Azure Backup'taki güvenlik özelliklerine genel bakış

Verilerinizi korumak için atabileceğiniz en önemli adımlardan biri, güvenilir bir yedekleme altyapısına sahip olmaktır. Ancak verilerinizin güvenli bir şekilde yedeklendiğinden ve yedeklemelerinizin her zaman korunduğundan emin olmak da önemlidir. Azure Backup, yedekleme ortamınızın güvenliğini sağlar ve verilerinizi hem aktarım sırasında hem de bekleme sırasında korur. Bu makalede, Azure Backup'ta yedekleme verilerinizi korumanıza ve işletmenizin güvenlik gereksinimlerini karşılamanıza yardımcı olan güvenlik özellikleri listelenir.

Kimlik ve kullanıcı erişiminin yönetimi ve denetimi

Kurtarma Hizmetleri kasaları tarafından kullanılan Depolama hesapları yalıtılır ve kötü amaçlı amaçlarla kullanıcılar tarafından erişemez. Erişime yalnızca geri yükleme gibi Azure Backup yönetim işlemleri aracılığıyla izin verilir. Azure Backup, Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak ayrıntılı erişim aracılığıyla yönetilen işlemleri denetlemenizi sağlar. Azure RBAC, ekibinizdeki görevleri ayırmanıza ve kullanıcılara yalnızca işlerini yapmak için gereken erişim miktarını vermenizi sağlar.

Azure Backup, yedekleme yönetimi işlemlerini denetlemek için üç yerleşik rol sağlar:

• Yedekleme Katkıda Bulunanı: Kurtarma Hizmetleri kasasını silme ve başkalarına erişim verme dışında yedeklemeler oluşturmak ve yönetmek için
• Yedekleme İşleci: Yedeklemeyi kaldırma ve yedekleme ilkelerini yönetme dışında katkıda bulunanların yaptığı her şey
• Yedekleme Okuyucusu: Tüm yedekleme yönetimi işlemlerini görüntüleme izinleri

Azure Backup'ı yönetmek için Azure rol tabanlı erişim denetimi hakkında daha fazla bilgi edinin.

Azure Backup,güvenlik açıklarını önlemek, algılamak ve yanıtlamak için hizmette yerleşik olarak bulunan çeşitli güvenlik denetimlerine sahiptir. Azure Backup güvenlik denetimleri hakkında daha fazla bilgi edinin.

Azure Backup ile veri yalıtımı

Azure Backup ile, kasaya alınan yedekleme verileri Microsoft tarafından yönetilen Azure aboneliğinde ve kiracısında depolanır. Dış kullanıcılar veya konuklar, yedekleme verilerinin veri kaynağının bulunduğu üretim ortamından yalıtılmasını sağlayarak bu yedekleme depolama alanına veya içeriğine doğrudan erişime sahip değildir.

Azure'da, aktarımdaki tüm iletişimler ve veriler HTTPS ve TLS 1.2+ protokolleri ile güvenli bir şekilde aktarılır. Bu veriler, güvenilir ve verimli veri iletimi sağlamak için Azure omurga ağında kalır. Bekleyen yedekleme verileri varsayılan olarak Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir. Veriler üzerinde daha fazla denetime ihtiyacınız varsa şifreleme için kendi anahtarlarınızı da getirebilirsiniz. Korumayı geliştirmek için, verilerin saklama süresinden önce değiştirilmesini veya silinmesini engelleyen değişmezliği kullanabilirsiniz. Azure Backup geçici silme, yedeklemeyi durdurma ve verileri silme veya yedeklemeleri istediğiniz zaman durdurmanız gerekiyorsa verileri saklama gibi çeşitli seçenekler sunar. Kritik işlemleri korumak için Azure Resource Guard adlı bir Azure kaynağı kullanarak ek koruma katmanı ekleyen Çok Kullanıcılı Yetkilendirme (MUA) ekleyebilirsiniz.

Bu sağlam yaklaşım, güvenliği aşılmış bir ortamda bile mevcut yedeklemelerin yetkisiz kullanıcılar tarafından değiştirilmemesini veya silinememesini sağlar.

Azure VM yedeklemesi için İnternet bağlantısı gerekli değil

Azure VM'lerinin yedeklenmek için sanal makinenizin diskinden Kurtarma Hizmetleri kasasına veri taşınması gerekir. Ancak gerekli tüm iletişim ve veri aktarımı, sanal ağınıza erişmeye gerek kalmadan yalnızca Azure omurga ağında gerçekleşir. Bu nedenle, güvenli ağlara yerleştirilen Azure VM'lerinin yedeklenmiş olması, ip'lere veya FQDN'lere erişime izin vermenizi gerektirmez.

Azure Backup için Özel Uç Noktalar

Artık verilerinizi bir sanal ağın içindeki sunuculardan Kurtarma Hizmetleri kasanıza güvenli bir şekilde yedeklemek için Özel Uç Noktaları kullanabilirsiniz. Özel uç nokta, kasanız için sanal ağ adres alanından bir IP kullanır, bu nedenle sanal ağlarınızı genel IP'lere sunmanız gerekmez. Özel Uç Noktalar, Azure VM'lerinizin içinde çalışan SQL ve SAP HANA veritabanlarınızı yedeklemek ve geri yüklemek için kullanılabilir. Ayrıca, MARS aracısını kullanarak şirket içi sunucularınız için de kullanılabilir.

Azure Backup için özel uç noktalar hakkında daha fazla bilgiyi burada bulabilirsiniz.

Verilerin şifrelenmesini

Şifreleme verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Veri şifreleme, Azure Backup'ın birçok aşamasında gerçekleşir:

• Azure'da, Azure depolama ile kasa arasında aktarımda olan veriler HTTPS ile korunur. Bu veriler Azure omurga ağında kalır.

• Yedekleme verileri platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir ve etkinleştirmek için açık bir işlem yapmanız gerekmez. Yedeklenen verilerinizi Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarları kullanarak da şifreleyebilirsiniz. Kurtarma Hizmetleri kasanıza yedeklenen tüm iş yükleri için geçerlidir.

• Azure Backup, işletim sistemi/veri diskleri Azure Disk Şifrelemesi (ADE) ile şifrelenmiş olan Azure VM'lerinin ve CMK şifrelenmiş diskleri olan VM'lerin yedeklenmesini ve geri yüklenmesini destekler. Daha fazla bilgi için şifrelenmiş Azure VM'leri ve Azure Backup hakkında daha fazla bilgi edinin.

• Mars aracısı ile şirket içi sunuculardan veriler yedeklendiğinde, veriler Azure Backup'a yüklenmeden önce parolayla şifrelenir ve şifresi ancak Azure Backup'tan indirildikten sonra çözülür. Karma yedeklemelerin korunmasına yardımcı olmak için güvenlik özellikleri hakkında daha fazla bilgi edinin.

Geçici silme

Azure Backup, silme işleminden sonra bile yedekleme verilerinin korunmasına yardımcı olmak için güvenlik özellikleri sağlar. Geçici silme ile, bir VM'nin yedeklemesini silerseniz, yedekleme verileri 14 gün daha saklanır ve bu sayede bu yedekleme öğesinin veri kaybı olmadan kurtarılması sağlanır. Yedekleme verilerinin "geçici silme durumunda 14 gün daha saklanması herhangi bir maliyete neden olmaz. Geçici silme hakkında daha fazla bilgi edinin.

Azure Backup, silme işleminden sonra verileri kurtarma olasılığını daha da artırmak için geçici silmeyi de iyileştirmiştir. Daha fazla bilgi edinin.

Sabit kasalar

Sabit kasa, kurtarma noktalarının kaybolmasına neden olabilecek işlemleri engelleyerek yedekleme verilerinizi korumanıza yardımcı olabilir. Ayrıca, sabit kasa ayarını kilitleyerek, kötü amaçlı aktörlerin değiştirilemezliği devre dışı bırakmasını ve yedekleri silmesini engelleyebilecek şekilde geri alınamaz hale getirebilirsiniz. Sabit kasalar hakkında daha fazla bilgi edinin.

Çok kullanıcılı yetkilendirme

Azure Backup için çok kullanıcılı yetkilendirme (MUA), Kurtarma Hizmetleri kasalarınızda ve Backup kasalarınızda kritik işlemlere ek bir koruma katmanı eklemenize olanak tanır. MUA için Azure Backup, kritik işlemlerin yalnızca geçerli yetkilendirmeyle gerçekleştirildiğinden emin olmak için Resource Guard adlı başka bir Azure kaynağı kullanır. Azure Backup için çok kullanıcılı yetkilendirme hakkında daha fazla bilgi edinin.

Geliştirilmiş geçici silme

Gelişmiş geçici silme, verilerinizi yanlışlıkla veya kötü amaçlı olarak silindikten sonra bile kurtarma olanağı sağlar. Verilerin kalıcı olarak silinmesini belirli bir süre geciktirerek çalışır ve size bunları alma fırsatı sağlar. Devre dışı bırakılmasını önlemek için geçici silme işlemini her zaman açık hale getirebilirsiniz. Yedekleme için gelişmiş geçici silme hakkında daha fazla bilgi edinin.

Şüpheli etkinlik izleme ve uyarıları

Azure Backup, Azure Backup ile ilgili olayların eylemlerini görüntülemek ve yapılandırmak için yerleşik izleme ve uyarı özellikleri sağlar. Yedekleme Raporları , kullanımı izlemek, yedeklemeleri ve geri yüklemeleri denetlemek ve farklı ayrıntı düzeylerindeki temel eğilimleri belirlemek için tek noktadan bir hedef görevi görür. Azure Backup'ın izleme ve raporlama araçlarını kullanmak, yetkisiz, şüpheli veya kötü amaçlı etkinlikler gerçekleştiği anda sizi uyarır.

Karma yedeklemeleri korumaya yardımcı olmaya yönelik güvenlik özellikleri

Azure Backup hizmeti, şirket içi bir bilgisayardan Azure'a dosya, klasör ve birim veya sistem durumunu yedeklemek ve geri yüklemek için Microsoft Azure Kurtarma Hizmetleri (MARS) aracısını kullanır. MARS artık karma yedeklemelerin korunmasına yardımcı olacak güvenlik özellikleri sunmaktadır. Bu özellikler şunları içerir:

• Parola değiştirme gibi kritik bir işlem gerçekleştirildiğinde ek bir kimlik doğrulama katmanı eklenir. Bu doğrulama, bu tür işlemlerin yalnızca geçerli Azure kimlik bilgilerine sahip kullanıcılar tarafından gerçekleştirilebilmesini sağlamaktır. Saldırıları önleyen özellikler hakkında daha fazla bilgi edinin.

• Silinen yedekleme verileri, silinme tarihinden itibaren 14 gün daha saklanır. Bu, belirli bir süre içinde verilerin kurtarılabilmesini sağlar, bu nedenle bir saldırı olsa bile veri kaybı olmaz. Ayrıca, bozuk verilere karşı korunmak için daha fazla sayıda minimum kurtarma noktası korunur. Silinen yedekleme verilerini kurtarma hakkında daha fazla bilgi edinin.

• Microsoft Azure Kurtarma Hizmetleri (MARS) aracısı kullanılarak yedeklenen veriler için, Azure Backup'a yüklenmeden önce verilerin şifrelendiğinden ve yalnızca Azure Backup'tan indirildikten sonra şifresinin çözülmesinden emin olmak için bir parola kullanılır. Parola ayrıntıları yalnızca parolayı oluşturan kullanıcı ve onunla yapılandırılmış aracı tarafından kullanılabilir. Hiçbir şey iletilmiyor veya hizmetle paylaşılmıyor. Bu, yanlışlıkla kullanıma sunulan tüm veriler (örneğin, ağda ortadaki adam saldırısı) parola olmadan kullanılamaz ve parola ağ üzerinden gönderilmediğinden, verilerinizin tam güvenliğini sağlar.

Güvenlik duruşu ve güvenlik düzeyleri

Azure Backup, içinde depolanan yedekleme verilerini korumak için kasa düzeyinde güvenlik özellikleri sağlar. Bu güvenlik önlemleri, kasalar için Azure Backup çözümüyle ilişkili ayarları ve kasalarda bulunan korumalı veri kaynaklarını kapsar.

Azure Backup kasaları için güvenlik düzeyleri aşağıdaki gibi kategorilere ayrılır:

• Mükemmel (Maksimum): Bu düzey, kapsamlı koruma sağlayan en yüksek güvenliği temsil eder. Tüm yedekleme verileri yanlışlıkla silinmeye karşı korunduğunda ve fidye yazılımı saldırılarına karşı koruduğunda bunu yapabilirsiniz. Bu yüksek güvenlik düzeyini elde etmek için aşağıdaki koşulların karşılanması gerekir:

  • Değiştirilemezlik veya geçici silme kasası ayarının etkinleştirilmesi ve geri alınamaz (kilitli/her zaman açık) olması gerekir.
  • Kasada çok kullanıcılı yetkilendirme (MUA) etkinleştirilmelidir.

• İyi (Yeterli): Bu, güvenilir veri koruması sağlayan sağlam bir güvenlik düzeyine işaret eder. Mevcut yedeklemeleri istenmeyen kaldırmaya karşı korur ve veri kurtarma potansiyelini artırır. Bu güvenlik düzeyini elde etmek için kilit veya geçici silme ile değişmezliği etkinleştirmeniz gerekir.

• Adil (Minimum/Ortalama):Bu, standart koruma gereksinimlerine uygun temel bir güvenlik düzeyini temsil eder. Temel yedekleme işlemleri ek bir koruma katmanından yararlandır. En düşük düzeyde güvenlik elde etmek için kasada Çok Kullanıcılı Yetkilendirme'yi (MUA) etkinleştirmeniz gerekir.

• Kötü (Hatalı/Yok): Bu, güvenlik önlemlerinde veri koruması için daha az uygun olan bir eksikliği gösterir. Bu düzeyde, ne gelişmiş koruyucu özellikler ne de yalnızca geri çevrilebilir özellikler mevcuttur. Hiçbiri düzeyi güvenlik, öncelikli olarak yalnızca yanlışlıkla silme işlemlerine karşı koruma sağlar.

Azure İş Sürekliliği Merkezi aracılığıyla ilgili kasalarındaki tüm veri kaynaklarında güvenlik düzeylerini görüntüleyebilir ve yönetebilirsiniz.

Standartlaştırılmış güvenlik gereksinimleriyle uyumluluk

Kuruluşların kişilerin verilerinin toplanması ve kullanılmasını yöneten ulusal/bölgesel ve sektöre özgü gereksinimlere uymasına yardımcı olmak için Microsoft Azure ve Azure Backup kapsamlı bir sertifika ve kanıtlama kümesi sunar. Uyumluluk sertifikaları listesine bakın

Sonraki adımlar

• Azure Backup kullanan bulut iş yüklerini korumaya yardımcı olan güvenlik özellikleri
• Azure Backup kullanan karma yedeklemeleri korumaya yardımcı olan güvenlik özellikleri