Depolama, veri ve şifreleme
Tüm iş yüklerindeki gizlilik, bütünlük ve kullanılabilirlik uygunluğunu sürdürmek için bekleyen verilerin korunması gerekir. Azure gibi bir bulut hizmetindeki Depolama, büyük ölçekli ölçeklendirmeyi, REST apı 'ler aracılığıyla modern erişimi ve kiracılar arasında yalıtımını sağlamak için şirket içi çözümlerden farklı şekilde tasarlanmıştır ve uygulanır .
azure depolama 'ya erişim verilmesi, Azure Active Directory (Azure AD) ve anahtar tabanlı kimlik doğrulama mekanizmaları (simetrik paylaşılan anahtar kimlik doğrulaması veya paylaşılan erişim imzası (SAS)) aracılığıyla yapılabilir
Azure 'daki Depolama, bir dizi yerel güvenlik tasarımı özniteliği içerir
Tüm veriler hizmet tarafından şifrelenir
Depolama sistemindeki veriler, kiracı tarafından yazılmayan kiracı tarafından okunamaz (çapraz kiracı veri sızıntısı riskini azaltmak için)
Veriler yalnızca seçtiğiniz bölgede kalır
Sistem, seçtiğiniz bölgede verilerin üç zaman uyumlu kopyasını tutar.
Ayrıntılı etkinlik günlüğü, kabul etme esasına göre sunulmaktadır.
Ek güvenlik özellikleri, ek bir erişim denetimi katmanı ve anormal erişimi ve etkinlikleri algılamak için depolama tehdit koruması sağlamak amacıyla bir depolama güvenlik duvarı gibi yapılandırılabilir.
Şifreleme, güvenlik için güçlü bir araçtır, ancak verilerin korunmasıyla ilgili sınırları anlamak önemlidir. Güvenli bir şekilde şifreleme, erişimi yalnızca küçük bir öğenin (matematik anahtarı) elinde bulunanlara kısıtlar. Daha büyük veri kümelerinden anahtarları korumak daha kolay olsa da, anahtarlar için uygun korumaların sağlanması zorunludur. Şifreleme anahtarlarının korunması doğal sezgisel bir insan süreci değildir (özellikle, anahtarlar gibi elektronik veriler bir kanıt bulgu izi olmadan kusursuz bir şekilde kopyalanabileceğinden), bu nedenle genellikle hatalı olarak aranabilir veya uygulanabilir olur.
Şifreleme, Azure 'daki birçok katmanda kullanılabilir (ve genellikle varsayılan olarak açık), uygulamanız gereken en önemli katmanları (yani, verilerin başka bir depolama ortamına taşınması için yüksek potansiyel) ve uygulanması en kolay (sıfır ek yüke kadar) tanımladık.
Kimlik tabanlı depolama erişim denetimlerini kullanma
Bulut hizmeti sağlayıcıları, kullanılabilir depolama kaynakları üzerinde birden çok erişim denetimi yöntemi yapar. Örnekler arasında paylaşılan anahtarlar, paylaşılan imzalar, anonim erişim ve kimlik sağlayıcısı tabanlı yöntemler bulunur.
Kimlik doğrulama ve yetkilendirme yöntemlerinin kimlik sağlayıcısı, en azından uzlaşmaya ve depolama kaynakları üzerinde daha ayrıntılı rol tabanlı erişim denetimlerine olanak tanımak için en az yükümlüdür.
Depolama erişim denetimi için kimlik tabanlı bir seçenek kullanmanızı öneririz.
Azure blob ve sıra hizmetleri için Azure Active Directory kimlik doğrulamasıbuna bir örnektir.
Sanal disk dosyalarını şifreleme
Sanal makineler sanal disk dosyalarını sanal depolama birimleri olarak kullanır ve bir bulut hizmeti sağlayıcısının BLOB depolama sisteminde bulunur. Bu dosyalar Şirket içinden bulut sistemlerine, bulut sistemlerinden şirket içine veya bulut sistemlerine taşınabilir. Bu dosyaların taşınabilirliği nedeniyle, dosyaların ve içeriklerinin yetkisiz kullanıcıların erişimine açık olmadığından emin olmanız gerekir.
Olası saldırganların dosyaları kendi sistemlerine indirmelerini engellemek için kimlik doğrulama tabanlı erişim denetimleri yerinde olmalıdır. Kimlik doğrulama ve yetkilendirme sisteminde veya yapılandırmasındaki bir kusur olması durumunda, sanal disk dosyalarını güvenli hale getirmek için bir yedekleme mekanizmasına sahip olmak istersiniz.
Saldırganların, bir saldırganın dosyaları indirebilmesi durumunda disk dosyalarının içeriklerine erişmesini önlemeye yardımcı olmak için sanal disk dosyalarını şifreleyebilirsiniz. Saldırganlar şifreli bir disk dosyasını bağlamaya çalıştığında, bu, şifreleme nedeniyle yapamaz.
Sanal disk şifrelemeyi etkinleştirmenizi öneririz. Windows VM disklerini şifreleme hakkında daha fazla bilgi için bkz. hızlı başlangıç: Azure clı ile Windows VM oluşturma ve şifreleme.
Azure disk şifrelemesi, sanal disk şifrelemesi örneğidir.
Platform şifreleme hizmetlerini etkinleştir
Tüm genel bulut hizmeti sağlayıcıları, platformunda sağlayıcı tarafından yönetilen anahtarlar kullanılarak otomatik olarak yapılan şifrelemeyi etkinleştirir. Çoğu durumda, bu müşteri için yapılır ve Kullanıcı etkileşimi gerekli değildir. Diğer durumlarda sağlayıcı, bunu müşterinin kullanmayı seçemez veya kullanamadığı bir seçenek yapar.
Bulut hizmeti sağlayıcısı tarafından yönetildiğinden bu tür şifrelemeyi etkinleştirmenin neredeyse bir yükü yoktur.
Hizmet sağlayıcı şifrelemesini destekleyen her hizmet için, bu seçeneği etkinleştirdiğiniz için önerilir.
hizmete özgü hizmet sağlayıcı şifrelemesi örneği Azure Depolama hizmet şifrelemesineörnektir.
Yoldaki verileri şifreleme
Bir Service Bus (Şirket içinden buluta veya tam tersi) arasında ya da bir giriş/çıkış işlemi sırasında, bileşenler, konumlar veya programlar arasında (örneğin, ağ üzerinden) aktarılırken verileri koruyun. Farklı konumlardaki verileri değiş tokuş yaparken her zaman SSL/TLS kullanın. Daha fazla bilgi için bkz. yoldaki verileri koruma.
Bazen bir sanal özel ağ (VPN) veya ExpressRoutekullanarak, şirket içi ve Bulut altyapınız arasında tüm iletişim kanalınızı yalıtmanız gerekir. Daha fazla bilgi için şu makalelere bakın: