Azure bilgi sistemi bileşenleri ve sınırları
Bu makale, Azure mimarisi ve yönetiminin genel bir açıklamasını sağlar. Azure sistem ortamı aşağıdaki ağlardan oluşur:
- Microsoft Azure üretim ağı (Azure ağı)
- Microsoft kurumsal ağı (corpnet)
Ayrı BT ekipleri bu ağların işlemlerinden ve bakımlarından sorumludur.
Azure mimarisi
Azure, veri merkezleri ağı üzerinden uygulama ve hizmet oluşturmaya, dağıtmaya ve yönetmeye yönelik bir bulut bilişim platformu ve altyapısıdır. Bu veri merkezlerini Microsoft yönetir. Azure, belirttiğiniz kaynak sayısına bağlı olarak kaynak gereksinimine göre sanal makineler (VM) oluşturur. Bu VM'ler bulutta kullanılmak üzere tasarlanmış ve genel erişime açık olmayan bir Azure hiper yöneticisi üzerinde çalışır.
Her Azure fiziksel sunucu düğümünde, doğrudan donanım üzerinde çalışan bir hiper yönetici vardır. Hiper yönetici, bir düğümü değişken sayıda konuk VM'ye böler. Her düğümde konak işletim sistemini çalıştıran bir kök VM de vardır. Windows Güvenlik Duvarı her VM'de etkinleştirilir. Hizmet tanımı dosyasını yapılandırarak hangi bağlantı noktalarının adreslenebilir olduğunu tanımlarsınız. Bu bağlantı noktaları yalnızca şirket içinde veya dışında açık ve adreslenebilir bağlantı noktalarıdır. Diske ve ağa tüm trafik ve erişim hiper yönetici ve kök işletim sistemi tarafından ortalanır.
Konak katmanında, Azure VM'leri en son Windows Server'ın özelleştirilmiş ve sağlamlaştırılmış bir sürümünü çalıştırır. Azure, yalnızca VM'leri barındırmak için gerekli bileşenleri içeren bir Windows Server sürümü kullanır. Bu, performansı artırır ve saldırı yüzeyini azaltır. Makine sınırları, işletim sistemi güvenliğine bağlı olmayan hiper yönetici tarafından zorlanır.
Doku denetleyicileri tarafından Azure yönetimi
Azure'da, fiziksel sunucularda (dikey pencere/düğümler) çalışan VM'ler yaklaşık 1000 küme halinde gruplandırılır. VM'ler, doku denetleyicisi (FC) olarak adlandırılan ölçeklendirilmiş ve yedekli platform yazılım bileşeni tarafından bağımsız olarak yönetilir.
Her FC, kendi kümesinde çalışan uygulamaların yaşam döngüsünü yönetir ve denetimi altındaki donanımın durumunu sağlar ve izler. Sunucunun başarısız olduğunu belirlediğinde iyi durumdaki sunucularda VM örneklerini yeniden oluşturma gibi otonom işlemler çalıştırır. FC ayrıca uygulamaları dağıtma, güncelleştirme ve ölçeği genişletme gibi uygulama yönetimi işlemleri gerçekleştirir.
Veri merkezi kümelere ayrılır. Kümeler, hataları FC düzeyinde yalıtarak belirli hata sınıflarının, oluştukları kümenin ötesindeki sunucuları etkilemesini önler. Belirli bir Azure kümesine hizmet veren FC'ler bir FC kümesinde gruplandırılır.
Donanım envanteri
FC, önyükleme yapılandırma işlemi sırasında Azure donanım ve ağ cihazlarının envanterini hazırlar. Azure üretim ortamına giren tüm yeni donanım ve ağ bileşenlerinin bootstrap yapılandırma işlemini izlemesi gerekir. FC, datacenter.xml yapılandırma dosyasında listelenen envanterin tamamını yönetmekle sorumludur.
FC tarafından yönetilen işletim sistemi görüntüleri
İşletim sistemi ekibi, Azure üretim ortamındaki tüm konak ve konuk VM'lere dağıtılan Sanal Sabit Diskler biçiminde görüntüler sağlar. Ekip, otomatik bir çevrimdışı derleme işlemi aracılığıyla bu temel görüntüleri oluşturur. Temel görüntü, çekirdeğin ve diğer çekirdek bileşenlerinin Azure ortamını destekleyecek şekilde değiştirildiği ve iyileştirildiği bir işletim sistemi sürümüdür.
Üç tür dokuyla yönetilen işletim sistemi görüntüsü vardır:
- Konak: Konak VM'lerinde çalışan özelleştirilmiş bir işletim sistemi.
- Yerel: Kiracılarda çalışan yerel bir işletim sistemi (örneğin, Azure Depolama). Bu işletim sisteminin hiper yöneticisi yok.
- Konuk: Konuk VM'lerde çalışan bir konuk işletim sistemi.
Konak ve yerel FC tarafından yönetilen işletim sistemleri bulutta kullanılmak üzere tasarlanmıştır ve genel olarak erişilebilir değildir.
Konak ve yerel işletim sistemleri
Konak ve yerel, doku aracılarını barındıran ve bir işlem düğümünde (düğümde ilk VM olarak çalışır) ve depolama düğümlerinde çalışan sağlamlaştırılmış işletim sistemi görüntüleridir. Konağın ve yerelin iyileştirilmiş temel görüntülerini kullanmanın avantajı, API'ler veya kullanılmayan bileşenler tarafından kullanıma sunulan yüzey alanını azaltmasıdır. Bunlar yüksek güvenlik riskleri sunabilir ve işletim sisteminin ayak izini artırabilir. Azaltılmış ayak izi işletim sistemleri yalnızca Azure için gerekli bileşenleri içerir.
Konuk işletim sistemi
Konuk işletim sistemi VM'lerinde çalışan Azure iç bileşenlerinin Uzak Masaüstü Protokolü'nü çalıştırma fırsatı yoktur. Temel yapılandırma ayarlarında yapılan tüm değişiklikler, değişiklik ve sürüm yönetimi sürecinden geçmelidir.
Azure veri merkezleri
Microsoft Bulut Altyapısı ve İşlemleri (MCIO) ekibi, tüm Microsoft çevrimiçi hizmetler için fiziksel altyapıyı ve veri merkezi tesislerini yönetir. MCIO öncelikle veri merkezleri içindeki fiziksel ve çevresel denetimleri yönetmekle birlikte dış çevre ağı cihazlarını (uç yönlendiriciler ve veri merkezi yönlendiricileri gibi) yönetmek ve desteklemekle sorumludur. MCIO ayrıca veri merkezindeki raflarda en düşük sunucu donanımının ayarlanmasından da sorumludur. Müşteriler Azure ile doğrudan etkileşime sahip değildir.
Hizmet yönetimi ve hizmet ekipleri
Hizmet ekipleri olarak bilinen çeşitli mühendislik grupları, Azure hizmetinin desteğini yönetir. Her hizmet ekibi Azure için bir destek alanından sorumludur. Hizmetteki hataları araştırmak ve çözmek için her hizmet ekibinin bir mühendisi 7 gün 24 saat kullanılabilir hale getirmesi gerekir. Hizmet ekiplerinin varsayılan olarak Azure'da çalışan donanıma fiziksel erişimi yoktur.
Hizmet ekipleri şunlardır:
- Uygulama Platformu
- Microsoft Entra Kimliği
- Azure İşlem
- Azure Net
- Bulut Mühendisliği Hizmetleri
- ISSD: Güvenlik
- Çok Faktörlü Kimlik Doğrulama
- SQL Veritabanı
- Depolama
Kullanıcı türleri
Microsoft çalışanları (veya yüklenicileri) iç kullanıcılar olarak kabul edilir. Diğer tüm kullanıcılar dış kullanıcı olarak kabul edilir. Tüm Azure iç kullanıcıları, çalışanlarının durumlarını müşteri verilerine (erişim veya erişim yok) tanımlayan bir duyarlılık düzeyiyle kategorilere ayrılmıştır. Azure kullanıcı ayrıcalıkları (kimlik doğrulaması gerçekleştikten sonra yetkilendirme izni) aşağıdaki tabloda açıklanmıştır:
| Rol | İç veya dış | Duyarlılık düzeyi | Gerçekleştirilen yetkili ayrıcalıklar ve işlevler | Erişim türü |
|---|---|---|---|---|
| Azure veri merkezi mühendisi | Şirket İçi | Müşteri verilerine erişim yok | Şirket içinde fiziksel güvenliği yönetme. Veri merkezinde ve dışında devriyeler gerçekleştirin ve tüm giriş noktalarını izleyin. Veri merkezinde genel hizmetler (yemek veya temizlik gibi) sağlayan veya BT çalışan bazı temizlenmemiş personele veri merkezine ve dışına kadar eşlik edin. Ağ donanımının rutin izleme ve bakımlarını gerçekleştirin. Çeşitli araçları kullanarak olay yönetimi ve hata düzeltme çalışması gerçekleştirin. Veri merkezlerinde fiziksel donanımın rutin izleme ve bakımını yapma. Özellik sahiplerinden isteğe bağlı ortama erişim. Adli araştırmalar gerçekleştirebilir, olay raporlarını günlüğe kaydedebilir ve zorunlu güvenlik eğitimi ve ilke gereksinimleri gerektirebilir. Tarayıcılar ve günlük toplama gibi kritik güvenlik araçlarının operasyonel sahipliği ve bakımı. | Ortama kalıcı erişim. |
| Azure olay önceliklendirmesi (hızlı yanıt mühendisleri) | Şirket İçi | Müşteri verilerine erişim | MCIO, destek ve mühendislik ekipleri arasındaki iletişimi yönetin. Platform olaylarını, dağıtım sorunlarını ve hizmet isteklerini önceliklendirme. | Müşteri olmayan sistemlere sınırlı kalıcı erişimle ortama tam zamanında erişim. |
| Azure dağıtım mühendisleri | Şirket İçi | Müşteri verilerine erişim | Azure desteğinde platform bileşenlerini, yazılımlarını ve zamanlanmış yapılandırma değişikliklerini dağıtın ve yükseltin. | Müşteri olmayan sistemlere sınırlı kalıcı erişimle ortama tam zamanında erişim. |
| Azure müşteri kesintisi desteği (kiracı) | Şirket İçi | Müşteri verilerine erişim | Tek tek işlem kiracıları ve Azure hesapları için platform kesintilerini ve hatalarını ayıklayın ve tanılayın. Hataları analiz etme. Platforma veya müşteriye kritik düzeltmeler yapın ve destek genelinde teknik iyileştirmeler yapın. | Müşteri olmayan sistemlere sınırlı kalıcı erişimle ortama tam zamanında erişim. |
| Azure canlı site mühendisleri (izleme mühendisleri) ve olay | Şirket İçi | Müşteri verilerine erişim | Tanılama araçlarını kullanarak platform durumunu tanılama ve azaltma. Birim sürücüleri için sürücü düzeltmeleri, kesintilerden kaynaklanan öğeleri onarın ve kesinti geri yükleme eylemlerine yardımcı olun. | Müşteri olmayan sistemlere sınırlı kalıcı erişimle ortama tam zamanında erişim. |
| Azure müşterileri | Harici | Geçersiz | Yok | Geçersiz |
Azure, kuruluş kullanıcılarının ve müşterilerinin (veya kuruluş kullanıcıları adına hareket eden işlemlerin) kimliğini doğrulamak için benzersiz tanımlayıcılar kullanır. Bu, Azure ortamının parçası olan tüm varlıklar ve cihazlar için geçerlidir.
Azure iç kimlik doğrulaması
Azure iç bileşenleri arasındaki iletişimler TLS şifrelemesi ile korunur. Çoğu durumda, X.509 sertifikaları otomatik olarak imzalıdır. Azure ağı dışından erişilebilen bağlantılara sahip sertifikalar, FC'ler için sertifikalar gibi bir özel durum oluşturur. FC'ler, güvenilen kök CA tarafından yedeklenen bir Microsoft Yetkili Sertifikası (CA) tarafından verilen sertifikalara sahiptir. Bu, FC ortak anahtarlarının kolayca devredilmesine olanak tanır. Ayrıca, Microsoft geliştirici araçları FC ortak anahtarlarını kullanır. Geliştiriciler yeni uygulama görüntüleri gönderdiğinde, eklenen gizli dizileri korumak için görüntüler FC ortak anahtarıyla şifrelenir.
Azure donanım cihazı kimlik doğrulaması
FC, denetimi altındaki çeşitli donanım cihazlarında kimliğini doğrulamak için kullanılan bir dizi kimlik bilgisi (anahtar ve/veya parola) tutar. Microsoft, bu kimlik bilgilerine erişimi engellemek için bir sistem kullanır. Bu kimlik bilgilerinin taşınması, kalıcılığı ve kullanımı, Azure geliştiricilerinin, yöneticilerinin ve yedekleme hizmetlerinin ve personelin hassas, gizli veya özel bilgilere erişimini engellemek için tasarlanmıştır.
Microsoft, FC'nin ana kimlik ortak anahtarına göre şifreleme kullanır. Bu, ağ donanım cihazlarına erişmek için kullanılan kimlik bilgilerini aktarmak için FC kurulumu ve FC yeniden yapılandırma zamanlarında gerçekleşir. FC kimlik bilgilerine ihtiyaç duyduğunda FC bunları alır ve şifresini çözer.
Ağ cihazları
Azure ağ ekibi, bir Azure istemcisinin ağ cihazlarında (yönlendiriciler, anahtarlar ve yük dengeleyiciler) kimlik doğrulaması yapmasını sağlamak için ağ hizmet hesaplarını yapılandırıyor.
Güvenli hizmet yönetimi
Azure operasyon personelinin güvenli yönetici iş istasyonlarını (SAW) kullanması gerekir. Müşteriler ayrıcalıklı erişim iş istasyonları kullanarak benzer denetimler uygulayabilir. SAW'ler ile, yönetim personeli kullanıcının standart kullanıcı hesabından ayrı ayrı ayrı atanmış bir yönetim hesabı kullanır. SAW, bu hassas hesaplar için güvenilir bir iş istasyonu sağlayarak bu hesap ayrımı uygulamasını kullanır.
Sonraki adımlar
Microsoft'un Azure altyapısının güvenliğini sağlamaya yardımcı olmak için neler yaptığı hakkında daha fazla bilgi edinmek için bkz: