Azure Well-Architected Framework, mimaride üstün kaliteli bir çözüm değerlendirmek için kullanılabilen bir dizi temel bir kümesidir:
Bu makale, bu seriyi sonlandırır. Tanıtımıokuyun.
Bu seride sunulan bu kılavuz, tüm tasarım seçimlerine Well-Architected ilkeleri dahil ediyor. Bu makalede bu seçimler özetlenmektedir. GitHub: düzenlenmiş iş yükleri için Azure kubernetes hizmeti (aks) temel kümesi , bu ilkeleri uygun şekilde gösterir.
PCI DSS 3.2.1 iş yükleri, bozmaması 'ın iyi tasarlanmış bir çözüm olduğunu talep edin. Altyapıyı PCI gereksinimleriyle hizalamak kritik olsa da, barındırma altyapısında uyumluluk durmaz. Kalite eğilimlerini ele almak, özellikle güvenlik, uyumluluğu tehlikeye atabilirler. İyi tasarlanmış çözümler, uyumlu sonuçlar elde etmek için, her iki altyapıyı ve iş yükü perspektiflerini, bozmaması için gerekli olacak şekilde birleştirir.
Güvenlik
Güvenlik tasarımı ilkeleribölümünde sunulan temel yönergeleri izleyin. Düzenlenen bir ortam için en iyi uygulamalar bu bölümlerde özetlenmektedir.
İdare
İdare uygulama, PCI-DSS 3.2.1 uyumluluk gereksinimleriyle çalıştırılır. Bu, segmentleri sürdürmek, kaynaklara erişmek, güvenlik açıklarını saptamak ve müşteri verilerini korumak için Teknik denetimleri etkiler.
Enterprise segmentleme stratejisi
Tüm yalıtımın korunmasını sağlamak için, tek başına bir abonelikte düzenlenmiş altyapıyı dağıtmanız önerilir. Uyumluluk için gereken birden fazla aboneliğiniz varsa, bunları kapsam içi aboneliklerinizde ilgili Azure ilkelerini tek tek uygulayan bir yönetim grubu hiyerarşisinde gruplamayı göz önünde bulundurun. Abonelik içinde, kart sahibi veri ortamındaki (CDE) tüm kümelere uygulanması gereken geniş ilkeleri yakalamak için ilgili Azure ilkelerini bir abonelik düzeyinde uygulayın. Belirli bir küme örneğine uygulanan ilkeleri yakalamak için, kaynak grubu düzeyinde ilgili Azure ilkeleri uygulayın. Bu ilkeler, bir giriş bölgesinin çekirdek guardlarını oluşturur.
PCI iş yükünü (kapsam içi), işlemler ve bağlantı açısından diğer (kapsam dışı) iş yüklerinden yalıtın. Ayrı kümeler dağıtarak yalıtım oluşturabilirsiniz. Ya da ayrımı sürdürmek için segmentasyon stratejileri kullanın. Örneğin, kümeler ayrı düğüm havuzları kullanır, böylelikle iş yükleri bir düğüm sanal makinesini (VM) hiç paylaşmaz.
İlke zorlama
Azure ilkelerini etkinleştirerek güvenlik denetimlerini zorlayın. Örneğin, bu düzenlenen mimaride, cardş veri ortamının yanlış yapılandırılmasını önleyebilirsiniz. VM düğümlerinde genel IP ayırmaya izin veren bir Azure ilkesi uygulayabilirsiniz. Bu ayırmalar algılanır ve bildirilir veya engellenir.
AKS için etkinleştirebileceğiniz ilkeler hakkında daha fazla bilgi için bkz. Azure Policy yerleşik tanımları Azure Kubernetes hizmeti.
Azure, çoğu hizmet için çeşitli yerleşik ilkeler sağlar. Bu Azure ilkesi yerleşik ilke tanımlarını gözden geçirin ve uygun şekilde uygulayın.
Uyumluluk izleme
Uyumluluk, sistematik olarak izlenmeli ve korunabilir olmalıdır. Düzenli uyumluluk belirlediğimizi karşıladığımızı gerçekleştirilir. Bulut kaynaklarınızın uyumlu olup olmadığını bilmek belirlediğimizi karşıladığımızı ve audit için hazırlanmaya yardımcı olur.
Bulut için Microsoft Defender 'daki mevzuat uyumluluk panosunu avantajdan yararlanın. Panoyu sürekli olarak izleyerek iş yükünüzün uyumluluk durumunu izleyebilirsiniz.
Ağ güvenliği
Bir merkez-uç topolojisinde, her varlık için ayrı sanal ağlara sahip olmak, ağ parmak izinin temel segmentlemesini sağlar. Her ağ alt ağlara daha fazla bölündü.
AKS kümesi, CDE 'ın çekirdeğini oluşturur. Ortak IP adreslerinden erişilebilir olmaması ve bağlantının güvenli hale getirilmesi gerekir. CDE içindeki ve dışı tipik akışlar şu şekilde kategorilere ayrılmıştır:
- Kümeye gelen trafik.
- Kümeden giden trafik.
- Pods arasında küme içi trafik.
Düzenlenmiş bir ortamın gereksinimlerini karşılamak için, küme özel bir küme olarak dağıtılır. Bu modda, genel İnternet 'ten gelen ve giden trafik kısıtlıdır. AKS tarafından yönetilen Kubernetes API sunucusuyla iletişim de özeldir. Güvenlik, katı ağ denetimleri ve IP güvenlik duvarı kurallarıyla daha gelişmiş bir şekilde geliştirilmiştir.
- Ağ içindeki kaynaklar arasındaki iletişimin güvenliğini sağlamaya yardımcı olmak için ağ güvenlik grupları (NSG 'ler).
- Bulut kaynakları, internet ve şirket içi tüm giden trafiği filtrelemek için Azure Güvenlik Duvarı.
- Azure Application Gateway tarafından yapılan tüm gelen trafiği internet 'ten filtrelemek için Azure Application Gateway Azure Web uygulaması çerçevesiyle tümleşiktir.
- Kubernetes NetworkPolicy ' i yalnızca kümedeki düğüm 'ler arasında belirli yollara izin verecek şekilde.
- İşletimsel görevlere yönelik Azure Key Vault ve Azure Container Registry gibi diğer Azure platformu hizmet olarak hizmet (PaaS) hizmetlerine bağlanmak için Azure özel bağlantısı.
Trafiğin beklenen şekilde akmasını ve tüm anomali olduğunu ve raporlandığını doğrulamak için izleme işlemlerinin yerinde olması.
Ağ güvenliği hakkında daha fazla bilgi için bkz. ağ kesimleme.
Veri güvenliği
PCI-DSS 3.2.1, tüm kart sahibi verilerinin (CHD) aktarım sırasında veya depolamada değil hiçbir zaman açık olmasını gerektirir.
Bu mimari ve uygulama iş yüküne değil altyapıya odaklandığından veri yönetimi gösterilmez. Aşağıda, iyi tasarlanmış bazı öneriler verilmiştir.
Bekleme durumundaki veriler
Veriler, sektör standardı şifreleme algoritmalarıyla şifrelenmelidir.
- Cardş ortamında veri depolamayın.
- Depolama katmanının dışında şifreleyin.
- Depolama ortamına yalnızca şifrelenmiş verileri yazın.
- Anahtarları depolama katmanında depolamamayın.
Azure Depolama 'daki tüm veriler, güçlü şifreleme kullanılarak şifrelenir ve şifresi çözülür. Kendi kendine yönetilen şifreleme anahtarları tercih edilir.
Verileri geçici olarak depolamanız gerekiyorsa, bu verilere aynı noktaları uygulayın. AKS 'nin konak şifreleme özelliğinin etkinleştirilmesini önemle öneririz. Yerleşik Azure ilkeleriyle geçici verilerin şifrelenmesini zorunlu kılabilirsiniz.
Bir depolama teknolojisini seçerken, bekletme özelliklerini keşfedebilirsiniz. Yapılandırılan süre sona erdiğinde tüm verilerin güvenle kaldırıldığından emin olun.
Standart ayrıca hassas kimlik doğrulama verilerinin (SAD) depolanmasını gerektirir. Verilerin günlüklerde, dosya adlarında, önbelleğinde ve diğer verilerde açık olmadığından emin olun.
Aktarım durumundaki veriler
CDE ile etkileşime geçen varlıklara sahip tüm iletişimin şifreli kanallar üzerinde olması gerekir.
- CDE öğesine yalnızca HTTPS trafiğinin akamasına izin verilmelidir. Bu mimaride, Azure Application Gateway bağlantı noktası 80 üzerinden tüm trafiği engeller.
- Tercihen, CDE 'ın dışındaki verileri şifreleme ve şifre çözme. Bunu yaparsanız, söz konusu varlığı CDE 'in bir parçası olacak şekilde düşünün.
- CDE içinde, MTLS ile pod arasında güvenli iletişim sağlayın. Bu amaçla bir hizmet ağı uygulamayı seçebilirsiniz.
- Yalnızca güvenli şifrelemeler ve TLS 1,2 veya üzeri sürümlere izin verin.
Kimlik
Erişim ilkeleri tasarlarken bu güvenlik ilkelerini takip edin:
- Zero-Trust ilkeleriyle başlayın. Gerektiğinde özel durumlar oluşturun.
- En az ayrıcalığa izin verin; bir görevi tamamlamaya yetecek kadar yeterlidir.
- Bekleyen erişimi en aza indirin.
Kubernetes rol tabanlı erişim denetimi (RBAC), Kubernetes API 'SI için izinleri yönetir. AKS, bu Kubernetes rollerini destekler. AKS 'ler Azure Active Directory (Azure AD) ile tamamen tümleşiktir. Rollere Azure AD kimlikleri atayabilir ve ayrıca diğer özelliklerden faydalanabilirsiniz.
Zero-Trust erişim
Kubernetes RBAC, Azure RBAC ve Azure Hizmetleri varsayılan olarak Tüm reddetme işlemlerini uygular. Bu ayarı dikkatli bir şekilde geçersiz kılarak yalnızca ihtiyacı olan varlıklara erişime izin verilir. Zero-Trust uygulamak için başka bir alan, küme düğümlerine SSH erişimini devre dışı bırakmadır.
En az ayrıcalıklar
Azure kaynakları ve kapsamları için Yönetilen kimlikler kullanabilir ve bunları beklenen görevlerle tanımlayabilirsiniz. Örneğin, Azure Application Gateway Azure Key Vault gizli dizileri (TLS sertifikaları) almak için izinlere sahip olmalıdır. Gizli dizileri değiştirme izinlerine sahip olmamalıdır.
Oluşan erişimi en aza indirme
Tam zamanında Azure AD grup üyeliğinikullanarak erişimi en aza indirin. Azure AD 'de koşullu erişim ilkeleriyle denetimi sağlamlaştırın. Bu seçenek, çok faktörlü kimlik doğrulaması, Azure AD kiracınızın yönettiği cihazlara kimlik doğrulamasını kısıtlama veya tipik olarak oturum açma girişimlerini engelleme gibi birçok kullanım durumunu destekler.
Gizli dizi yönetimi
Gizli dizileri, sertifikaları, anahtarları ve parolaları CDE dışında depolayın. Yerel Kubernetes gizli dizilerini veya Azure Key Vault gibi bir yönetilen anahtar deposunu kullanabilirsiniz. Yönetilen bir deponun kullanılması, anahtar döndürme ve sertifika yenileme gibi gizli yönetim görevlerinde yardımcı olur.
Anahtar deposuna erişimin bir ağ ve erişim denetimi bakiyesine sahip olduğundan emin olun. Yönetilen kimlikleri etkinleştirdiğinizde, kümenin, erişim sağlamak için Key Vault karşı kimliğini doğrulaması gerekir. Ayrıca, anahtar deposuyla bağlantı genel İnternet üzerinden olmamalıdır. Özel bağlantı gibi özel bir ağ kullanın.
İşlem Mükemmelliği
Işlemsel üstün çalışma ilkelerinegöre sunulan temel yönergeleri izleyin. Düzenlenen bir ortam için en iyi uygulamalar bu bölümlerde özetlenmektedir.
Rollerin ayrımı
Düzenlenen ortamlarda görevlerin açık bir şekilde kullanılması için anahtar kullanılır. Rol ve sorumlulukların, iş yükünün ihtiyaçlarına ve CDE ile etkileşime göre tanımlarına sahip olması gerekir. Örneğin, küme ve bağımlı hizmetlerle ilgili işlemler için bir altyapı operatörü veya site güvenilirliği mühendisi (SRE) rolü gerekebilir. Rol, güvenlik, yalıtım, dağıtım ve Observability korunmasından sorumludur. Bu tanımları şekilleştir ve bu rollerin ihtiyacı olan izinlere karar verin. Örneğin, SREs küme erişimi için yüksek ayrıcalıklı, ancak iş yükü ad alanlarına okuma erişimine ihtiyaç duyar.
İş yükü yalıtımı
PCI-DSS 3.2.1, işlem koşullarında diğer iş yüklerinden PCI iş yükünün yalıtımını gerektirir. Bu uygulamada, kapsam içi ve kapsam dışı iş yükleri iki ayrı Kullanıcı düğümü havuzunda bölündü. Kapsam dışı iş yükleri için kapsam içi ve geliştiriciler için uygulama geliştiricileri farklı izin kümelerine sahip olabilir. Ayrıca, ayrı kalite kapıları olur. Örneğin, kapsam içi kod uyumluluk ve kanıtlama açısından tabidir, ancak kapsam dışı kod değildir. Ayrıca, ayrı derleme işlem hatları ve sürüm yönetimi işlemlerinin olması gerekir.
İşletimsel meta veriler
PCI DSS 3.2.1 standardının 12. gereksinimi, iş yükü envanteri ve personel erişim belgeleriyle ilgili bilgileri korumanızı gerektirir. Ortam bilgilerini Azure kaynakları, kaynak grupları ve aboneliklerle harmanlamak için Azure etiketlerini kullanmanızı kesinlikle öneririz.
Altyapı ve iş yükünün parçası olan onaylanan çözümler hakkında bilgi saklayın. Bu, CDE 'e getirdiğiniz sanal makine görüntülerinin, veritabanlarının ve tercih ettiğiniz üçüncü taraf çözümlerinin bir listesini içerir. Hatta bir hizmet kataloğu oluşturarak bu işlemi otomatikleştirebilirsiniz. Bu onaylanan çözümleri, devam eden platform işlemlerine bağlı olan belirli bir yapılandırmada kullanarak Self Servis dağıtımı sağlar.
Gözlemlenebilirlik
Gereksinim 10 ' u karşılamak için Observability 'te CDE, uyumluluk açısından önemlidir. Etkinlik günlükleri, hesap ve gizli yönetim, tanılama ayarı yönetimi, sunucu yönetimi ve diğer kaynak erişimi işlemleriyle ilgili işlemler hakkında bilgi sağlar. Tüm Günlükler Tarih, saat, kimlik ve diğer ayrıntılı bilgilerle kaydedilir. Uzun süreli arşivleme ve denetim için depolama hesaplarında günlükleri bir yıla kadar saklayın.
Günlüklere yalnızca ihtiyacı olan roller tarafından erişilebildiğinden emin olun. Log Analytics ve Microsoft Sentinel, denetim izi erişimini yönetmek için çeşitli rol tabanlı erişim denetimlerini destekler.
Yanıt ve düzeltme
Bulut için Azure izleme Hizmetleri, Azure Izleyici ve Microsoft Defender, anormal etkinlikleri tespit ettikleri zaman bildirimler veya uyarılar oluşturabilir. Bu uyarılar önem derecesi, durum ve etkinlik süresi gibi bağlam bilgilerini içerir. Uyarılar oluşturulduğunda, bir düzeltme stratejisi ve ilerlemeyi gözden geçirin. Verileri tümleştirme, zengin uyarı bağlamı sağlayabildiğinden, bir güvenlik bilgileri ve olay yönetimi (SıEM) çözümünde verileri merkezileştirmeyi öneririz.
Bulut için Microsoft Defender 'daki güvenlik uyarıları görünümünden, Microsoft Defender 'ın kaynaklarınızın algıladığı tüm uyarılara erişebilirsiniz. Sorunu gidermek için bir önceliklendirme işlemi yapın. İş yükü sahipleri için ilgili uyarıların nasıl kullanılabilir yapılacağını anlamak için güvenlik ekibinizle birlikte çalışın.
Performans Verimliliği
Performans verimlilik ilkeleri' nde sunulan temel yönergeleri izleyin. Düzenlenen bir ortam için en iyi uygulamalar bu bölümlerde özetlenmektedir.
Ölçeklendirme
Ortamın değişen istekleri nasıl ayarladığını gözlemlemek, yüksek yük altında ortamın beklenen çalışma zamanı davranışını gösterir. İş yükünde otomatik ölçeklendirme kaynakları, bu, CDE 'daki insan etkileşimini en aza indirir. Ek bir güvenlik avantajı, saldırı yüzeyini her zaman azaltmaktadır. Sıfıra kadar olan yaklaşımı destekleyen kaynaklardan yararlanarak avantajı en üst düzeye çıkarabilirsiniz. Örneğin, AKS, Kullanıcı düğümü havuzlarının ölçeğini 0 olarak ölçeklendirmeyi destekler. Daha fazla bilgi için bkz. Kullanıcı düğümü havuzlarını 0 olarak ölçeklendirme.
Bölümleme
Bölümlendirme, düzenlenen iş yüklerindeki performans verimliliği için önemli bir faktördür. Ayrı bileşenlere sahip olmak, sorumluluğun açık olmasını sağlar ve ağ ilkeleri gibi kesin denetimlerde yardımcı olur. Tüm segmentasyon stratejilerine benzer şekilde bölümlendirme, bileşenleri yalıtır ve beklenmeyen hatalarda veya sistem güvenliğinin aşılmasına neden olan yarıçapı ortaya çıkarabilecek etkiyi denetler.
Paylaşılan-Nothing mimarisi
Paylaşılan hiçbir şey olmayan mimari, birlikte bulunan iş yükleri arasındaki çekişmeyi kaldırmak için tasarlanmıştır. Ayrıca, bu tek hata noktalarını kaldırmaya yönelik bir stratejidir. Düzenlenen bir ortamda, bileşenlerin mantıksal veya fiziksel sınırlara göre yalıtılmış olması gerekir. Bu, ölçeklenebilirlik avantajlarına yol açar ve paylaşılan hiçbir şey mimarisi ile hizalanır. Ayrıca, ilgili güvenlik denetimlerinin hedeflenmesi ve çeşitli bileşenlerin daha sıkı denetim yeteneklerini de sağlar.
Hafif çerçeveler
İş yüklerinin karmaşıklığı belge ve denetim için zor. Performans avantajları ve mevzuat gereksinimlerinin denetlenmesine yönelik kolaylıklar nedeniyle kolaylık sağlamak için çaba kazanın. Gerekenden daha fazla ayırıcıya sahip olan seçimleri değerlendirin, çünkü bu, saldırı yüzeyi alanını ve kötüye kullanımı veya yanlış yapılandırma potansiyelini arttırır.
Güvenilirlik
Düzenli olarak denetim amaçlarıyla açıklanabilmeleri için, düzenlenen ortamların güvenilirliğini öngörülebilir hale getirebilir. Güvenilirlik ilkeleri' nde sunulan temel yönergeleri izleyin. Düzenlenen bir ortam için en iyi uygulamalar bu bölümlerde özetlenmektedir.
Kurtarma hedefleri ve olağanüstü durum kurtarma
Düzenlenen iş yükleri üzerinde işlenen verilerin hassas doğası nedeniyle, kurtarma hedefleri ve kurtarma noktası amaçları (RPOs) tanımlanmanız açısından önemlidir. CHD 'nin kabul edilebilir kaybı nedir? CDE içindeki kurtarma çabaları yine de standart gereksinimlere tabidir. Roller, sorumluluklar ve hizalı veri erişimi ile hizalı bu hatalara yönelik hatalara ve açık kurtarma planına sahip olması beklenir. Canlı site sorunları, herhangi bir düzenlemeden sapmayı gerekçe değildir. Tam olağanüstü durum kurtarma durumunda bu özellikle önemlidir. Gereksinimlere uyan ve beklenmeyen CDE veya CHD erişimini en aza indirecek olağanüstü durum kurtarma belgelerini temizleyin. Kurtarma işleminden sonra, beklenmeyen bir erişimin gerçekleşmemesini sağlamak için her zaman kurtarma işlemi adımlarını gözden geçirin. Bu örnekler için iş gerekçeler belgeleyin.
Kurtarma
Esnekliği ve kurtarma stratejilerini mimarinize eklemek, CDE 'e geçici erişim gereksinimini ortadan kaldırabilirsiniz. Sistemin doğrudan insan müdahalesine gerek kalmadan, tanımlanan RPO 'da kendi kendine kurtarılmasına izin verilmelidir. Bu şekilde, acil durum erişimi sağlamak için yetkili olan bireyler de dahil olmak üzere gereksiz pozlandırmayı ortadan kaldırabilirsiniz. Kurtarma işlemi denetlenebilir olmalıdır.
Güvenlikle ilgili riskleri adresleme
Güvenlik risklerini gözden geçirerek, iş yükünün kapalı kalma süresi ve veri kaybı kaynakları olabilir. Güvenlik içindeki yatırımlar ayrıca iş yükü güvenilirliğini etkiler.
İşletimsel işlemler
Güvenilirlik, ' deki tüm işlemsel işlemlere ve CDE 'e bitişik olarak genişletilir. Görüntü oluşturma ve geçiş kutusu yönetim faktörü gibi iyi şekilde tasarlanmış bir çözüme yönelik iyi tanımlanmış, otomatik ve test edilmiş süreçler.
Maliyet İyileştirmesi
Maliyet iyileştirme ilkeleri' nde sunulan temel yönergeleri izleyin.
Uyumluluk gereksinimleri ve katı güvenlik denetimleri nedeniyle, net bir zorunluluğunu getirir maliyetlidir. Fiyatlandırma hesaplayıcısınıkullanarak başlangıç tahminleri yapmanızı öneririz.
Bu mimarinin kullandığı ana kaynakların maliyet etkisinin yüksek düzey bir gösterimi aşağıda verilmiştir.
Ana Sürücüler, düğüm havuzlarını ve Azure Güvenlik duvarını oluşturan sanal makine ölçek kümeleridir. Başka bir katkıda bulunan Log Analytics. Ayrıca, planlarınıza bağlı olarak, bulut için Microsoft Defender ile ilişkili artımlı maliyetler de vardır.
Hizmetin fiyatını neyin oluşturduğunu net bir şekilde anlama. Azure ölçülen kullanımı izler. Bu mimari için Azure Güvenlik Duvarı ile ilgili ayrıntılı bir ayrıntıya yer verilmiştir.
Azure Güvenlik Duvarı gibi bazı kaynaklarla ilişkili maliyet, birden çok iş birimine ve/veya uygulamasına yayılabilecek. Maliyeti iyileştirmek için başka bir yöntem de kuruluş içinde çok kiracılı bir kümeyi barındırmak, iş yükü çeşitliliğe sahip yoğunluğu en üst düzeye çıkarmak olabilir. Düzenlenen iş yükleri için bu yaklaşımı önermiyoruz. Uyumluluk ve segmentlerin maliyet avantajlarına göre her zaman önceliklerini belirleyin.
Bütçe kısıtlamalarına devam etmek için, maliyeti denetlemek için bazı yollar Azure Application Gateway altyapısını ayarlayarak, otomatik ölçeklendirme için örnek sayısını ayarlayarak ve PCI-DSS 3.2.1 tarafından gerekli olan denetim izini karşılayarak günlük çıkışını azaltarak. Bu seçimleri, tasarımın diğer özelliklerine göre her zaman değerlendirin ve SLA 'larınızı karşılamanıza olanak sağlar. Örneğin, hala trafikte ani artışları karşılamak için uygun şekilde ölçeklendirme yapabiliyor olabilirsiniz.
Azure Kaynak grupları oluştururken,, maliyet için izlenebilmeleri için Etiketler uygulayın. Maliyeti izlemek ve analiz etmek için Azure Advisor ve Azure maliyet yönetimi gibi maliyet yönetimi araçlarını kullanın.