Azure müşteri veri koruması

Microsoft operasyonları ve destek personeli tarafından müşteri verilerine erişim varsayılan olarak reddedilir. Destek olayıyla ilgili verilere erişim verildiğinde, yalnızca uyumluluk ve gizlilik ilkelerimize göre denetlenen ve denetlenen ilkeleri kullanan tam zamanında (JIT) model kullanılarak verilir. Erişim denetimi gereksinimleri aşağıdaki Azure Güvenlik İlkesi tarafından oluşturulur:

• Varsayılan olarak müşteri verilerine erişim yoktur.
• Müşteri sanal makinelerinde (VM) kullanıcı veya yönetici hesabı yok.
• Görevi tamamlamak için gereken en düşük ayrıcalığı verin; denetim ve günlük erişim istekleri.

Azure desteği personeline Microsoft tarafından benzersiz kurumsal Active Directory hesapları atanır. Azure, önemli bilgi sistemlerine erişimi denetlemek için Microsoft Information Technology (MSIT) tarafından yönetilen Microsoft kurumsal Active Directory'yi kullanır. Çok faktörlü kimlik doğrulaması gereklidir ve yalnızca güvenli konsollardan erişim verilir.

Veri koruma

Azure, müşterilere hem varsayılan olarak hem de müşteri seçenekleri olarak güçlü veri güvenliği sağlar.

Veri ayrımı: Azure çok kiracılı bir hizmettir. Bu, birden çok müşteri dağıtımının ve VM'nin aynı fiziksel donanımda depolandığı anlamına gelir. Azure, her müşterinin verilerini başkalarının verilerinden ayrıştırmak için mantıksal yalıtımı kullanır. Ayrım, çok kiracılı hizmetlerin ölçek ve ekonomik avantajlarını sağlarken müşterilerin bir başkasının verilerine erişmesini de sıkı bir şekilde engeller.

Bekleyen veri koruması: Müşteriler Azure'da depolanan verilerin standartlarına uygun olarak şifrelenmesini sağlamakla sorumludur. Azure, müşterilere ihtiyaçlarına en uygun çözümü seçme esnekliği sunan çok çeşitli şifreleme özellikleri sunar. Azure Key Vault, müşterilerin verileri şifrelemek için bulut uygulamaları ve hizmetleri tarafından kullanılan anahtarların denetimini kolayca korumasına yardımcı olur. Azure Disk Şifrelemesi, müşterilerin VM'leri şifrelemesini sağlar. Azure Depolama Hizmeti Şifrelemesi, müşterinin depolama hesabına yerleştirilen tüm verileri şifrelemeyi mümkün kılar.

Aktarım sırasında veri koruması: Microsoft, müşteriler tarafından Azure ağı içinde ve İnternet dışından son kullanıcıya aktarımdaki verilerin güvenliğini sağlamak için kullanılabilecek bir dizi seçenek sunar. Bunlar Sanal Özel Ağlar (IPsec/IKE şifrelemesi kullanarak), Aktarım Katmanı Güvenliği (TLS) 1.2 veya üzeri (Application Gateway veya Azure Front Door gibi Azure bileşenleri aracılığıyla), doğrudan Azure sanal makineleri (Windows IPsec veya SMB gibi) üzerindeki protokoller ve daha fazlası aracılığıyla iletişimi içerir.

Ayrıca, müşteri verilerinin gizliliğini ve bütünlüğünü sağlamak için Azure veri merkezleri arasında seyahat eden tüm Azure trafiğinde MACsec (veri bağlantısı katmanında bir IEEE standardı) kullanılarak "varsayılan olarak şifreleme" etkinleştirilir.

Veri yedekliliği: Microsoft, bir veri merkezine siber saldırı veya fiziksel hasar olduğunda verilerin korunmasına yardımcı olur. Müşteriler şunları tercih edebilir:

• Uyumluluk veya gecikme süresiyle ilgili dikkat edilmesi gerekenler için ülke/bölge içi depolama.
• Güvenlik veya olağanüstü durum kurtarma amacıyla ülke dışı/bölge depolama alanı.

Veriler yedeklilik için seçilen bir coğrafi alan içinde çoğaltılabilir, ancak bunun dışına aktarılamaz. Müşterilerin verileri çoğaltmak için kopya sayısı ve çoğaltma veri merkezlerinin sayısı ve konumu dahil olmak üzere birden çok seçeneği vardır.

Depolama hesabınızı oluştururken aşağıdaki çoğaltma seçeneklerinden birini belirleyin:

• Yerel olarak yedekli depolama (LRS):Yerel olarak yedekli depolama verilerinizin üç kopyasını tutar. LRS, tek bir bölgedeki tek bir tesis içinde üç kez çoğaltılır. LRS, verilerinizi normal donanım hatalarından korur, ancak tek bir tesisin arızasından korumaz.
• Alanlar arası yedekli depolama (ZRS):Alanlar arası yedekli depolama verilerinizin üç kopyasını tutar. ZRS, LRS'den daha yüksek dayanıklılık sağlamak için iki ile üç tesis arasında üç kez çoğaltılır. Çoğaltma tek bir bölgede veya iki bölgede gerçekleşir. ZRS, verilerinizin tek bir bölge içinde dayanıklı olmasını sağlamaya yardımcı olur.
• Coğrafi olarak yedekli depolama (GRS):Depolama hesabınız oluşturduğunuzda coğrafi olarak yedekli depolama varsayılan olarak etkindir. GRS verilerinizin altı kopyasını tutar. GRS ile verileriniz birincil bölge içinde üç kez çoğaltılır. Verileriniz ayrıca birincil bölgeden yüzlerce kilometre uzaktaki ikincil bir bölgede üç kez çoğaltılır ve en yüksek dayanıklılık düzeyini sağlar. Birincil bölgede hata olması durumunda Azure Depolama ikincil bölgeye yük devreder. GRS, verilerinizin iki ayrı bölgede dayanıklı olmasını sağlamaya yardımcı olur.

Veri yok etme: Müşteriler verileri sildiğinde veya Azure'dan ayrıldığında, Microsoft verileri silmek için katı standartların yanı sıra kullanımdan kaldırılan donanımın fiziksel olarak yok edilmesine de uyar. Microsoft, müşteri isteğinde ve sözleşme sonlandırmada verilerin tamamen silinmesini yürütür. Daha fazla bilgi için bkz. Microsoft'ta veri yönetimi.

Müşteri veri sahipliği

Microsoft, müşterilerin Azure'a dağıttığı uygulamaları incelemez, onaylamaz veya izlemez. Ayrıca Microsoft, müşterilerin Azure'da ne tür veriler depolamayı seçtiğini de bilmez. Microsoft, Azure'a girilen müşteri bilgileri üzerinde veri sahipliği talep etmez.

Kayıt yönetimi

Azure, arka uç verileri için iç kayıt saklama gereksinimleri oluşturdu. Müşteriler kendi kayıt saklama gereksinimlerini tanımlamaktan sorumludur. Azure'da depolanan kayıtlar için müşteriler verilerini ayıklamaktan ve içeriklerini Müşteri tarafından belirtilen bir saklama süresi boyunca Azure dışında tutmaktan sorumludur.

Azure, müşterilerin üründen veri ve denetim raporlarını dışarı aktarmasına olanak tanır. Dışarı aktarmalar, müşteri tanımlı saklama süresi bilgilerini korumak için yerel olarak kaydedilir.

Elektronik bulma (e-bulma)

Azure müşterileri, Azure hizmetlerini kullanmalarında e-bulma gereksinimlerine uymakla sorumludur. Azure müşterilerinin müşteri verilerini koruması gerekiyorsa verileri dışarı aktarabilir ve yerel olarak kaydedebilirler. Ayrıca müşteriler, Azure Müşteri Desteği departmanından verilerinin dışarı aktarılmasını isteyebilir. Azure, müşterilerin verilerini dışarı aktarmasına izin vermenin yanı sıra dahili olarak kapsamlı günlüğe kaydetme ve izleme işlemleri gerçekleştirir.

Sonraki adımlar

Microsoft'un Azure altyapısının güvenliğini sağlamak için neler yaptığı hakkında daha fazla bilgi edinmek için bkz:

• Azure tesisleri, şirket içi ve fiziksel güvenlik
• Azure altyapısı kullanılabilirliği
• Azure bilgi sistemi bileşenleri ve sınırları
• Azure ağ mimarisi
• Azure üretim ağı
• Azure SQL Veritabanı güvenlik özellikleri
• Azure üretim işlemleri ve yönetimi
• Azure altyapısı izleme
• Azure altyapı bütünlüğü