Azure'da veri şifreleme

Kuruluşların kendi şifreleme algoritmalarını geliştirmeleri ve korumaları gerekir. İş yükünüzde özel şifreleme algoritmaları veya doğrudan şifreleme kullanmaktan kaçının. Bu yöntemler gerçek dünya saldırılarına karşı nadiren karşılanır.

Güvenli standartlar zaten piyasaya çıktı ve tercih edilmelidir. Özel uygulama gerekli ise, geliştiricilerin iyi kurulmuş şifreleme algoritmaları ve güvenli standartlar kullanmaları gerekir. Simetrik Gelişmiş Şifreleme Standardı şifrelemesi olarak AES(AES), AES-128, AES-192 ve AES-256'nın kullanımı kabul edilebilir.

Geliştiriciler, platform dışı şifreleme kitaplıkları yerine işletim sistemlerinde yerleşik olarak bulunan şifreleme API'lerini kullanmaktadır. .NET için .NET Şifreleme Modeli'ne uymayı izleyin.

Standart ve önerilen şifreleme algoritmaları kullanılması önerilir.

Daha fazla bilgi için bkz. Algoritma seçme.

Modern karma işlevleri kullanılıyor mu?

Uygulamalar SHA-2 karma algoritma ailesini (SHA-256, SHA-384, SHA-512) kullansalar.

Bekleme durumundaki veriler

Tüm önemli veriler bir şifreleme standardıyla sınıflandırılmış ve şifrelenmeli. Tüm bilgi depolama nesnelerini sınıflandırma ve koruma. Dosyaların içeriğine yetkisiz kullanıcılar tarafından erişilenemsiz olduğundan emin olmak için şifrelemeyi kullanın.

Azure'da kalan veriler varsayılan olarak şifrelenir, ancak kritik verileriniz denetlenecek şekilde sınıflandırılır ve etiketlenir veya etiketlenir mi?

En hassas verileriniz işletme, finansal, sağlık hizmetleri veya kişisel bilgiler olabilir. Bu verileri keşfetmek ve sınıflendirmek, kuruluş bilgi koruma yaklaşımında önemli bir rol oynayabilir. Şunlara altyapı sağlayabilir:

• Veri gizliliği standartlarını ve mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olmak.
• İzleme (denetim) ve hassas verilere anormal erişimle ilgili uyarılar gibi çeşitli güvenlik senaryoları.
• Son derece hassas veriler içeren veritabanlarına erişimi denetleme ve güvenliğini sağlamlaştırma.

Önerilen eylem

Verilerinizi sınıflandırma. Veri Bulma Sınıflandırması'Azure SQL Veritabanı.

Veri sınıflandırma

Verileri korumak için önemli bir ilk alıştırma, verileri belirli ölçütlere göre kategorilere düzenlemektir. Sınıflandırma ölçütleri iş gereksinimleriniz, uyumluluk gereksinimleriniz ve veri türü olabilir.

Kategoriye bağlı olarak şunları aracılığıyla koruyabilirsiniz:

• Standart şifreleme mekanizmaları.
• İlkeler aracılığıyla güvenlik idaresi uygulama.
• Güvenlik önlemlerinin uyumlu olduğundan emin olmak için denetimler yürütme.

Verileri sınıflendirmenin bir yolu, etiketlerin kullanımıdır.

Kuruluş bu iş yüküyle ilişkili sanal makineler için sanal disk dosyalarını şifreler mi?

Bulutta dosya depolamak için birçok seçenek vardır. Bulutta yerel uygulamalar genellikle Azure Depolama. VM'lerde çalıştıran uygulamalar, dosyaları depolamak için bunları kullanır. VM'ler sanal disk dosyalarını sanal depolama birimleri olarak kullanır ve bir blob depolama alanında yer almaktadır.

Karma bir çözüm düşünün. Dosyalar şirket içinden buluta, buluttan şirket içi buluta veya bulutta barındırılan hizmetler arasında hareket eder. Stratejilerden biri, dosyaların ve içeriklerinin yetkisiz kullanıcılar tarafından erişilemez durumda olduğundan emin olmaktır. Yetkisiz dosya indirmeyi önlemek için kimlik doğrulaması tabanlı erişim denetimlerini kullanabilirsiniz. Ancak bu yeterli değildir. Kimlik doğrulaması ve yetkilendirmenin veya yapılandırmasının tehlikeye atılmış olduğu durumda sanal disk dosyalarının güvenliğini sağlamak için bir yedekleme mekanizmasına sahip olun. Çeşitli yaklaşımlar vardır. Sanal disk dosyalarını şifrelersiniz. Disk dosyalarını bağlama girişimi yapılırsa, şifreleme nedeniyle dosyaların içeriğine erişilemez.

Sanal disk şifrelemeyi etkinleştirmenizi öneririz. Vm disklerini şifreleme hakkında Windows için bkz. Hızlı Başlangıç: Azure CLI ile Windows VM oluşturma ve şifreleme.

Azure tabanlı sanal diskler, bir Depolama depolanır. Bir sanal diske şifreleme uygulanmazsa ve bir saldırgan bir sanal disk görüntü dosyasını indirmeyi yönetirse, bu dosya, kaynak bilgisayara fiziksel erişimi var gibi saldırganın bilgisayarına tak ve incelenir. Sanal disk dosyalarını şifrelemek, saldırganların indiremeleri durumunda bu disk dosyalarının içeriğine erişmesini önlemeye yardımcı olur. Diskte depolanan bilgilerin duyarlılığına bağlı olarak, şifrelenmemiş erişim gizli iş verileri (SQL veritabanı gibi) veya kimlik (AD Etki Alanı Denetleyicisi gibi) için kritik bir riski temsil ediyor olabilir.

Sanal disk şifrelemesi örneği olarak Azure Disk Şifrelemesi.

Azure Disk Şifrelemesi verilerinizi koruyarak kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Azure sanal makinelerinin (VM Windows işletim sistemi ve veri diskleri için birim şifrelemesi sağlamak için Windows'nin (veya Linux'ta DM-Crypt'ın) Bitlocker özelliğini kullanır. Disk şifreleme anahtarlarını ve gizli Azure Key Vault denetlemeye ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleştirilmiştir.

Sanal makineler, sanal disk dosyalarını depolama birimi olarak kullanır ve bir bulut hizmeti sağlayıcısının blob depolama sisteminde mevcuttur. Bu dosyalar şirket içi sistemlerden bulut sistemlerine, bulut sistemlerinden şirket içi sistemlere veya bulut sistemleri arasında taşınabilirsiniz. Bu dosyaların hareketliliği nedeniyle, dosyaların ve içeriklerin yetkisiz kullanıcılar tarafından erişilemez olması önerilir.

Kuruluş bu iş yükü için kimlik tabanlı depolama erişim denetimleri kullanıyor mu?

Verilere erişimi denetlemenin birçok yolu vardır: paylaşılan anahtarlar, paylaşılan imzalar, anonim erişim, kimlik sağlayıcısı tabanlı. Erişim Azure Active Directory (Azure AD) ve rol tabanlı erişim denetimi (RBAC) kullanın. Daha fazla bilgi için bkz. Kimlik ve erişim yönetimi ile ilgili dikkat edilmesi gerekenler.

Kuruluş bu iş yükünde anahtarları ek bir anahtar şifreleme anahtarıyla (KEK) koruyor mu?

Beklemede şifreleme uygulamasında birden fazla şifreleme anahtarı kullanın. Şifreleme anahtarının Azure Key Vault anahtar erişiminin ve anahtarların merkezi yönetiminin güvenliğini sağlar.

Veri şifreleme anahtarınızı (DEK) korumak için ek bir anahtar şifreleme anahtarı (KEK) kullanın.

Önerilen eylemler

Bulut için Microsoft Defender veya betik aracılığıyla şifrelenmemiş sanal makineleri belirleme ve şifreleme Azure Disk Şifrelemesi. Tüm yeni sanal makinelerin varsayılan olarak şifrelenir ve korumasız diskler için düzenli olarak izlenir.

Daha fazla bilgi edinin

Sanal makineler ve sanal makine ölçek kümeleri için Azure Disk Şifrelemesi

Aktarım durumundaki veriler

Veri bütünlüğünü sağlamak için taşımadaki veriler her zaman şifrelenmeli.

Aktarımdaki verilerin korunması veri koruma stratejinizin temel parçalarından biri olmalıdır. Veriler birçok konum arasında gidip geldiğinden, farklı konumlar arasındaki veri alışverişinde her zaman SSL/TLS protokollerini kullanmanızı öneririz.

Şirket içi altyapınızla Azure arasında taşınan veriler için HTTPS veya VPN gibi uygun korumaları göz önünde bulundurun. Genel İnternet üzerinden bir Azure sanal ağı ile şirket içi konum arasında şifrelenmiş trafik gönderirken Azure VPN Gateway kullanın.

İş yükü yalnızca şifrelenmiş ağ trafiği üzerinden mi iletişim kurar?

İstemci ile sunucu arasında ortadaki adam saldırılarının meydana gelebilir olduğu tüm ağ iletişimleri şifrelenmeli. Aktarılan verilerin algılanan duyarlılığı ne olursa olsun, tüm web sitesi iletişimleri HTTPS kullanabiliyordur. Ortadaki adam saldırıları yalnızca oturum açma formlarını değil sitenin herhangi bir yerinde oluşabilir.

Bu mekanizma aşağıdaki gibi kullanım örneklerine uygulanabilir:

• İstemcilerle tüm iletişim için web uygulamaları ve API'ler.
• Bir hizmet veri yolu üzerinde şirket içinden buluta ve başka bir şekilde ya da giriş/çıkış işlemi sırasında hareket eden veriler.

Mikro hizmetler gibi belirli mimari stillerinde, hizmetler arasındaki iletişim sırasında veriler şifrelenmeli.

İş yükleri arasında hangi TLS sürümü kullanılır?

TLS'nin en son sürümünü kullanmak tercih edilir. Tüm Azure hizmetleri genel HTTPS uç noktalarında TLS 1.2'yi destekler. TLS 1.2'yi desteklemek için çözümleri geçirme ve varsayılan olarak bu sürümü kullanma.

Eski TLS sürümlerini kullanan istemcilerden gelen trafik minimum düzeyde olduğunda veya TLS'nin eski bir sürümüyle yapılan isteklerin başarısız olması kabul edilebilir olduğunda, en düşük TLS sürümünü zorlamayı göz önünde bulundurarak. Azure Depolama'de TLS desteği hakkında bilgi için bkz. En düşük TLS sürümüyle güvenlik risklerini düzeltme.

Bazen bir sanal özel ağ (VPN) veya ExpressRoutekullanarak şirket içi ve bulut altyapısı arasındaki iletişim kanalının tamamını yalıtmak gerekir. Daha fazla bilgi için şu makalelere bakın:

• Şirket içi veri çözümlerini buluta genişletme
• Yerel Azure sertifika kimlik doğrulaması kullanarak bir sanal ağ ile Noktadan Siteye VPN bağlantısı yapılandırma: Azure portal

Daha fazla bilgi için bkz. Taşımadaki verileri koruma.

Uygulamanın, taşıma sırasındaki verilerin güvenliğini sağlamayan herhangi bir bölümü var mı?

Tüm veriler ortak bir şifreleme standardı kullanılarak taşıma sırasında şifrelenmeli. Çözümde tüm bileşenlerin tutarlı bir standart kullanp kullanma olmadığını belirler. Teknik sınırlamalar nedeniyle şifrelemenin mümkün olmadığının bazı zamanlar vardır. Nedeninin net ve geçerli olduğundan emin olun.

Önerilen eylemler

Şifrelenmemiş oturumları kullanarak iş yüklerini tanımlama ve hizmeti şifreleme gerektirecek şekilde yapılandırma.

Daha fazla bilgi edinin

• Geçişte verileri şifreleme
• Azure'da şifrelemeye genel bakış

Sonraki adımlar

Verileri şifreleme yoluyla korumak da, verilere erişim sağlayan anahtarlarını korumak da aynı derecede önemlidir.

İlgili bağlantılar

Kimlik ve erişim yönetim hizmetleri kullanıcılara, iş ortaklarına, müşterilere, uygulamalara, hizmetlere ve diğer varlıklara kimlik doğrulaması ve izinler sağlar. Güvenlikle ilgili dikkat edilmesi gerekenler için bkz. Azure kimlik ve erişim yönetimi ile ilgili dikkat edilmesi gerekenler.

Ana makaleye geri dön: Veri koruma

Veriler durumuna göre kategorilere ayrılmış olabilir:

• Veriler istirahat. Manyetik veya optik disk gibi fiziksel medyada statik olarak var olan tüm bilgi depolama nesneleri, kapsayıcılar ve türleri.

• Taşımadaki veriler. Bileşenler, konumlar veya programlar arasında aktarılan veriler.

Bulut çözümünde tek bir iş işlemi, verilerin bir depolamadan diğerine geçeceği birden çok veri işlemine yol açabilirsiniz. Tam veri koruması sağlamak için, depolama birimlerinde şifrelenmeli ve bir noktadan diğerine aktarılırken şifrelenmeleri gerekir.

Önemli noktalar

• Kimlik tabanlı depolama erişim denetimlerini kullanın.
• Standart ve önerilen şifreleme algoritmalarını kullanın.
• Yalnızca güvenli karma algoritmaları (SHA-2 ailesi) kullanın.
• Beklemede verilerinizi sınıflandırma ve şifrelemeyi kullanma.
• Sanal diskleri şifreleme.
• Veri şifreleme anahtarınızı (DEK) korumak için ek bir anahtar şifreleme anahtarı (KEK) kullanın.
• Tüm istemci/sunucu iletişimi için şifrelenmiş ağ kanalları (TLS/HTTPS) üzerinden aktarımdaki verileri koruyun. Azure'da TLS 1.2 kullanın.

Azure şifreleme özellikleri

Azure, veri işlemeye katılan birçok katmanda veri şifreleme için yerleşik özellikler sağlar. Her hizmet için şifreleme özelliğini etkinleştirmenizi öneririz. Şifreleme, Azure tarafından yönetilen anahtarlar kullanılarak otomatik olarak işlenir. Bu neredeyse hiçbir kullanıcı etkileşimi gerektirir.

Kimlik tabanlı depolama erişim denetimleri uygulamanız önerilir. Paylaşılan anahtarla (Paylaşılan Erişim İmzası gibi) kimlik doğrulaması, kimlik tabanlı erişim denetimiyle aynı esneklik ve denetime izin vermez. Paylaşılan anahtarın sızıntısı kaynağa süresiz erişime olanak sağlarken rol tabanlı erişim denetimi daha güçlü bir şekilde tanımlanabilir ve kimliği doğrulanabilir.

Depolama Azure gibi bir bulut hizmette yer alan bulut hizmetleri, REST API'leri aracılığıyla çok büyük ölçekleme, modern erişim ve kiracılar arasında yalıtım sağlamak için şirket içi çözümlerden oldukça farklı şekilde tasarlanmıştır. Bulut hizmeti sağlayıcıları, depolama kaynakları üzerinde birden çok erişim denetimi yöntemi sunar. Paylaşılan anahtarlar, paylaşılan imzalar, anonim erişim ve kimlik sağlayıcısı tabanlı yöntemler örnek olarak verilmiştir.

Azure Depolama'nin bazı yerleşik özelliklerini göz önünde Depolama:

• Kimlik tabanlı erişim. Bulut tabanlı Azure Active Directory (Azure AD) ve Simetrik Paylaşılan Anahtar Kimlik Doğrulaması veya Paylaşılan Erişim İmzası (SAS) gibi anahtar tabanlı kimlik doğrulama mekanizmaları aracılığıyla erişimi destekler.
• Yerleşik şifreleme. Depolanan tüm veriler Azure depolama tarafından şifrelenir. Veriler, kiracı tarafından yazılmışsa kiracı tarafından okunamaz. Bu özellik kiracılar arası veri sızıntısı üzerinde denetim sağlar.
• Bölge tabanlı denetimler. Veriler yalnızca seçilen bölgede kalır ve verilerin üç zaman uyumlu kopyası bu bölgede korunur. Azure depolama, ayrıntılı etkinlik günlüğü kaydı sağlar.
• Güvenlik duvarı özellikleri. Güvenlik duvarı, anormal erişimi ve etkinlikleri algılamak için ek bir erişim denetimi katmanı ve depolama tehdit koruması sağlar.

Tüm özellik kümesi için bkz. Azure Depolama Hizmeti şifrelemesi.

Önerilen eylem

Güvenliğin tehlikeye atılmış olma olasılığı en düşük olan kimlik doğrulama ve yetkilendirme sağlayıcı yöntemlerini belirleyin ve depolama kaynakları üzerinde daha ince rol tabanlı erişim denetimlerini etkinleştirin.

Daha fazla bilgi edinin

Daha fazla bilgi için, Azure Active Directory kullanarak bloblara erişimi yetkilendirme.

Standart şifreleme algoritmaları

Kuruluş kendi şifreleme algoritmalarını oluşturmak yerine endüstri standardı şifreleme algoritmalarını kullanıyor mu?