Azure Bilişsel Arama için güvenliğe genel bakış
Bu makalede, veri ve işlemleri koruyan Azure Bilişsel Arama özellikleri açıklanmıştır.
Ağ trafiği desenleri
Arama hizmeti Azure'da barındırıldı ve genel ağ bağlantıları üzerinden erişilir. Hizmetin erişim desenlerini anlamak, aranabilir içeriğe yetkisiz erişimi etkili bir şekilde alan bir güvenlik stratejisi tasarlamanıza yardımcı olabilir.
Bilişsel Arama'nın üç temel ağ trafiği deseni vardır:
- İstemci tarafından arama hizmetine yapılan gelen istekler (baskın desen)
- Arama hizmeti tarafından Azure'da ve diğer yerlerdeki diğer hizmetlere verilen giden istekler
- Güvenli Microsoft omurga ağı üzerinden iç hizmetten hizmete istekler
Gelen istekler arasında nesne oluşturma, veri yükleme ve sorgulama yer almaktadır. Verilere ve işlemlere gelen erişim için, istekteki API anahtarları ile başlayarak güvenlik önlemlerinin ilerlemesini gerçekleştirebilirsiniz. Daha sonra IP güvenlik duvarında gelen kuralları tamamlar veya hizmetinizi genel İnternet'e karşı tam olarak korumanızı sağlar özel uç noktalar oluşturabilirsiniz.
Giden istekler hem okuma hem de yazma işlemlerini içerebilir. Giden çağrının birincil aracısı, dizine alan ve onu temel alan beceri kümeleridir. Dizin oluşturma işlemleri belgeyi ve veri alımını içerir. Dizin oluşturma, önbelleğe alınmış zenginleştirmeleri kalıcı Depolama hata ayıklama oturumlarını kalıcı olarak oluştururken azure Depolama'ye de yazabilir. Son olarak, bir beceri kümesi dış kod çalıştıran özel beceriler de içerebilir( örneğin, Azure İşlevleri bir web uygulamasında.
İç istekler arasında tanılama günlüğü, şifreleme, Azure Active Directory üzerinden kimlik doğrulaması ve yetkilendirme, özel uç nokta bağlantıları ve yerleşik beceriler için Bilişsel Hizmetler'e yapılan istekler gibi görevler için hizmetten hizmete çağrılar yer almaktadır.
Ağ güvenliği
Gelen güvenlik özellikleri, artan güvenlik ve karmaşıklık düzeyleri aracılığıyla arama hizmeti uç noktasını korur. Bilişsel Arama, tüm isteklerin kimliği doğrulanmışerişim için bir API anahtarı gerektirmesi için anahtar tabanlı kimlik doğrulaması kullanır.
İsteğe bağlı olarak, belirli IP adreslerine erişimi sınırlayıcı güvenlik duvarı kuralları ayarerek ek denetim katmanları da gerçekleştirebilirsiniz. Gelişmiş koruma için hizmet uç noktanızı Azure Özel Bağlantı internet trafiğinden korumak için bu hizmeti etkinleştirebilirsiniz.
Bağlan İnternet üzerinden bağlantı
Varsayılan olarak, arama hizmeti uç noktasına yönetici veya arama hizmeti uç noktasına sorgu erişimi için anahtar tabanlı kimlik doğrulaması kullanılarak genel bulut üzerinden bir arama hizmeti uç noktasına erişilir. Anahtarlar gereklidir. Geçerli bir anahtarın gönderimi, isteğin güvenilir bir varlığa kaynaklandığının kanıtı olarak kabul edilir. Anahtar tabanlı kimlik doğrulaması bir sonraki bölümde ele almaktadır. API anahtarları olmadan istekte 401 ve 404 yanıtları alısınız.
Bağlan güvenlik duvarlarını kullanarak yapılandırma
Arama hizmetinize erişimi daha fazla kontrol etmek için, belirli BIR IP adresine veya bir IP adresi aralığına erişime izin verecek gelen güvenlik duvarı kuralları oluşturabilirsiniz. Tüm istemci bağlantıları izin verilen bir IP adresi üzerinden yapılır veya bağlantı reddedilir.
Gelen erişimi yapılandırmak için portalı kullanabilirsiniz.
Alternatif olarak, yönetim REST API'lerini kullanabilirsiniz. API'nin 2020-03-13 sürümünden itibaren, IpRule parametresiyle, arama hizmetinize erişim vermek istediğiniz IP adreslerini tek tek veya bir aralıkta tanımlayarak hizmetinize erişimi kısıtabilirsiniz.
Bağlan uç noktasına bağlanın (ağ yalıtımı, İnternet trafiği yok)
Sanal ağ üzerinde bir istemcinin özel bağlantı Azure Bilişsel Arama arama dizininde yer alan verilere güvenli bir şekilde erişmesini sağlamak için özel bir uç nokta kurabilirsiniz.
Özel uç nokta, arama hizmetinize bağlantılar için sanal ağ adres alanı üzerinden bir IP adresi kullanır. İstemci ile arama hizmeti arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağı üzerinde özel bir bağlantı üzerinden geçerek genel İnternet'te erişimi ortadan kaldırıyor. Sanal ağ, hem şirket içi ağınız hem de İnternet ile kaynaklar arasında güvenli iletişim sağlar.
Bu çözüm en güvenli çözümdür ancak ek hizmetler kullanmak ek bir maliyettir. Bu nedenle, başlamadan önce avantajları net bir şekilde anlayanın. veya maliyetler hakkında daha fazla bilgi için fiyatlandırma sayfasına bakın. Bu bileşenlerin birlikte çalışması hakkında daha fazla bilgi için bu makalenin en üstünde yer alan videoyu izleyin. Özel uç nokta seçeneğinin kapsamı videoda 5:48'de başlar. Uç noktayı ayarlama yönergeleri için bkz. Azure Bilişsel Arama için Özel Uç Nokta oluşturma.
Dış hizmetlere giden bağlantılar
Dizinler ve beceri kümeleri, dış bağlantılara sahip olan nesnelerdir. Bu mekanizmalardan birini kullanarak nesne tanımının bir parçası olarak bağlantı bilgilerini sağlayacaktır.
Bağlantı dizesinde kimlik bilgileri
Bağlantı dizesinde yönetilen kimlik
Azure Depolama, Azure SQL, Cosmos DB veya diğer Azure veri kaynaklarından verilere erişirken güvenilir bir hizmette arama yapmak için yönetilen kimlik kurabilirsiniz. Yönetilen kimlik, bağlantıda kimlik bilgilerinin veya erişim anahtarlarının yerini alar. Bu özellik hakkında daha fazla bilgi için bkz. Bağlan kullanarak bir veri kaynağına erişim.
Kimlik Doğrulaması
Arama hizmetine gelen istekler için kimlik doğrulaması, isteğin güvenilir bir kaynaktan olduğunu kanıtlayacak bir API anahtarı (rastgele oluşturulan sayılardan ve harflerden oluşan bir dize) üzerindendir. Alternatif olarak, şu anda önizlemede olan Azure Active Directory kimlik doğrulaması ve rol tabanlı yetkilendirme için yeni destek de vardır.
Bir dizin sağlayıcı tarafından yapılan giden istekler, dış hizmet tarafından kimlik doğrulamasına tabi olur. Bilişsel Arama'daki dizin sağlayıcı alt hizmeti, yönetilen kimlik kullanarak diğer hizmetlere bağlanarak Azure'da güvenilir bir hizmet olabilir. Daha fazla bilgi için bkz. Yönetilen kimlik kullanarak veri kaynağına dizin oluşturma bağlantısı ayarlama.
Yetkilendirme
Bilişsel Arama, içerik yönetimi ve hizmet yönetimi için farklı yetkilendirme modelleri sağlar.
İçerik yönetimi için yetkilendirme
İçerik yetkilendirmesi ve içerikle ilgili işlemler, istekte sağlanan API anahtarı aracılığıyla ertelenmiş olarak yazma erişimidir. API anahtarı bir kimlik doğrulama mekanizmasıdır, ancak api anahtarının türüne bağlı olarak erişimi yetkilendirebilir.
Yönetim anahtarı (arama hizmette oluşturma-okuma-güncelleştirme-silme işlemleri için okuma-yazma erişimine izin verir), hizmet sağlandıktan sonra oluşturulur
Sorgu anahtarı (bir dizinin belge koleksiyonuna salt okunur erişim sağlar), gerektiğinde oluşturulur ve sorgular veren istemci uygulamaları için tasarlanmıştır
Uygulama kodunda, içerik ve seçeneklere erişime izin vermek için uç noktayı ve API anahtarını belirtirsiniz. Uç nokta hizmetin kendisi, dizin koleksiyonu, belirli bir dizin, belge koleksiyonu veya belirli bir belge olabilir. Zincirleme bir araya geldiğinde uç nokta, işlemi (örneğin, oluşturma veya güncelleştirme isteği) ve izin düzeyi (anahtarı temel alan tam veya salt okunur haklar) içeriği ve işlemleri koruyan güvenlik formülünü oluştur.
Not
Azure rol tabanlı erişim denetimi (RBAC) kullanan veri düzlemi işlemleri için yetkilendirme artık önizlemededir. API anahtarları yerine rol atamaları kullanmak için bu önizleme özelliğini kullanabilirsiniz.
Dizinlere erişimi denetleme
Tek Azure Bilişsel Arama, tek bir dizin, güvenilebilir bir nesne değildir. Bunun yerine dizine erişim, bir işlem bağlamıyla birlikte hizmet katmanında (hangi API anahtarına bağlı olarak okuma veya yazma erişimi) belirlenir.
Salt okunur erişim için, sorgu isteklerini sorgu anahtarı kullanarak bağlamak için yapılandırabilirsinizve uygulamanız tarafından kullanılan belirli dizini dahil edin. Sorgu isteğinde, dizinleri birleştirme veya birden çok dizine aynı anda erişme kavramı yoktur, bu nedenle tüm istekler tanım gereği tek bir dizini hedefler. Bu nedenle, sorgu isteğinin kendisi (anahtar artı tek bir hedef dizin) oluşturma güvenlik sınırını tanımlar.
Dizinlere yönetici ve geliştirici erişimi arasında fark yok: Hizmet tarafından yönetilen nesneleri oluşturmak, silmek ve güncelleştirmek için her ikisi de yazma erişimine ihtiyaç duyar. Hizmetinize yönetici anahtarı olan herkes aynı hizmette yer alan herhangi bir dizini okuyabilir, değiştirebilir veya silebilir. Dizinlerin yanlışlıkla veya kötü amaçlı olarak silinmesine karşı koruma için, kod varlıkları için kendi kaynak denetiminiz, istenmeyen dizin silme veya değiştirme işlemlerini geri çevirmenin çözümü olur. Azure Bilişsel Arama kullanılabilirliği sağlamak için küme içinde yük devretmesi vardır, ancak dizin oluşturmak veya yüklemek için kullanılan özel kodunuzu depolamaz veya yürütmez.
Dizin düzeyinde güvenlik sınırları gerektiren çok müşterili çözümler için bu tür çözümler genellikle müşterilerin dizin yalıtımlarını işlemek için kullanabileceği bir orta katman içerir. Çok kullanıcılı kullanım durumu hakkında daha fazla bilgi için bkz. Çok kullanıcılı SaaS uygulamaları için tasarım desenleri ve Azure Bilişsel Arama.
Belgelere erişimi denetleme
Arama sonuçları üzerinde ayrıntılı, kullanıcı başına denetime ihtiyaç ediyorsanız, sorgularınız üzerinde güvenlik filtreleri oluşturabilir ve belirli bir güvenlik kimliğiyle ilişkili belgeleri döndürebilirsiniz.
Kavramsal olarak "satır düzeyi güvenlik" ile eşdeğer olan dizindeki içeriğe yönelik yetkilendirme, dizindeki varlıklarla eşilen önceden tanımlanmış roller veya rol atamaları kullanılarak yerel Azure Active Directory. Cosmos DB gibi dış sistemlerde yer alan veriler üzerinde kullanıcı izinleri, Bilişsel Arama tarafından dizine alınan verilerle aktarlanmaz.
"Satır düzeyi güvenlik" gerektiren çözümler için geçici çözümler, veri kaynağında bir güvenlik grubunu veya kullanıcı kimliğini temsil eden bir alan oluşturmayı ve ardından Bilişsel Arama'da filtreleri kullanarak belgelerin ve içeriğin arama sonuçlarını kimliklere göre seçmeli olarak kırpmayı içerir. Aşağıdaki tabloda, yetkisiz içeriğin arama sonuçlarını kırpmak için iki yaklaşım açıklandı.
| Yaklaşım | Description |
|---|---|
| Kimlik filtrelerine göre güvenlik kırpma | Kullanıcı kimliği erişim denetimi uygulamak için temel iş akışını belgeler. Dizine güvenlik tanımlayıcıları eklemeyi kapsar ve ardından yasaklanmış içeriğin sonuçlarını kırpmak için bu alana göre filtrelemeyi açıklar. |
| Kimlikleri temel alan Azure Active Directory kırpma | Bu makale, Azure bulut platformunda ücretsiz hizmetlerden biri olan Azure Active Directory (Azure AD) kimlikleri almaya yönelik adımlar sağlayarak önceki makaleyi genişletmektedir. |
Hizmet Yönetimi için Yetkilendirme
Hizmet Yönetimi işlemleri, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla yetkilendirilmiştir. Azure RBAC, Azure kaynaklarının sağlanması için Azure Resource Manager bir yetkilendirme sistemidir.
Bu Azure Bilişsel Arama, Resource Manager oluşturmak veya silmek, API anahtarlarını yönetmek ve hizmeti ölçeklendirmek için kullanılabilir. Bu nedenle, Azure rol atamaları portalı, PowerShellveya Yönetim REST API'lerini kullanarak bu görevleri kimlerin gerçekleştirebilir olduğunu belirler.
Arama hizmeti yönetimi için üç temel rol tanımlanır. Rol atamaları desteklenen herhangi bir metodoloji (portal, PowerShell vb.) kullanılarak yapilarak ve hizmet genelinde kabul edildi. Sahip ve Katkıda Bulunan rolleri çeşitli yönetim işlevleri gerçekleştirebilirsiniz. Okuyucu rolünü yalnızca temel bilgileri görüntülemesi gereken kullanıcılara atabilirsiniz.
Not
Azure genelindeki mekanizmaları kullanarak, arama hizmetinizin yönetici haklarına sahip kullanıcılar tarafından yanlışlıkla veya yetkisiz silinmesini önlemek için bir aboneliği veya kaynağı kilit edebilirsiniz. Daha fazla bilgi için bkz. Beklenmeyen silmeyi önlemek için kaynakları kilitleme.
Veri koruma
Depolama katmanında dizinler, eş anlamlı eşlemeler ve dizin oluşturma tanımları, veri kaynakları ve beceri kümeleri dahil olmak üzere diske kaydedilmiş tüm hizmet tarafından yönetilen içerikler için veri şifreleme yerleşiktir. İsteğe bağlı olarak, dizinli içeriğin ek şifrelemesi için müşteri tarafından yönetilen anahtarlar (CMK) abilirsiniz. CMK şifrelemesi, 1 Ağustos 2020'den sonra oluşturulan hizmetler için dizine oluşturulan içeriğin tam "çift şifrelemesi" için geçici disklerdeki verilere genişletildi.
Aktarım durumundaki veriler
Bu Azure Bilişsel Arama, şifreleme bağlantılar ve iletimlerle başlar ve diskte depolanan içeriğe kadar genişler. Genel İnternet'te arama hizmetleri için https Azure Bilişsel Arama 443'ü dinler. Tüm istemciden hizmete bağlantılar TLS 1.2 şifrelemesi kullanır. Önceki sürümler (1.0 veya 1.1) desteklenmiyor.
Şifrelenmiş veriler
Arama hizmeti tarafından dahili olarak ele alan veriler için aşağıdaki tabloda veri şifreleme modelleri açıkmektedir. Bilgi deposu, artımlı zenginleştirme ve dizin oluşturma tabanlı dizin oluşturma, diğer Azure Hizmetlerinden okuma veya veri yapılarına yazma gibi bazı özellikler. Bu hizmetlerin farklı şifreleme desteği düzeyleri Azure Bilişsel Arama.
| Modelleme | Anahtar | Gereksinim -leri | Kısıtlamalar | Şunlara uygulanır |
|---|---|---|---|---|
| sunucu tarafı şifreleme | Microsoft tarafından yönetilen anahtarlar | Hiçbiri (yerleşik) | Hiçbiri, 24 Ocak 2018'den sonra oluşturulan içerikler için tüm katmanlarda ve tüm bölgelerde kullanılabilir. | İçerik (dizinler ve eş anlamlı eşlemeleri) ve tanımlar (dizinler, veri kaynakları, beceri kümeleri) |
| sunucu tarafı şifreleme | müşteri tarafından yönetilen anahtarlar | Azure Key Vault | Ocak 2019'dan sonra oluşturulan içerikler için tüm bölgelerde faturalanabilir katmanlarda kullanılabilir. | Veri diskleri içeriği (dizinler ve eş anlamlı eşlemeleri) |
| sunucu tarafı çift şifreleme | müşteri tarafından yönetilen anahtarlar | Azure Key Vault | 1 Ağustos 2020'den sonra arama hizmetlerinde, seçili bölgelerde faturalanabilir katmanlarda kullanılabilir. | Veri diskleri ve geçici diskler üzerinde içerik (dizinler ve eş anlamlı eşlemeleri) |
Hizmet tarafından yönetilen anahtarlar
Hizmet tarafından yönetilen şifreleme, 256 bit AES şifrelemesi kullanan Azure DepolamaHizmeti Şifrelemesi'ne dayalı bir Microsoft iç işlemidir. Tam olarak şifrelenmez (Ocak 2018'den önce oluşturulan) dizinlerde yapılan artımlı güncelleştirmeler de dahil olmak üzere tüm dizinlerde otomatik olarak gerçekleşir.
Müşteri tarafından yönetilen anahtarlar (CMK)
Müşteri tarafından yönetilen anahtarlar, farklı bir bölgede Azure Key Vault ancak aynı abonelik altında yer alan ek bir faturalanabilir hizmet Azure Bilişsel Arama. CMK şifrelemesini etkinleştirmek dizin boyutunu artırır ve sorgu performansını düşürebilir. Bugüne kadar yapılan gözlemlere göre sorgu zamanlarında %30-%60 oranında bir artış görmeyi bekliyor olabilir, ancak gerçek performans dizin tanımına ve sorgu türlerine göre değişiklik gösterir. Bu performans etkisi nedeniyle, bu özelliği yalnızca gerçekten gerekli olan dizinlerde etkinleştirmenizi öneririz. Daha fazla bilgi için, bkz. Configure customer-managed encryption keys in Azure Bilişsel Arama.
Çift şifreleme
Bu Azure Bilişsel Arama, çift şifreleme CMK'nin bir uzantısıdır. İki kat şifreleme (cmK tarafından bir kez ve tekrar hizmet tarafından yönetilen anahtarlar tarafından) ve kapsamlı bir veri diske yazılan uzun vadeli depolamayı ve geçici disklere yazılan kısa vadeli depolamayı kapsar. Çift şifreleme, belirli tarihlerden sonra oluşturulan hizmetlere uygulanır. Daha fazla bilgi için bkz. Çift şifreleme.
Güvenlik yönetimi
API anahtarları
API anahtarı tabanlı kimlik doğrulamasına güven, Azure güvenliğine yönelik en iyi yöntemlere göre düzenli aralıklarla yönetici anahtarını yeniden oluşturmak için bir planınız olması gerektiği anlamına gelir. Arama hizmeti başına en fazla iki yönetici anahtarı vardır. API anahtarlarının güvenliğini sağlama ve yönetme hakkında daha fazla bilgi için bkz. API anahtarlarını oluşturma ve yönetme.
Etkinlik ve tanılama günlükleri
Bilişsel Arama kullanıcı kimliklerini günlüğe kaydeder, bu nedenle belirli bir kullanıcı hakkında bilgi için günlüklere başvuramazsiniz. Ancak hizmet oluşturma-okuma-güncelleştirme-silme işlemlerini günlüğe kaydeder ve belirli eylemlerin ne olduğunu anlamak için diğer günlüklerle arasında ilişki oluşturabilirsiniz.
Azure'da uyarıları ve günlük altyapısını kullanarak, beklenen iş yüklerinden sapan sorgu hacmi ani artışlarını veya diğer eylemleri takip edin. Günlükleri ayarlama hakkında daha fazla bilgi için bkz. Günlük verilerini toplama ve analiz etme ve Sorgu isteklerini izleme.
Sertifikalar ve uyumluluk
Azure Bilişsel Arama düzenli denetimlere katılarak hem genel bulut hem de bulut hizmetleri için küresel, bölgesel ve sektöre özgü bir dizi standartla Azure Kamu. Tam liste için resmi Denetim Microsoft Azure sayfasından Uyumluluk Teklifleri teknik incelemeyi indirin.
Uyumluluk için Azure Güvenlik Karşılaştırması'Azure İlkesi en iyi yüksek güvenlik uygulamalarını uygulamak üzere Azure İlkesi'i kullanabilirsiniz. Azure Güvenlik Karşılaştırması, hizmetlere ve verilere yönelik tehditleri azaltmak için atması gereken önemli eylemlerle eşlene güvenlik denetimlerine yönelik bir güvenlik önerileri koleksiyonudur. Şu anda Ağ Güvenliği, Günlüğe Kaydetme ve İzleme ve Veri Koruması dahil olmak üzere11 güvenlik denetimi vardır.
Azure İlkesi, Azure'da yerleşik olarak bulunan ve Azure Güvenlik Karşılaştırması dahil olmak üzere birden çok standart için uyumluluğu yönetmenize yardımcı olan bir özelliktir. İyi bilinen karşılaştırmalar için Azure İlkesi hem ölçüt sağlayan yerleşik tanımlar hem de uyumlu olmayanlara yanıt veren eyleme değiştirilebilir bir yanıt sağlar.
Bu Azure Bilişsel Arama, şu anda bir yerleşik tanım vardır. Tanılama günlüğü için. Bu yerleşik ile, tanılama günlüğünün eksik olduğu herhangi bir arama hizmetini tanımlayan bir ilke atayabilirsiniz ve ardından bu ilkeyi etkinleştirirsiniz. Daha fazla bilgi için bkz. Azure İlkesi mevzuat uyumluluğu denetimleri Azure Bilişsel Arama.
Bu videoyu izleyin
Güvenlik mimarisine ve her özellik kategorisine genel bakış için bu hızlı videoyu izleyin.