güvenlik tasarımı ve uygulama uygulamalarına odaklanır. Sunucusuz SQL havuzu, Azure Synapse'de Apache Spark, Azure Synapse işlem hatları, Data Lake Depolama ve Power BI, data lakehouse desenini uygulamak için kullanılan temel hizmetlerdir.
Üst düzey çözüm tasarımı mimarisi aşağıdadır:
Güvenlik odağını seçin
Tehdit Modelleme aracını kullanarak güvenlik tasarımını başlattık. Araç bize yardımcı oldu:
- Olası riskler hakkında sistem paydaşlarıyla iletişim kurun.
- Sistemdeki güven sınırını tanımlayın.
Tehdit modelleme sonuçlarına dayanarak aşağıdaki güvenlik alanlarını en önemli önceliklerimiz haline getirdik:
- Kimlik ve Erişim denetimi
- Ağ koruması
- DevOps güvenliği
Bu en önemli önceliklerle belirlenen önemli güvenlik risklerini azaltarak sistemi korumak için güvenlik özelliklerini ve altyapı değişikliklerini tasarladık.
Denetlenmesi ve dikkate alınması gerekenler hakkında ayrıntılı bilgi için bkz:
- Azure için Microsoft Bulut Benimseme Çerçevesi'nde güvenlik
- Erişim denetimi
- Varlık koruması
- Yenilik güvenliği
Ağ ve varlık koruma planı
Bulut Benimseme Çerçevesi temel güvenlik ilkelerinden biri Sıfır Güven ilkesidir: Herhangi bir bileşen veya sistem için güvenlik tasarlarken, kuruluştaki diğer kaynakların gizliliğinin tehlikeye girdiğini varsayarak saldırganların erişimini genişletme riskini azaltın.
Tehdit modelleme sonucuna bağlı olarak, çözüm sıfır güven içinde mikro segmentasyon dağıtım önerisini benimser ve birkaç güvenlik sınırı tanımlar. Azure Sanal Ağ ve Azure Synapse veri sızdırma koruması, veri varlıklarını ve kritik bileşenleri korumak amacıyla güvenlik sınırını uygulamak için kullanılan temel teknolojilerdir.
Azure Synapse birkaç farklı teknolojiden oluştuğundan şunları yapmamız gerekir:
Synapse bileşenlerini ve projede kullanılan ilgili hizmetleri tanımlayın.
Azure Synapse, birçok farklı veri işleme gereksinimini karşılayan çok yönlü bir veri platformudur. İlk olarak, azure synapse'in hangi bileşenlerinin projede kullanılacağına karar vermemiz gerekir, böylece bunların nasıl korunabileceğini planlayabiliriz. Ayrıca bu Azure Synapse bileşenleriyle diğer hangi hizmetlerin iletişim kuracaklarını da belirlememiz gerekir.
Data Lakehouse mimarisinde temel bileşenler şunlardır:
- Azure Synapse sunucusuz SQL
- Azure Synapse'te Apache Spark
- Azure Synapse işlem hatları
- Data Lake Storage
- Azure DevOps
Bileşenler arasındaki yasal iletişim davranışlarını tanımlayın.
Bileşenler arasında izin verilen iletişim davranışlarını tanımlamamız gerekir. Örneğin Spark altyapısının ayrılmış SQL örneğiyle doğrudan iletişim kurmasını mı yoksa Azure Synapse Veri Entegrasyonu işlem hattı veya Data Lake Depolama gibi bir ara sunucu üzerinden iletişim kurmasını mı istiyoruz?
Sıfır Güven ilkesine bağlı olarak, etkileşim için iş gereksinimi yoksa iletişimi engelleriz. Örneğin, bilinmeyen bir kiracıdaki bir Spark altyapısının Data Lake storage ile doğrudan iletişim kurmasını engelleriz.
Tanımlanan iletişim davranışlarını zorunlu kılmak için uygun güvenlik çözümünü seçin.
Azure'da, çeşitli güvenlik teknolojileri tanımlı hizmet iletişimi davranışlarını zorunlu kılabilir. Örneğin, Data Lake Depolama bir veri gölüne erişimi denetlemek için IP adresi izin verilenler listesini kullanabilirsiniz, ancak hangi sanal ağlara, Azure hizmetlerine ve kaynak örneklerine izin verileceğini de seçebilirsiniz. Her koruma yöntemi farklı güvenlik koruması sağlar. İş gereksinimlerine ve çevre sınırlamalarına göre seçim yapın. Bu çözümde kullanılan yapılandırma sonraki bölümde açıklanmıştır.
Kritik kaynaklar için tehdit algılama ve gelişmiş savunmalar uygulayın.
Kritik kaynaklar için en iyisi tehdit algılama ve gelişmiş savunmaları uygulamaktır. Hizmetler tehditleri belirlemeye ve uyarıları tetiklemesine yardımcı olur, böylece sistem güvenlik ihlalleri hakkında kullanıcılara bildirimde bulunabilir.
Ağları ve varlıkları daha iyi korumak için aşağıdaki teknikleri göz önünde bulundurun:
Veri işlem hatları için güvenlik bölgeleri sağlamak üzere çevre ağları dağıtma
Bir veri işlem hattı iş yükü dış verilere ve veri giriş bölgesine erişim gerektirdiğinde, bir çevre ağı uygulamak ve ayıklama, dönüştürme ve yükleme (ETL) işlem hattıyla ayırmak en iyisidir.
Tüm depolama hesapları için Bulut için Defender etkinleştirme
Bulut için Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimler algıladığında güvenlik uyarılarını tetikler. Daha fazla bilgi için bkz. Depolama için Microsoft Defender'ı yapılandırma.
Kötü amaçlı silme veya yapılandırma değişikliklerini önlemek için depolama hesabını kilitleme
Daha fazla bilgi için bkz . Depolama hesabına Azure Resource Manager kilidi uygulama.
Ağ ve varlık koruması ile mimari
Aşağıdaki tabloda, bu çözüm için seçilen tanımlı iletişim davranışları ve güvenlik teknolojileri açıklanmaktadır. Seçenekler, Ağ ve varlık koruma planında ele alınan yöntemlere dayanıyordu.
| Kimden (İstemci) | Son (Hizmet) | Davranış | Yapılandırma | Notlar | |
|---|---|---|---|---|---|
| İnternet | Data Lake Storage | Tümünü reddet | Güvenlik duvarı kuralı - Varsayılan reddetme | Varsayılan: 'Reddet' | Güvenlik duvarı kuralı - Varsayılan Reddetme |
| Azure Synapse Pipeline/Spark | Data Lake Storage | İzin Ver (örnek) | Sanal ağ - Yönetilen özel uç nokta (Data Lake Depolama) | ||
| Synapse SQL | Data Lake Storage | İzin Ver (örnek) | Güvenlik duvarı kuralı - Kaynak örnekleri (Synapse SQL) | Synapse SQL'in yönetilen kimlikleri kullanarak Data Lake Depolama erişmesi gerekiyor | |
| Azure Pipelines aracısı | Data Lake Storage | İzin Ver (örnek) | Güvenlik duvarı kuralı - Seçili sanal ağlar Hizmet uç noktası - Depolama |
Tümleştirme testi için bypass: 'AzureServices' (güvenlik duvarı kuralı) |
|
| İnternet | Synapse çalışma alanı | Tümünü reddet | Güvenlik duvarı kuralı | ||
| Azure Pipelines aracısı | Synapse çalışma alanı | İzin Ver (örnek) | Sanal ağ - özel uç nokta | Üç özel uç nokta (Dev, sunucusuz SQL ve ayrılmış SQL) gerektirir | |
| Synapse yönetilen sanal ağı | İnternet veya yetkisiz Azure kiracısı | Tümünü reddet | Sanal ağ - Synapse veri sızdırma koruması | ||
| Synapse işlem hattı/Spark | Anahtar Kasası | İzin Ver (örnek) | Sanal ağ - Yönetilen özel uç nokta (Key Vault) | Varsayılan: 'Reddet' | |
| Azure Pipelines aracısı | Anahtar Kasası | İzin Ver (örnek) | Güvenlik duvarı kuralı - Seçili sanal ağlar * Hizmet uç noktası - Key Vault |
bypass: 'AzureServices' (güvenlik duvarı kuralı) | |
| Azure Functions | Synapse sunucusuz SQL | İzin Ver (örnek) | Sanal ağ - Özel uç nokta (Synapse sunucusuz SQL) | ||
| Synapse işlem hattı/Spark | Azure İzleyici | İzin Ver (örnek) | Sanal ağ - Özel uç nokta (Azure İzleyici) |
Örneğin, planda şunları yapmak istiyoruz:
- Yönetilen bir sanal ağ ile Azure Synapse çalışma alanı oluşturun.
- Azure Synapse çalışma alanlarını kullanarak Azure Synapse çalışma alanlarından veri çıkışının güvenliğini sağlama Veri sızdırma koruması.
- Azure Synapse çalışma alanı için onaylı Microsoft Entra kiracılarının listesini yönetin.
- Seçilen sanal ağlardan Depolama hesabına trafik vermek, yalnızca erişim vermek ve genel ağ erişimini devre dışı bırakmak için ağ kurallarını yapılandırın.
- Azure Synapse tarafından yönetilen sanal ağı veri gölüne bağlamak için Yönetilen Özel Uç Noktaları kullanın.
- Azure Synapse SQL'i veri gölüne güvenli bir şekilde bağlamak için Kaynak Örneği'ni kullanın.
Dikkat edilmesi gereken noktalar
Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.
Güvenlik
İyi Tasarlanmış Çerçeve'nin güvenlik sütunu hakkında bilgi için bkz . Güvenlik.
Kimlik ve erişim denetimi
Sistemde birkaç bileşen vardır. Her biri farklı bir kimlik ve erişim yönetimi (IAM) yapılandırması gerektirir. Bu yapılandırmaların kolaylaştırılmış bir kullanıcı deneyimi sağlamak için işbirliğine ihtiyacı vardır. Bu nedenle, kimlik ve erişim denetimi uygularken aşağıdaki tasarım kılavuzunu kullanırız.
Farklı erişim denetimi katmanları için bir kimlik çözümü seçme
- Sistemde dört farklı kimlik çözümü vardır.
- SQL hesabı (SQL Server)
- Hizmet sorumlusu (Microsoft Entra Id)
- Yönetilen kimlik (Microsoft Entra Id)
- Kullanıcı Hesabı (Microsoft Entra Id)
- Sistemde dört farklı erişim denetimi katmanı vardır.
- Uygulama erişim katmanı: AP Rolleri için kimlik çözümünü seçin.
- Azure Synapse DB/Tablo erişim katmanı: Veritabanlarındaki roller için kimlik çözümünü seçin.
- Azure Synapse dış kaynak katmanına erişin: Dış kaynaklara erişmek için kimlik çözümünü seçin.
- Data Lake Depolama erişim katmanı: Depolamadaki dosya erişimini denetlemek için kimlik çözümünü seçin.
Kimlik ve erişim denetiminin önemli bir parçası, her erişim denetimi katmanı için doğru kimlik çözümünü seçmektir. Azure İyi Tasarlanmış Çerçeve'nin güvenlik tasarımı ilkeleri , yerel denetimlerin kullanılmasını ve basitliğin kullanılmasını önerir. Bu nedenle bu çözüm, uygulamadaki son kullanıcının Microsoft Entra kullanıcı hesabını ve Azure Synapse DB erişim katmanlarını kullanır. Yerel birinci taraf IAM çözümlerinden yararlanır ve ayrıntılı erişim denetimi sağlar. Azure Synapse erişim dış kaynak katmanı ve Data Lake erişim katmanı, yetkilendirme işlemini basitleştirmek için Azure Synapse'te yönetilen kimliği kullanır.
- Sistemde dört farklı kimlik çözümü vardır.
En az ayrıcalıklı erişimi göz önünde bulundurun
Sıfır Güven yol gösteren ilke, kritik kaynaklara tam zamanında ve yeterli erişim sağlamayı önerir. Gelecekte güvenliği geliştirmek için bkz. Microsoft Entra Privileged Identity Management (PIM).
Bağlı hizmeti koruma
Bağlı hizmetler, bir hizmetin dış kaynaklara bağlanması için gereken bağlantı bilgilerini tanımlar. Bağlı hizmet yapılandırmalarının güvenliğini sağlamak önemlidir.
Güvenlik puanı değerlendirmesi ve tehdit algılama
Sistemin güvenlik durumunu anlamak için çözüm, altyapı güvenliğini değerlendirmek ve güvenlik sorunlarını algılamak için Bulut için Microsoft Defender kullanır. Bulut için Microsoft Defender, güvenlik duruşu yönetimi ve tehdit koruması için bir araçtır. Azure, hibrit ve diğer bulut platformlarında çalışan iş yüklerini koruyabilir.
Azure portalındaki Bulut için Defender sayfalarını ilk kez ziyaret ettiğinizde tüm Azure aboneliklerinizde Bulut için Defender ücretsiz planını otomatik olarak etkinleştirirsiniz. Bulut güvenliği duruş değerlendirmenizi ve önerilerinizi almak için etkinleştirmenizi kesinlikle öneririz. Bulut için Microsoft Defender, güvenlik puanınızı ve abonelikleriniz için bazı güvenlik sağlamlaştırma yönergelerini sağlar.
Çözümün şüpheli etkinlikleri algılama ve uyarma gibi gelişmiş güvenlik yönetimi ve tehdit algılama özelliklerine ihtiyacı varsa, farklı kaynaklar için bulut iş yükü korumasını tek tek etkinleştirebilirsiniz.
Maliyet iyileştirme
İyi Tasarlanmış Çerçeve'nin maliyet iyileştirme sütunu hakkında bilgi için bkz . Maliyet iyileştirme.
Data Lakehouse çözümünün temel avantajlarından biri, maliyet verimliliği ve ölçeklenebilir mimarisidir. Çözümdeki bileşenlerin çoğu tüketim tabanlı faturalamayı kullanır ve otomatik olarak ölçeklenir. Bu çözümde, tüm veriler Data Lake Depolama'de depolanır. Verileri depolamak için yalnızca sorgu çalıştırmadığınız veya veri işlemediğiniz takdirde ödeme yapılır.
Bu çözümün fiyatlandırması aşağıdaki temel kaynakların kullanımına bağlıdır:
- Azure Synapse Sunucusuz SQL: tüketim tabanlı faturalamayı kullanın, yalnızca kullandığınız kadar ödeyin.
- Azure Synapse'te Apache Spark: tüketim tabanlı faturalamayı kullanın, yalnızca kullandığınız kadar ödeyin.
- Azure Synapse Pipelines: tüketim tabanlı faturalamayı kullanın, yalnızca kullandığınız kadar ödeyin.
- Azure Data Lakes: Tüketim tabanlı faturalamayı kullanın, yalnızca kullandığınız kadar ödeyin.
- Power BI: Maliyet, satın aldığınız lisansa bağlıdır.
- Özel Bağlantı: tüketime dayalı faturalamayı kullanın, yalnızca kullandığınız kadar ödeyin.
Farklı güvenlik koruma çözümlerinin farklı maliyet modları vardır. İş gereksinimlerinize ve çözüm maliyetlerinize göre güvenlik çözümünü seçmelisiniz.
Çözümün maliyetini tahmin etmek için Azure Fiyatlandırma Hesaplayıcısı'nı kullanabilirsiniz.
Operasyonel mükemmellik
İyi Tasarlanmış Çerçeve'nin operasyonel mükemmellik sütunu hakkında bilgi için bkz . Operasyonel mükemmellik.
CI/CD hizmetleri için sanal ağ özellikli şirket içinde barındırılan işlem hattı aracısı kullanma
Varsayılan Azure DevOps işlem hattı aracısı, çok geniş bir IP adresi aralığı kullandığından sanal ağ iletişimini desteklemez. Bu çözüm, DevOps işlemlerinin çözümdeki diğer hizmetlerle sorunsuz bir şekilde iletişim kurabilmesi için sanal ağda Azure DevOps şirket içinde barındırılan bir aracı uygular. CI/CD hizmetlerini çalıştırmaya yönelik bağlantı dizesi ve gizli diziler bağımsız bir anahtar kasasında depolanır. Dağıtım işlemi sırasında şirket içinde barındırılan aracı, kaynak yapılandırmalarını ve gizli dizilerini güncelleştirmek için çekirdek veri bölgesindeki anahtar kasasına erişir. Daha fazla bilgi için Ayrı anahtar kasaları kullanma belgesine bakın. Bu çözüm ayrıca DevOps altyapısının iş yüküne göre ölçeği otomatik olarak artırıp azaltabilmesini sağlamak için VM ölçek kümelerini kullanır.
CI/CD işlem hattında altyapı güvenlik taraması ve güvenlik duman testi uygulama
Kod olarak altyapı (IaC) dosyalarını taramaya yönelik statik bir analiz aracı, güvenlik veya uyumluluk sorunlarına yol açabilecek yanlış yapılandırmaları algılamaya ve önlemeye yardımcı olabilir. Güvenlik duman testi, önemli sistem güvenlik önlemlerinin başarıyla etkinleştirilmesini sağlar ve dağıtım hatalarına karşı koruma sağlar.
- Güvenlik veya uyumluluk sorunlarına yol açabilecek yanlış yapılandırmaları algılamak ve önlemek için kod olarak altyapı (IaC) şablonlarını taramak için statik analiz aracı kullanın. Güvenlik risklerini algılamak ve önlemek için Checkov veya Terrascan gibi araçları kullanın.
- CD işlem hattının dağıtım hatalarını doğru işlediğinden emin olun. Güvenlik özellikleriyle ilgili tüm dağıtım hataları kritik bir hata olarak ele alınmalıdır. İşlem hattı başarısız eylemi yeniden denemeli veya dağıtımı tutmalıdır.
- Güvenlik duman testi çalıştırarak dağıtım işlem hattındaki güvenlik ölçülerini doğrulayın. Dağıtılan kaynakların yapılandırma durumunu doğrulama veya kritik güvenlik senaryolarını inceleyen test durumları gibi güvenlik duman testi, güvenlik tasarımının beklendiği gibi çalıştığından emin olabilir.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazar:
- Herman Wu | Kıdemli Yazılım Mühendisi
Diğer katkıda bulunanlar:
- Ian Chen | Baş Yazılım Mühendisi Müşteri Adayı
- Jose Contreras | Baş Yazılım Mühendisliği
- Roy Chan | Baş Yazılım Mühendisi Yöneticisi
Sonraki adımlar
- Azure ürün belgeleri
- Diğer makaleler
- Azure Synapse Analytics nedir?
- Azure Synapse Analytics'te sunucusuz SQL havuzu
- Azure Synapse Analytics’te Apache Spark
- Azure Data Factory ve Azure Synapse Analytics’teki işlem hatları ve etkinlikler
- Azure Synapse Veri Gezgini nedir? (Önizleme)
- Azure Synapse Analytics'te Makine Öğrenmesi özellikleri
- Microsoft Purview nedir?
- Azure Synapse Analytics ve Azure Purview Birlikte Daha İyi Çalışıyor
- Azure Data Lake Storage 2. Nesil'e giriş
- Azure Data Factory nedir?
- Geçerli Veri Desenleri Blog Serisi: Data Lakehouse
- Bulut için Microsoft Defender nedir?
- Data Lakehouse, Veri Ambarı ve Modern Veri platformu mimarisi
- Azure Synapse çalışma alanlarını ve lakehouse'ı düzenlemek için en iyi yöntemler
- Azure Synapse Özel Uç Noktalarını Anlama
- Azure Synapse Analytics – Veri Güvenliğine Yeni Analizler
- Azure Synapse ayrılmış SQL havuzu (eski adı SQL DW) için Azure güvenlik temeli
- Cloud Network Security 101: Azure Hizmet Uç Noktaları ve Özel Uç Noktalar
- Azure Synapse çalışma alanınız için erişim denetimini ayarlama
- Azure Özel Bağlantı Merkezleri’ni kullanarak Azure Synapse Studio'ya bağlanma
- Azure Synapse Çalışma Alanı Yapıtlarınızı Yönetilen SANAL AĞA Dağıtma Azure Synapse Çalışma Alanı
- Azure Synapse Analytics çalışma alanı için sürekli tümleştirme ve teslim
- Bulut için Microsoft Defender'da güvenlik puanı
- Azure Key Vault'un kullanımına yönelik en iyi yöntemler
- Azure'da veri yönetimi ve analiz için Adatum Corporation senaryosu