Veri korumaya genel bakış

Azure DevOps Services

Azure DevOps Services, planlamadan dağıtıma kadar geliştirme projeleriniz için bulutta barındırılan bir uygulamadır. Şirket içi özelliklere bağlı olarak, ek bulut hizmetleriyle kaynak kodunuzu, iş öğelerinizi, derlemelerinizi ve testlerinizi yönetiriz. Azure DevOps, geliştirme projeleriniz için güvenilir ve küresel olarak kullanılabilir bir hizmet sunmak için hizmet olarak platform (PaaS) altyapısını ve Azure SQL dahil birçok Azure hizmetini kullanır.

Bu makalede, Microsoft'un projelerinizi güvenli, kullanılabilir, güvenli ve özel tutmaya yardımcı olmak için attığı adımlar ele alınmaktadır. Ayrıca, projelerinizi güvenli ve güvenli tutmak için oynadığınız rolü açıklar.

Bu makale, proje varlıklarını günlük olarak yöneten kuruluş yöneticilerine ve BT uzmanlarına yöneliktir. Bu, Azure DevOps zaten bilen ve Microsoft'un Azure DevOps'da depolanan varlıkları nasıl koruduğu hakkında daha fazla bilgi edinmek isteyen kişiler için en yararlı olacaktır.

Taahhüdümüz

Microsoft, projelerinizin istisnasız olarak güvenli ve güvenli kalmasını sağlamaya yardımcı olur. projeleriniz Azure DevOps depolandığında güvenlik ve idare teknolojilerinin, operasyonel uygulamaların ve uyumluluk ilkelerinin birden çok katmanından yararlanıyor. Hem bekleyen hem de aktarımdaki veri gizliliğini ve bütünlüğünü zorunluyoruz.

Karşılaştığınız tehditler dört temel kategoriye ayrılır: veri kullanılabilirliği, hizmet kullanılabilirliği, hizmet güvenliği ve veri gizliliği. Bu makale, her kategori içindeki belirli tehditleri inceler ve Azure DevOps bunları ele almak için ne yaptığını açıklar. İlk olarak, makalede verilerin nasıl depolandığı ve Azure DevOps verilerinize erişimi nasıl yönettiği açıklanır.

Veri koruması, varlıklarınızı yetkisiz açıklamaya ve kurcalamaya karşı korumak için atılması gereken adımları bilmesi gereken yöneticilerin ve kullanıcıların etkin katılımını gerektirir. Kullanıcı erişim noktalarına izinler verirken açık olun, böylece Azure DevOps içindeki verilere yalnızca doğru kişiler erişiyor.

Yaklaşımınız ne olursa olsun, nerede veya nasıl kullanıldığından bağımsız olarak tüm verileri potansiyel olarak "risk altında" olarak düşünmelisiniz. Bu, hem buluttaki veriler hem de özel bir veri merkezinde depolanan veriler için geçerlidir. Verilerinizi sınıflandırmak, duyarlılık ve risklerini ve tehlikeye atılırsa ortaya çıkarabileceği zararları sınıflandırmak önemlidir. Ayrıca, verilerinizi genel bilgi güvenliği yönetimi ilkesine göre kategorilere ayırın.

Azure'da yerleşik

Diagram of Azure DevOps high-level architecture.

Azure DevOps tamamen Azure veri merkezlerinde barındırıyoruz. Azure DevOps işlem, depolama, ağ, Azure SQL, kimlik ve erişim yönetimi ve Azure Service Bus gibi birçok temel Azure hizmetini kullanır.

Azure DevOps, hizmet meta verileri ve müşteri verileri için birincil depo olarak Azure Depolama’yı kullanır. Azure DevOps, verilerin türüne ve depolama alanı ile alma gereksinimlerine göre Azure Blob Depolama’yı (ikili büyük nesneler için) ve Azure SQL veri depolama alanını kullanır. Azure DevOps Services hizmetinin veri koruma yaklaşımını anlayabilmek için bu öğeler hakkında bilgi sahibi olmanız önemlidir.

  • Azure Blob Depolama büyük yapılandırılmamış veri öbeklerini depolar. Tüm projeler Azure Blob Depolama hizmetini kullanır. Verilerin arasında kaynak dosyaların içeriği ve iş öğelerinin ekleri gibi hassas veya gizli bilgiler olabilir. Çoğu projedeki depolama alanının büyük bölümünü bu yapılandırılmamış blob depolama alanı oluşturur. Daha fazla bilgi için bkz. Azure Blob Depolama.

  • Azure SQL Veritabanı depolama, proje meta verileri, sürümlenmiş kaynak denetim geçmişi ve iş öğesi ayrıntıları dahil olmak üzere kuruluşunuzun yapılandırılmış ve işlemsel yönlerini depolar. Veritabanı depolama alanı sayesinde projenizin önemli öğelerine hızlıca erişebilirsiniz. Bu depolama alanı ayrıca dosya ve ekleri arayabilmeniz için blob depolama dizini de sunar. Daha fazla bilgi için bkz. Azure SQL Veritabanı.

Yöneticiler, kullanıcı kimlikleri veya grupları üzerinde izinler vererek veya kısıtlayarak kaynaklara erişimi yönetebilir. Azure DevOps, Azure Active Directory (Azure AD) ve Microsoft hesapları aracılığıyla kullanıcı kimliklerinin federasyon kimlik doğrulamalarını kullanır.

Kimlik doğrulaması sırasında, kullanıcı kimlik bilgilerini sağladığı kimlik doğrulama sağlayıcısına yönlendirilir. Kimlik doğrulama sağlayıcısı kullanıcının kimlik bilgilerini doğruladıktan sonra, Azure DevOps kullanıcıya bir kimlik doğrulama tanımlama bilgisi verir ve bu da kullanıcının Azure DevOps karşı kimlik doğrulamasının devam etmesini sağlar.

Bu şekilde, kullanıcının kimlik bilgileri hiçbir zaman doğrudan Azure DevOps ile paylaşılır. Kullanıcının erişmeye çalıştığı her Azure DevOps kaynağı için izinler, kullanıcının açık izinlerine ve grup üyeliği aracılığıyla devralınan izinlere göre doğrulanır. Yöneticiler kuruluşa, proje koleksiyonlarına, takım projelerine ve ekip kapsamlı verilere ve işlevlere erişimi korumak için erişim denetimlerini kullanabilir. Yöneticiler ayrıca sürüm denetimi klasörleri ve iş öğesi alan yolları gibi daha belirli varlıkları koruyabilir.

Veri kullanılabilirliği

Azure DevOps donanım hatası, hizmet kesintisi veya bölge olağanüstü durumu olduğunda veri kullanılabilirliğini sağlamak için birçok Azure Depolama özelliği kullanır. Ayrıca, Azure DevOps ekibi verileri yanlışlıkla veya kötü amaçlı silmeye karşı korumak için yordamları izler.

Veri yedekliği

Donanım veya hizmet hataları sırasında verileri korumak için Azure Depolama müşteri verilerini aynı coğrafyadaki iki bölge arasında coğrafi olarak çoğaltır. Örneğin Azure, Verileri Kuzey ve Batı Avrupa veya Kuzey ve Güney Birleşik Devletler arasında coğrafi olarak çoğaltabilir.

Azure Blob Depolama için müşteri verileri tek bir bölge içinde üç kez çoğaltılır ve aynı coğrafyadaki ikinci bir bölgeye zaman uyumsuz olarak çoğaltılır. Bu nedenle Azure, verilerinizin her zaman altı kopyasına eşdeğerdir. Bu, büyük bir kesinti veya olağanüstü durum olduğunda ayrı bir bölgeye yük devretme gerçekleştirmenizi sağlarken, aynı zamanda bir bölge içindeki donanım hataları için yerel yedekliliğe sahip olmanıza da olanak tanır. Azure SQL Veritabanı depolama için bölgesel bir olağanüstü durum olduğunda günlük yedeklemeler yerinde korunmaz.

Not

Veri yedekliliği ve yük devretme ile ilgili:

  • Microsoft verilerinizi birincil ve ikincil bölge arasında çoğalttığında dakika cinsinden ölçülen doğal bir delta vardır.
  • İkincil bölgeye yük devretme, etkilenen ölçek birimindeki tüm müşterileri etkilediği için Microsoft'un merkezi olarak alması gereken bir karardır. Microsoft, aşırı durumlar dışında, müşteri verilerinin kaybolmaması için yük devretmeyi tercih eder.
  • Azure DevOps yüzde 99,9 çalışma süresi SLA garantisi sunar ve belirli bir ay içinde bu SLA'nın kaçırılması durumunda aylık ücretlerin bir kısmını iade eder.
  • Brezilya'da yalnızca bir bölge olduğundan, Brezilya'daki müşteri verileri olağanüstü durum kurtarma amacıyla Orta Güney ABD bölgesine çoğaltılır.

Hatalar olur

Microsoft, verilerin yanlışlıkla silinmesine karşı koruma sağlamak için hem Azure Blob Depolama blobların hem de Azure SQL Veritabanı veritabanlarının belirli bir noktaya yedeklemesini alır. Tüm blobların ayrı bir kopyası vardır ve değişiklikler her depolama hesabına eklenir. Bu veriler sabit olduğundan, yedekleme yordamlarının bir parçası olarak mevcut depolama alanını yeniden yazmanız gerekmez.

Yedeklemeler Azure SQL Veritabanı standart bir parçasıdır ve Azure DevOps bunu kullanır. Verilerinizin 28 günlük değerini koruruz. Her iki durumda da bu yedeklemeler eşleştirilmiş bir bölgede çoğaltılır ve bölgesel bir kesintiden kurtulmanıza yardımcı olur.

Microsoft'un silme işleminden sonra 28 güne kadar tüm kuruluşları kurtarabilmesi daha fazla koruma sağlar. Bunun nedeni, kuruluş silme işlemleri için "geçici silme" gerçekleştirmemizdir.

Uygulama kritik

Verilerinizin birden çok yedekli yedeğinin olması iyidir, ancak uygulama olmadan geri yükleme öngörülemez olabilir. "Yedeklemeler asla başarısız olmaz, geri yüklemeler başarısız olur" denir. Teknik olarak yanlış olsa da yaklaşım doğru.

Microsoft, yedeklemeden çeşitli veri kümelerini geri yüklemeyi düzenli olarak uygular. Azure'dan coğrafi olarak yedekli depolama düzenli olarak test edilir. Ayrıca, bir müşterinin Azure DevOps'da yanlışlıkla bir projeyi sildiği zaman gibi, insan hatasından kurtarmak için yedeklerden geri yükleme yapıyoruz. Düzenli aralıklarla yeni testler planlamaya ve çalıştırmaya devam ettiğimiz olağanüstü durum ve veri bozulması senaryolarının birçok bileşimi vardır.

Hizmet kullanılabilirliği

Azure DevOps, kuruluşunuza ve ilişkili varlıklara erişiminizin olduğundan emin olmanıza yardımcı olmak için dağıtılmış hizmet reddi (DDoS) korumaları ve canlı site yanıtı sunar.

DDoS korumaları

Bazı durumlarda, kötü amaçlı bir DDoS saldırısı hizmet kullanılabilirliğini etkileyebilir. Azure, hizmetimize yönelik saldırıları önlemeye yardımcı olan bir DDoS savunma sistemine sahiptir. SYN tanımlama bilgileri, hız sınırlama ve bağlantı sınırları gibi standart algılama ve azaltma tekniklerini kullanır. Sistem yalnızca dışarıdan değil Azure'ın içinden de saldırılara dayanacak şekilde tasarlanmıştır.

Azure savunma sistemlerine nüfuz edebilen uygulamaya özgü saldırılar için Azure DevOps uygulama ve kuruluş düzeyi kotaları ve azaltma oluşturur. Bu, bir saldırı sırasında önemli hizmet kaynaklarının aşırı kullanılmasını veya kaynakların yanlışlıkla kötüye kullanılmasını önlemeye yardımcı olur.

Canlı site yanıtı

Nadir durumlarda, hizmet kullanılabilirliğiyle ilgili bir soruna canlı site yanıtı gerektirebilirsiniz. Sorunu hızla belirlemek ve gerekli geliştirme ekibi kaynaklarını devreye almak için 7 gün 24 saat kullanılabilen bir operasyon ekibimiz var. Bu kaynaklar daha sonra sorunu çözer. Ayrıca hizmeti etkileyen bir sorunu algılayan dakikalar içinde hizmet durumu sayfasını güncelleştirmeyi hedefler. Ekip bir sorunu ele aldıktan sonra sorunun kök nedenini belirler ve gelecekte benzer sorunları önlemek için gerekli değişiklikleri izler.

Azure DevOps canlı site yönetimi süreçleri, deneyiminiz ve hizmetinizin durumuna odaklanır. Bu işlemler sorunları algılama, yanıtlama ve azaltma süresini en aza indirir. Tüm mühendislik disiplinleri dahil ve sorumludur, bu nedenle doğrudan deneyimden gelişen sürekli iyileştirmeler vardır. Bu, izleme, tanılama, dayanıklılık ve kalite güvencesi süreçlerinin zaman içinde arttığını gösterir.

Azure DevOps'da canlı site yönetimi üç ayrı parçaya sahiptir: telemetri, olay yönetimi ve canlı site incelemesi. Bu parçaların gerektirdiğiler şunlardır:

Image of the Azure DevOps Services live site management process.

Operasyon ekibi, tek tek kuruluşlar için kullanılabilirlik ölçümlerini de izler. Bu ölçümler, yalnızca bazı müşterilerimizi etkileyebilecek belirli koşullar hakkında içgörüler sağlar. Bu veriler üzerinde yapılan araştırmalar genellikle müşteriye özgü sorunları çözmek için hedeflenen iyileştirmelere neden olabilir. Bazı durumlarda, Microsoft deneyiminizi anlamak ve hizmeti geliştirmek için sizinle çalışmak için doğrudan sizinle iletişime geçebilir.

Microsoft bir hizmet düzeyi sözleşmesi (SLA) yayımlar ve bu sözleşmeyi her ay yerine getirmemizi sağlamak için finansal bir garanti sağlar. Daha fazla bilgi için bkz. Azure DevOps için SLA.

Bazen iş ortağı ekipleri veya bağımlılıkları Azure DevOps etkileyen olaylara sahiptir. Tüm iş ortağı ekipleri, bu hizmet kesintilerini belirleme, çözme ve bu hizmet kesintilerinden öğrenme konusunda benzer yaklaşımları izler.

Hizmet güvenliği

Hizmet güvenliği, uygun tasarım ve kodlama tekniklerinden operasyonel faktörlere kadar sürekli tetikte olmayı gerektirir. Microsoft, güvenlik açıklarının önlenmesine ve ihlal algılamaya aktif olarak yatırım yapar. Bir ihlal varsa, Microsoft veri sızıntısını, kaybını veya bozulmasını en aza indirmek için güvenlik yanıt planlarını kullanır. Daha fazla bilgi için bkz. Güvenlik, kimlik doğrulaması ve yetkilendirme hakkında.

Tasarım gereği güvenli

Azure DevOps güvenli olacak şekilde tasarlanmıştır. Azure DevOps, geliştirme sürecinin temelinde Microsoft Güvenlik Geliştirme Yaşam Döngüsü'nü kullanır. Microsoft Operasyonel Güvenlik Güvencesi programı, bulut işlem yordamlarına yol gösterir. Aşağıdaki yöntemler aşağıdaki gereksinimleri belirtir:

  • Hizmet tasarımı sırasında tehdit modelleme.
  • Tasarım ve kod için en iyi yöntemleri takip edin.
  • Standart araçlar ve testlerle güvenliği doğrulama.
  • İşletimsel verilere ve müşteri verilerine erişimi sınırlama.
  • Katı bir onay süreciyle yeni özelliklerin kullanıma sunulmasını kolaylaştırma.

Azure DevOps ekibi, tüm mühendisler ve operasyon personeli için yıllık eğitim gereksinimlerine sahiptir ve Microsoft mühendisleri tarafından barındırılan resmi olmayan "kahverengi çanta" toplantılarına sponsorluk eder. Kahverengi bir çanta toplantısında ortaya çıkarılan bir sorunu çözdükten sonra öğrendiklerini ekibin geri kalanıyla paylaşırlar.

Bulut hizmeti yalnızca konak platformu kadar güvenlidir. Azure DevOps, altyapısının büyük bir kısmı için PaaS kullanır. PaaS, bilinen güvenlik açıkları için otomatik olarak düzenli güncelleştirmeler sağlar. Azure'da barındırılan VM'ler, barındırılan derleme hizmeti gibi hizmet olarak altyapıyı (IaaS) kullanır. Bu tür görüntüler, Windows Update'den edinilebilen en son güvenlik düzeltme eklerini içeren düzenli güncelleştirmeler alır. Dağıtım, izleme ve raporlama için kullanılanlar da dahil olmak üzere şirket içi makineler için de aynı güncelleştirme katılık geçerlidir.

Azure DevOps ekibi, Azure DevOps düzenli ve güvenlik odaklı sızma testi gerçekleştirmektedir. Sızma testi, kötü amaçlı saldırganlarla aynı teknikleri ve mekanizmaları kullanarak canlı üretim hizmetlerinden ve Azure DevOps altyapısından yararlanmaya çalışır. Amaç, denetimli bir işlemdeki gerçek dünyadaki güvenlik açıklarını, yapılandırmaları, hataları veya diğer güvenlik açıklarını belirlemektir. Ekip, diğer geliştirme alanlarını belirlemek ve önleyici sistemlerin ve eğitimin kalitesini artırmak için sonuçları inceler. Hizmet Güveni Portalı'nda son Azure DevOps sızma testlerinin sonuçlarını gözden geçirebilirsiniz.

Kimlik bilgisi güvenliği

Azure DevOps kimlik bilgileriniz endüstrinin en iyi yöntemleri kullanılarak depolanır. Kimlik bilgisi depolama hakkında daha fazla bilgi edinin.

Güvenlik sorunlarını bildirme

Sızma testi sırasında Azure DevOps hizmetiyle ilgili olası bir güvenlik açığı fark ettiğinizi düşünüyorsanız, 24 saat içinde bunu Microsoft'a bildirin. Daha fazla bilgi için bkz. Bilgisayar güvenlik açığı bildirme.

Önemli

Sızma testi etkinlikleri hakkında Microsoft'a bildirimde bulunma artık gerekli olmasa da, Yine de Microsoft Bulut Birleşik Sızma Testi Katılım Kuralları'na uymanız gerekir.

Ödül programı

Azure DevOps Microsoft Online Services Bounty Program'a katılır. Bu program, sorunları bize bildiren güvenlik araştırmacılarını ödüllendirerek daha fazla kişiyi Azure DevOps güvenliğini sağlamaya teşvik eder. Daha fazla bilgi için bkz. Azure DevOps Ödül Programı.

Erişimi kısıtlama

Microsoft, üretim ortamımıza ve müşteri verilerine kimlerin erişecekleri üzerinde sıkı denetime sahiptir. Erişim, gerekli olan en düşük ayrıcalık düzeyinde ve yalnızca uygun gerekçeler sağlanıp doğrulandıktan sonra verilir. Bir ekip üyesinin acil bir sorunu çözmek veya yapılandırma değişikliği dağıtmak için erişmesi gerekiyorsa, üretim hizmetine "tam zamanında" erişim için başvurması gerekir. Durum çözümlenir çözülmez erişim iptal edilir.

Erişim istekleri ve onayları ayrı bir sistemde izlenir ve izlenir. Sisteme tüm erişimler bu onaylarla ilişkilendirilir ve onaylanmamış erişim algılarsak, operasyon ekibi araştırılması için uyarılır.

Tüm uzak sistem erişimi için iki öğeli kimlik doğrulaması kullanırız. Bu nedenle, geliştiricilerimizden veya operasyon personelimizden birinin kullanıcı adı ve parolası çalınırsa veriler korunur. Bu, hizmete herhangi bir uzaktan erişime izin verilmeden önce akıllı kart veya önceden onaylanmış bir numaraya yapılan telefon araması aracılığıyla ek kimlik doğrulama denetimleri gerçekleştirilmiş olması gerektiği anlamına gelir.

Ayrıca, Microsoft RDP parolaları, SSL sertifikaları ve şifreleme anahtarları gibi hizmeti yönetmek ve korumak için gizli dizileri kullanır. Bunların tümü Azure portal aracılığıyla güvenli bir şekilde yönetilir, depolanır ve iletilir. Bu gizli dizilere erişim, güvenli bir şekilde günlüğe kaydedilen belirli bir izin gerektirir. Tüm gizli diziler normal bir tempoda döndürülür ve güvenlik olayı olduğunda isteğe bağlı olarak döndürülebilir.

Azure DevOps operasyon ekibi, hizmeti yönetmek için sağlamlaştırılmış yönetici iş istasyonları kullanır. Bu makineler çok az sayıda uygulama çalıştırır ve mantıksal olarak segmentlere ayrılmış bir ortamda çalışır. operasyon ekibi üyeleri, iş istasyonlarına erişmek için iki öğeli kimlik doğrulaması ile belirli kimlik bilgileri sağlamalıdır. Tüm erişim izlenir ve güvenli bir şekilde günlüğe kaydedilir. Hizmeti dışarıdan kurcalamaya karşı yalıtmak için, Outlook ve Office gibi uygulamalara izin vermeyeceğiz çünkü bunlar genellikle zıpkınla kimlik avı ve diğer saldırı türlerinin hedefidir.

İzinsiz giriş koruması ve yanıtı

Siz ve Azure DevOps arasında aktarım sırasında araya girilmediğinden veya değiştirilmediğinden emin olmak için verileri HTTPS ve SSL aracılığıyla şifreleriz.

Ayrıca Azure DevOps'de sizin yerinize depoladığımız veriler aşağıdaki gibi şifrelenir:

  • Azure SQL veritabanlarında depolanan veriler, Saydam Veri Şifrelemesi (TDE) kullanılarak şifrelenir. TDE bekleme durumundaki veritabanını, yedekleri ve işlem günlük dosyalarını gerçek zamanlı şifreleyerek kötü amaçlı etkinlik tehdidine karşı korur.

  • Aktarım durumundaki verilerinizi korumak için Azure Blob Depolama bağlantıları şifrelenir. Azure DevOps Services, Azure Blob Depolama’daki bekleyen verileri korumak için Azure Depolama Hizmeti Şifrelemesi (SSE) hizmetini kullanır.

Azure altyapısı, Azure DevOps ekibinin hizmetin önemli yönlerini günlüğe kaydetmesine ve izlemesine yardımcı olur. Bu, hizmet içindeki etkinliklerin meşru olmasını sağlamaya yardımcı olur ve ihlalleri veya ihlal girişimini algılar. Ayrıca tüm dağıtım ve yönetici etkinlikleri, üretim depolama alanına operatör erişimi gibi güvenli bir şekilde günlüğe kaydedilir. Günlük bilgileri kötü amaçlı veya yetkisiz olabilecek davranışları ortaya çıkarmak için otomatik olarak analiz edildiğinden gerçek zamanlı uyarılar oluşturulur.

Olası bir yetkisiz erişim veya yüksek öncelikli güvenlik açığı belirlendiği durumlarda, ekibin net bir yanıt planı vardır. Bu planda sorumlu taraflar, müşteri verilerinin güvenliğini sağlamak için gereken adımlar ve Microsoft'taki güvenlik uzmanlarıyla nasıl etkileşim kuracakları açıklanmaktadır. Ekip ayrıca, verilerin açıklanması veya bozulması durumunda kuruluş sahiplerine durumu düzeltmek için uygun adımları atabileceklerini bildirir.

Son olarak, yeni ortaya çıkan tehditlerle mücadeleye yardımcı olmak için Azure DevOps bir "İhlal Varsay" stratejisini devreye alır. Microsoft'un içinde bulunan ve Kırmızı Ekip olarak bilinen son derece özelleştirilmiş bir güvenlik uzmanları grubu, gelişmiş saldırganların rolünü üstlenir. Bu ekip, hazır olma durumunu ve gerçek dünya saldırılarının etkilerini doğru bir şekilde ölçmek için ihlal algılama ve yanıtını test eder. Bu strateji, hizmetin tehdit algılamasını, yanıtını ve savunmasını güçlendirir. Ayrıca ekibin tüm güvenlik programının verimliliğini doğrulamasını ve geliştirmesini sağlar.

Veri gizliliği

Verilerinizin uygun şekilde ve meşru kullanımlar için işlendiğine güvenmelisiniz. Bu güvencenin bir bölümü, verilerinizin yalnızca meşru nedenlerle kullanılması için kullanımı uygun şekilde kısıtlamayı içerir.

Genel Veri Koruma Mevzuatı (GDPR)

Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği (AB) Veri Koruma Yönetmeliği 95/46/EC'nin 1995 yılından bu yana Avrupa'daki veri koruma yasalarındaki en büyük değişikliktir. GDPR yönetmeliği hakkında daha fazla bilgi için Microsoft Güven Merkezi'ndeki genel bakış sayfasına bakın.

Veri yerleşimi ve bağımsızlığı

Azure DevOps dünya genelinde şu sekiz coğrafyada kullanılabilir: Birleşik Devletler, Kanada, Avrupa, Birleşik Krallık, Hindistan, Avustralya, Asya Pasifik ve Brezilya. Varsayılan olarak, kuruluşunuz en yakın coğrafyanıza atanır, ancak farklı bir coğrafya seçme seçeneğiniz vardır. Daha sonra fikrinizi değiştirirseniz, Microsoft desteğinin yardımıyla kuruluşunuzu farklı bir coğrafyaya geçirebilirsiniz.

Azure DevOps müşteri verilerini seçilen coğrafyanın dışına taşımaz veya çoğaltmaz. Bunun yerine, verileriniz aynı coğrafya içindeki ikinci bir bölgeye coğrafi olarak çoğaltılır. Tek istisna, olağanüstü durum kurtarma amacıyla verileri Orta Güney ABD coğrafyasına çoğaltan Brezilya'dır.

Not

Microsoft tarafından sağlanan macOS aracılarında çalışan derlemeler ve sürümler için verileriniz ABD'deki bir GitHub veri merkezine aktarılır.

Daha fazla bilgi için bkz. Azure DevOps veri konumu.

Kolluk kuvvetlerine erişim

Bazı durumlarda, kolluk güçleri gibi üçüncü taraflar Azure DevOps içinde depolanan müşteri verilerine erişim elde etmek için Microsoft'a yaklaşabilir. İstekleri çözüm için kuruluş sahibine yeniden yönlendirmeye çalışıyoruz. Microsoft, mahkeme kararıyla müşteri verilerini üçüncü bir tarafa ifşa etmeye zorlandığında, yasal olarak yasaklanmadığımız sürece kuruluş sahibini önceden bilgilendirmek için makul bir çaba gösterir.

Bazı müşteriler, herhangi bir yasa uygulama etkinliği için belirli bir yasal yargı yetkisi sağlamak için belirli bir coğrafi konumda veri depolamaya ihtiyaç duyar. Kaynak kodu, iş öğeleri, test sonuçları ve coğrafi olarak yedekli yansıtmalar ve site dışı yedeklemeler gibi tüm müşteri verileri, daha önce bahsedilen coğrafyalardan birinde korunur.

Microsoft erişimi

Microsoft çalışanlarının zaman zaman Azure DevOps içinde depolanan müşteri verilerine erişmesi gerekir. Önlem olarak, müşteri verilerine erişimi olan veya erişebilen tüm çalışanların, önceki çalışma ve cezai mahkumiyetleri doğrulayan bir arka plan denetimi geçirmesi gerekir. Üretim sistemlerine yalnızca bir canlı site olayı veya günlüğe kaydedilen ve izlenen başka bir onaylı bakım etkinliği olduğunda izin veririz.

Sistemimizdeki tüm veriler aynı şekilde ele alınmadığından, verileri aşağıdaki veri türleri arasında ayrım yapmak üzere sınıflandırırız:

  • Müşteri verileri - Azure DevOps'a yüklediğiniz veriler.
  • Kuruluş verileri - Kuruluşunuza kaydolduğunda veya kuruluşunuza kaydolduğunda veya yönetirken kullanılan bilgiler.
  • Microsoft verileri - hizmetin çalışması için gerekli olan veya hizmetin çalışması yoluyla toplanan bilgiler.

Sınıflandırmaya bağlı olarak kullanım senaryolarını, coğrafi konum gereksinimlerini, erişim kısıtlamalarını ve bekletme gereksinimlerini denetleriz.

Microsoft promosyon kullanımı

Microsoft bazen müşterilere yararlı olabilecek ek özellikler ve hizmetler hakkında bilgi vermek ister. Tüm müşteriler bu teklifler hakkında iletişim kurmak istemediğinden, pazarlama e-posta iletişimlerini kabul edebilir ve devre dışı bırakabilirsiniz.

Microsoft, belirli kullanıcılar veya kuruluşlar için belirli teklifleri hedeflemek için hiçbir zaman müşteri verilerini kullanmaz. Bunun yerine, belirli teklifleri alması gereken grupları belirlemek için kuruluş verilerini kullanır ve kullanım istatistiklerini kuruluş düzeyinde toplarız.

Güven oluşturma

Microsoft'un Azure DevOps adına yaptığı diğer çalışmalara güvenebilirsiniz. Bu çabalar Microsoft'taki iç benimseme ilkelerini, hizmetimizin durumuna sağlanan saydamlık düzeyini ve bilgi güvenliği yönetim sistemlerimizin sertifikasını alma yolunda ilerlemeyi içerir.

İç benimseme

Microsoft genelindeki Teams Azure DevOps şirket içinde benimsiyor. Azure DevOps ekibi 2014 yılında bir kuruluşa taşındı ve bunu kapsamlı bir şekilde kullanıyor. Daha kapsamlı olarak, diğer ekipler için benimseme planlarını etkinleştirmek için yönergeler oluşturduk.

Açıkçası, büyük takımlar mevcut DevOps sistemlerine yaptıkları yatırımlar göz önünde bulundurulduğunda daha küçük takımlardan daha yavaş hareket ediyor. Ekiplerin hızla hareket edebilmesi için bir proje sınıflandırma yaklaşımı oluşturduk. Projenin Azure DevOps için uygun olup olmadığını belirlemek için proje özelliklerine göre risk toleransını değerlendirir. Daha büyük ekipler için benimseme genellikle daha fazla planlamayla aşamalar halinde gerçekleşir.

İç projeler için ek gereksinimler, düzgün kullanıcı kimliği yaşam döngüsü ve parola karmaşıklığı sağlamak için kuruluşun Azure AD ile ilişkilendirilmesini içerir. Daha hassas projeler için iki öğeli kimlik doğrulaması da gereklidir.

Uyumluluk sertifikasyonları

Bazılarınız veri güvenliği yordamlarımızın üçüncü taraf değerlendirmesini anlamak istiyor. Azure DevOps aşağıdaki sertifikaları aldı:

  • ISO 27001:2013
  • ISO 27018:2019
  • HIPAA (Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası)
  • BAA (İş Ortağı Sözleşmesi)
  • AB Model Maddeleri
  • SOC 1 Tür 2
  • SOC 2 Tür 2
  • Almanya C5

Azure DevOps için SOC denetimi veri güvenliği, kullanılabilirlik, işleme bütünlüğü ve gizlilik denetimlerini kapsar. Azure DevOps için SOC raporlarına Microsoft Hizmet Güveni Portalı üzerinden erişilebilir.

Uygulayabileceğiniz adımlar

Uygun veri koruması, etkin katılımınızın yanı sıra yöneticilerinizin ve kullanıcılarınızın katılımını gerektirir. Azure DevOps içinde depolanan proje verileriniz yalnızca son kullanıcı erişim noktaları kadar güvenlidir. Projenizin duyarlılık düzeyiyle bu kuruluşlar için izin katılığı ve ayrıntı düzeyi düzeyini eşleştirin.

Verilerinizi sınıflandırma

İlk adım verilerinizi sınıflandırmaktır. Verileri duyarlılık ve risk ufkunu ve tehlikeye girerse oluşabilecek hasara göre sınıflandırın. Birçok kuruluş, projeler Azure DevOps taşındığında yeniden kullanılabilen mevcut sınıflandırma yöntemlerine sahiptir. Daha fazla bilgi için Microsoft Güvenilir Bilgi İşlem'den "Buluta hazır olma için veri sınıflandırması" belgesini indirebilirsiniz.

Azure Active Directory benimseme

Kuruluşunuzun Azure DevOps erişimini yönetmek için Azure Active Directory (Azure AD) kullanın. Azure AD, kullanıcılarınızın kimlik bilgilerinin güvenliğini artırmak için başka bir yol sağlar. Azure AD, BT departmanınızın son kullanıcı erişim ilkesini, parola karmaşıklığını, parola yenilemelerini ve kullanıcı kuruluşunuzdan ayrıldığında süre sonunu yönetmesine olanak tanır. Active Directory federasyonu aracılığıyla, Azure AD kuruluşunuzun merkezi dizinine doğrudan bağlayabilirsiniz, bu nedenle kuruluşunuz için bu ayrıntıları yönetmek için tek bir konumunuz vardır.

Aşağıdaki tabloda Microsoft hesabı ve Azure DevOps erişimine göre Azure AD özellikleri karşılaştırılarak gösterilmiştir:

Özellikler Microsoft hesabı Azure AD
Kimlik oluşturucu Kullanıcı Kuruluş
Tüm iş varlıkları için tek kullanıcı adı / parola Hayır Yes
Parola ömrü & karmaşıklık denetimi Kullanıcı Kuruluş
üyelik sınırlarını Azure DevOps Herhangi bir Microsoft hesabı (MSA) Kuruluşun dizini
İzlenebilir kimlik Hayır Yes
Kuruluş & IP sahipliği Belirsiz Kuruluş
İki öğeli kimlik doğrulama kaydı Kullanıcı Kuruluş
Cihaz tabanlı koşullu erişim No Kuruluş

Kuruluşunuz için bu desteği yapılandırma hakkında daha fazla bilgi edinin.

İki öğeli kimlik doğrulama isteme

Oturum açmak için birden fazla faktör gerektirerek kuruluşunuza erişimi kısıtlamak isteyebilirsiniz. Azure AD ile birden çok faktör gerektirebilirsiniz. Örneğin, tüm kimlik doğrulama istekleri için kullanıcı adı ve parolaya ek olarak telefon kimlik doğrulaması da isteyebilirsiniz.

BitLocker kullanma

Hassas projeler için BitLocker'ı Windows dizüstü bilgisayarınızda veya masaüstü bilgisayarınızda kullanabilirsiniz. BitLocker, Windows ve verilerinizin bulunduğu sürücünün tamamını şifreler. BitLocker etkinleştirildiğinde, bu sürücüye kaydettiğiniz tüm dosyaları otomatik olarak şifreler. Dizüstü veya masaüstü makineniz yanlış ellere geçerse, BitLocker projelerinizdeki verilerin yerel kopyalarına yetkisiz erişimi engeller.

Alternatif kimlik doğrulama kimlik bilgilerinin kullanımını sınırla

Git ile ilgili araçlar için varsayılan kimlik doğrulama mekanizması alternatif kimlik doğrulamasıdır (bazen temel kimlik doğrulaması olarak da adlandırılır). Bu mekanizma, son kullanıcının Git komut satırı işlemleri sırasında kullanmak üzere alternatif bir kullanıcı adı ve parola ayarlamasına olanak tanır. Bu kullanıcı adı ve parola bileşimi, kullanıcının izinleri olan diğer verilere erişmek için de kullanılabilir. Doğası gereği, alternatif kimlik doğrulama kimlik bilgileri varsayılan federasyon kimlik doğrulamasından daha az güvenlidir.

Daha fazla güvenlik için seçim yapmaya devam edebilirsiniz. Tüm iletişim HTTPS üzerinden gönderilir ve parola karmaşıklığı gereksinimleri vardır. Kuruluşunuz, proje güvenlik gereksinimlerinizi karşılamak için ek ilkelerin gerekli olup olmadığını değerlendirmeye devam etmelidir. Kuruluşunuzun güvenlik gereksinimlerini karşılamadığını düşünüyorsanız alternatif kimlik doğrulama kimlik bilgilerini tamamen devre dışı bırakabilirsiniz. Daha fazla bilgi için bkz. Kuruluşunuz için uygulama bağlantısı & güvenlik ilkelerini değiştirme.

Kuruluşunuza güvenli erişim

Azure AD, yöneticilerin Azure DevOps gibi Azure kaynaklarına ve uygulamalarına erişimi denetlemesini sağlar. Koşullu erişim denetimi uygulandığında, Azure AD kullanıcının uygulamaya erişmesi için ayarladığınız belirli koşulları denetler. Erişim gereksinimleri karşılandıktan sonra kullanıcının kimliği doğrulanır ve uygulamaya erişebilir.

Azure DevOps, özel Azure DevOps kimlik doğrulama mekanizmaları için belirli türlerde koşullu erişim ilkelerinin (örneğin, IP eskrimini) zorunlu kılmayı destekler. Bu mekanizmalar kişisel erişim belirteçlerini, alternatif kimlik doğrulamasını, OAuth'ı ve SSH anahtarlarını içerir. Kullanıcılarınız üçüncü taraf bir istemci aracılığıyla Azure DevOps erişiyorsa, yalnızca IP tabanlı ilkeler (yalnızca IPv4 tabanlı) kabul edilir.

Ek kaynaklar