Azure Güvenlik ve Uyumluluk Şeması: PCI DSS için PaaS Web uygulaması

Genel Bakış

Bu Azure Güvenlik ve Uyumluluk Şeması Otomasyonu, koleksiyon, depolama ve alma için uygun bir ödeme kartı sektör veri güvenliği standartları (PCI DSS 3,2) uyumlu bir hizmet olarak platform (PaaS) ortamının dağıtımına yönelik rehberlik sağlar kart sahibi verileri. Bu çözüm, müşterilerin belirli güvenlik ve uyumluluk gereksinimlerini karşılayabilme yollarını gösteren ve müşterilerin derlenmesi için bir temel görevi gören bir ortak başvuru mimarisi için Azure kaynaklarının dağıtımını ve yapılandırmasını otomatikleştirir. Azure 'da kendi çözümlerini yapılandırın. Çözüm, PCI DSS 3,2 ' den gereksinimlerin bir alt kümesini uygular. PCI DSS 3,2 gereksinimleri ve bu çözüm hakkında daha fazla bilgi için Uyumluluk belgeleri bölümüne bakın.

Bu Azure Güvenlik ve Uyumluluk Şeması Otomasyon, müşterilerin PCI DSS 3,2 gereksinimleriyle uyum elde etmelerini sağlamak için önceden yapılandırılmış güvenlik denetimleriyle otomatik olarak bir PaaS Web uygulaması başvuru mimarisi dağıtır. Çözüm, kaynak dağıtımı ve yapılandırmasına kılavuzluk eden Azure Resource Manager şablonlarından ve PowerShell betiklerinden oluşur.

Bu mimarinin, müşterilerin belirli gereksinimlerine göre ayarlanmalarına yönelik bir temel işlevi görmesi ve bir üretim ortamında olduğu gibi kullanılmamalıdır. Bir uygulamayı bu ortama değişiklik olmadan dağıtmak, PCI DSS 3,2 ' nin gereksinimlerini tamamen karşılamak için yeterli değildir. Lütfen şunlara dikkat edin:

• Bu mimari, müşterilerin Azure 'ı PCI DSS 3,2 uyumlu bir şekilde kullanmasına yardımcı olmak için bir temel sağlar.
• Müşteriler, her bir müşterinin uygulamasının özelliklerine göre farklılık gösterebileceğinden, bu mimari kullanılarak oluşturulan herhangi bir çözüme uygun güvenlik ve uyumluluk değerlendirmesi yürütmekten sorumludur.

PCI DSS uyumluluğun sağlanması için, acalacaklandırılan bir güvenlik denetçisi (QSA) bir üretim müşteri çözümünü onaylaması gerekir. Müşteriler, her bir müşterinin uygulamasının özelliklerine göre farklılık gösterebileceğinden, bu mimari kullanılarak oluşturulan herhangi bir çözüme uygun güvenlik ve uyumluluk değerlendirmelerinden sorumludur.

Dağıtım yönergeleri için buraya tıklayın.

Mimari diyagramı ve bileşenleri

Bu Azure Güvenlik ve Uyumluluk Şeması Otomasyonu, Azure SQL veritabanı arka ucu ile bir PaaS Web uygulaması için başvuru mimarisi dağıtır. Web uygulaması, bir Azure veri merkezinde özel ve adanmış bir ortam olan yalıtılmış bir Azure App Service Ortamı barındırılır. Ortam yükü, Web uygulaması için trafiği Azure tarafından yönetilen sanal makineler arasında dengeler. Bu mimaride ağ güvenlik grupları, bir Application Gateway, Azure DNS ve Load Balancer de bulunur.

Gelişmiş analiz ve raporlama için Azure SQL veritabanları, columnstore dizinleri ile yapılandırılabilir. Azure SQL veritabanları, müşteri kullanımına yanıt olarak tamamen ölçeklendirilebilir veya kapatılabilir veya kapatılabilir. Tüm SQL trafiği, otomatik olarak imzalanan sertifikaların dahil edilmesi yoluyla SSL ile şifrelenir. En iyi uygulama olarak, Azure, gelişmiş güvenlik için güvenilir bir sertifika yetkilisinin kullanılmasını önerir.

Çözüm, müşterilerin bekleyen verilerin gizliliğini korumak için Depolama Hizmeti Şifrelemesi kullanmak üzere yapılandırabileceği Azure depolama hesaplarını kullanır. Azure, müşterilerin seçili veri merkezinde esneklik için verilerin üç kopyasını depolar. Coğrafi olarak yedekli depolama, verilerin yüzlerce mil uzakta bir ikincil veri merkezine çoğaltılmasını ve bu veri merkezinde üç kopya olarak yeniden depolanmasını sağlar ve müşterinin birincil veri merkezindeki olumsuz bir olayı bir kaybına neden olur verileri.

Gelişmiş güvenlik için, bu Çözümdeki tüm kaynaklar Azure Resource Manager aracılığıyla bir kaynak grubu olarak yönetilir. Azure Active Directory rol tabanlı erişim denetimi, dağıtılan kaynaklara erişimi denetlemek için Azure Key Vault anahtarlar da dahil olmak üzere kullanılır. Sistem durumu, Azure Izleyici aracılığıyla izlenir. Müşteriler günlükleri yakalamak ve sistem durumunu tek ve kolayca gezinebilir bir panoda göstermek için her iki izleme hizmetini de yapılandırır.

Azure SQL veritabanı, Azure SQL veritabanına güvenli bir VPN veya ExpressRoute bağlantısı aracılığıyla erişmek için yapılandırılmış bir yerel makineden çalıştırılan SQL Server Management Studio aracılığıyla yönetilir.

Ayrıca, Application Insights Azure Izleyici günlükleri aracılığıyla gerçek zamanlı uygulama performansı yönetimi ve analizi sağlar. Microsoft, başvuru mimarisi alt ağına yönetim ve veri aktarımı için bir VPN veya ExpressRoute bağlantısı yapılandırılmasını önerir.

Bu çözüm aşağıdaki Azure hizmetlerini kullanır. Dağıtım mimarisinin ayrıntıları dağıtım mimarisi bölümünde bulunur.

• App Service Ortamı v2
• Application Gateway
  • (1) Web uygulaması güvenlik duvarı
    • Güvenlik duvarı modu: önleme
    • Kural kümesi: OWASP 3,0
    • Dinleyici bağlantı noktası: 443
• Application Insights
• Azure Active Directory
• Azure Otomasyonu
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure İzleyici
• Azure Resource Manager
• Azure Güvenlik Merkezi
• Azure SQL Veritabanı
• Azure Depolama
• Azure Sanal Ağı
  • (1)/16 ağ
  • (4)/24 ağ
  • (4) ağ güvenlik grupları
• Azure Web Uygulaması

Dağıtım mimarisi

Aşağıdaki bölümde dağıtım ve uygulama öğelerinin ayrıntıları verilmiştir.

Azure Resource Manager: Azure Resource Manager , müşterilerin çözümdeki kaynaklarla bir grup olarak çalışmasını sağlar. Müşteriler çözüme yönelik tüm kaynakları tek ve eşgüdümlü bir işlemle dağıtabilir, güncelleştirebilir veya silebilir. Müşteriler dağıtım için bir şablon kullanır ve bu şablon test, hazırlık ve üretim gibi farklı ortamlarda çalışabilir. Kaynak Yöneticisi, müşterilerin kaynaklarını dağıtımdan sonra yönetmesine yardımcı olmak için güvenlik, denetleme ve etiketleme özellikleri sağlar.

Savunma ana bilgisayarı: savunma ana bilgisayarı, kullanıcıların bu ortamdaki dağıtılan kaynaklara erişmesine olanak tanıyan tek giriş noktasıdır. Savunma ana bilgisayarı, yalnızca güvenli bir listedeki genel IP adreslerinden gelen uzak trafiğe izin vererek, dağıtılan kaynaklara güvenli bir bağlantı sağlar. Uzak Masaüstü (RDP) trafiğine izin vermek için, trafiğin kaynağının ağ güvenlik grubunda tanımlanması gerekir.

Bu çözüm, aşağıdaki yapılandırmalara sahip etki alanına katılmış bir savunma ana bilgisayarı olarak bir sanal makine oluşturur:

• Kötü amaçlı yazılımdan koruma uzantısı
• Azure Tanılama uzantısı
• Azure Key Vault kullanarak Azure disk şifrelemesi
• Kullanımda olmadığında sanal makine kaynaklarının tüketimini azaltmak için otomatik olarak kapatılmış ilke
• Windows Defender Credential Guard , kimlik bilgilerinin ve diğer parolaların çalışan işletim sisteminden yalıtılmış korunan bir ortamda çalışmasını sağlayacak şekilde etkinleştirildi

App Service ortamı v2: Azure App Service ortamı, yüksek ölçekte App Service uygulamaları güvenli şekilde çalıştırmak için tamamen yalıtılmış ve ayrılmış bir ortam sağlayan bir App Service özelliğidir. Bu yalıtım özelliği, PCI uyumluluk gereksinimlerini karşılamak için gereklidir.

App Service ortamlar yalnızca tek bir müşterinin uygulamalarını çalıştırmak için yalıtılmıştır ve her zaman bir sanal ağa dağıtılır. Bu yalıtım özelliği, başvuru mimarisinin tam kiracı yalıtımına sahip olmasını sağlar. Bu, Azure 'un çok kiracılı ortamından kaldırılması sayesinde bu çok kiracıların dağıtılan App Service Ortamı kaynaklarını listelemenize olanak sağlar. Müşteriler hem gelen hem de giden uygulama ağ trafiği üzerinde ayrıntılı denetime sahiptir ve uygulamalar, sanal ağlar üzerinde şirket içi kurumsal kaynaklara yüksek hızlı güvenli bağlantılar kurabilir. Müşteriler, yük ölçümleri, kullanılabilir bütçe veya tanımlı bir zamanlamaya göre App Service Ortamı ile "otomatik ölçeklendirme" yapabilir.

Aşağıdaki denetimler/konfigürasyonlar için App Service ortamlarını kullanın:

• Güvenli bir Azure sanal ağı ve ağ güvenlik kuralları içinde barındırma
• HTTPS iletişimi için otomatik olarak imzalanan ıLB sertifikası
• İç Yük Dengeleme modu
• TLS 1,0 'yi devre dışı bırakma
• TLS şifre değiştirme
• Gelen trafiği denetle N/W bağlantı noktaları
• Web uygulaması güvenlik duvarı – verileri kısıtla
• Azure SQL veritabanı trafiğine izin ver

Azure Web App: Azure App Service , müşterilerin altyapıyı yönetmeksizin seçtikleri programlama dilinde Web uygulamaları oluşturup barındırmalarını sağlar. Otomatik ölçeklendirme ve yüksek kullanılabilirlik sunar, hem Windows hem de Linux’ı destekler ve GitHub, Azure DevOps veya herhangi bir Git deposundan otomatik dağıtımlar sağlar.

Sanal Ağ

Mimari, adres alanı 10.200.0.0/16 olan bir özel sanal ağ tanımlar.

Ağ güvenlik grupları: ağ güvenlik grupları , bir sanal ağ içindeki trafiğe izin veren veya reddeden Access Control listeleri (ACL 'ler) içerir. Ağ güvenlik grupları, trafiği bir alt ağda veya tek bir VM düzeyinde güvenli hale getirmek için kullanılabilir. Aşağıdaki ağ güvenlik grupları var:

• Application Gateway için 1 ağ güvenlik grubu
• App Service Ortamı için 1 ağ güvenlik grubu
• Azure SQL veritabanı için 1 ağ güvenlik grubu
• Savunma ana bilgisayarı için 1 ağ güvenlik grubu

Ağ güvenlik gruplarının her biri, çözümün güvenli ve doğru bir şekilde çalışabilmesi için belirli bağlantı noktaları ve protokoller açar. Ayrıca, her bir ağ güvenlik grubu için aşağıdaki yapılandırma etkinleştirilir:

• Tanılama günlükleri ve olayları , bir depolama hesabında etkinleştirilir ve depolanır
• Azure Izleyici günlükleri ağ güvenlik grubu's tanılamalarına bağlanır

Alt ağlar: her alt ağ, karşılık gelen ağ güvenlik grubuyla ilişkilendirilir.

Azure DNS: etki alanı adı SISTEMI veya DNS, IP adresine bir Web sitesi veya hizmet adı çevirmekten (veya çözümlemeden) sorumludur. Azure DNS , Azure altyapısını kullanarak ad ÇÖZÜMLEMESI sağlayan DNS etki alanları için bir barındırma hizmetidir. Kullanıcılar, Azure 'da etki alanlarını barındırarak DNS kayıtlarını, diğer Azure hizmetleriyle aynı kimlik bilgilerini, API 'Leri, araçları ve faturalandırmayı kullanarak yönetebilir. Ayrıca, özel DNS etki alanlarını da destekler Azure DNS.

Azure Load Balancer: Azure Load Balancer , müşterilerin uygulamalarını ölçeklendirmesine ve hizmetler için yüksek kullanılabilirlik oluşturmalarına olanak tanır. Load Balancer, gelen ve giden senaryoları destekler ve düşük gecikme süresi, yüksek aktarım hızı ve tüm TCP ve UDP uygulamaları için milyonlarca akışa kadar ölçeklendirme yapar.

Aktarım durumundaki veriler

Azure, Azure veri merkezlerinden gelen ve varsayılan olarak tüm iletişimleri şifreler. Azure depolama 'ya yönelik tüm işlemler Azure portal aracılığıyla HTTPS üzerinden gerçekleşir.

Bekleme durumundaki veriler

Mimari, verileri şifreleme, veritabanı denetimi ve diğer ölçülerle korur.

Azure depolama: bekleyen gereksinimlerde şifrelenmiş verileri karşılamak Için tüm Azure depolama depolama hizmeti şifrelemesikullanır. Bu, PCI DSS 3,2 tarafından tanımlanan kurumsal güvenlik taahhütlerini ve uyumluluk gereksinimlerini desteklemeye karşı, cardş verilerinin korunmasını ve korunmasını sağlar.

Azure disk şifrelemesi: Azure disk şifrelemesi , veri diskleri için birim şifrelemesi sağlamak üzere Windows 'un BitLocker özelliğinden yararlanır. Çözüm, disk şifreleme anahtarlarının denetlenmesi ve yönetilmesine yardımcı olmak için Azure Key Vault ile tümleşir.

Azure SQL veritabanı: Azure SQL veritabanı örneği aşağıdaki veritabanı güvenlik önlemlerini kullanır:

• Active Directory kimlik doğrulaması ve yetkilendirme , veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin tek bir merkezi konumda kimlik yönetimine izin verebilir.
• SQL veritabanı denetimi , veritabanı olaylarını izler ve bunları Azure Storage hesabındaki bir denetim günlüğüne yazar.
• Azure SQL veritabanı, bekleyen bilgileri korumak üzere veritabanı, ilişkili yedeklemeler ve işlem günlüğü dosyalarını gerçek zamanlı şifrelemeyi ve şifre çözmeyi gerçekleştiren Saydam veri şifrelemesinikullanacak şekilde yapılandırılmıştır. Saydam veri şifrelemesi, depolanan verilerin yetkisiz erişime maruz olmadığından emin olmak için güvence sağlar.
• Güvenlik duvarı kuralları , uygun izinler verilene kadar veritabanı sunucularına tüm erişimi engeller. Güvenlik duvarı, her bir isteğin kaynak IP adresine göre veritabanlarına erişim verir.
• SQL tehdit algılama , şüpheli veritabanı etkinlikleri, olası güvenlik AÇıKLARı, SQL ekleme saldırıları ve anormal veritabanı erişim desenleri için güvenlik uyarıları sunarak meydana gelebilecek olası tehditlere yönelik algılama ve yanıt verir.
• Şifrelenmiş sütunlar , gizli verilerin veritabanı sisteminde hiçbir şekilde düz metin olarak göründüğünden emin olmanızı sağlamaktır. Veri şifrelemeyi etkinleştirdikten sonra, yalnızca anahtarlara erişimi olan istemci uygulamaları veya uygulama sunucuları düz metin verilerine erişebilir.
• SQL veritabanı dinamik veri maskeleme , verileri ayrıcalıklı olmayan kullanıcılara veya uygulamalara maskeleyerek hassas veri pozlamasını sınırlar. Dinamik veri maskeleme, potansiyel olarak duyarlı verileri otomatik olarak bulabilir ve uygun maskeleri uygulanmasını önerebilir. Bu, verilere erişimi, yetkisiz erişim aracılığıyla veritabanından çıkmayacak şekilde tanımanıza ve azaltmaya yardımcı olur. Müşteriler, dinamik veri maskeleme ayarlarının veritabanı şemasına uyacak şekilde ayarlamaktan sorumludur.

Kimlik yönetimi

Aşağıdaki teknolojiler, Azure ortamındaki cardş verilerine erişimi yönetmek için yetenekler sağlar:

• Azure Active Directory , Microsoft's çok kiracılı bulut tabanlı dizin ve kimlik yönetimi hizmetidir. Bu çözüme yönelik tüm kullanıcılar Azure SQL veritabanına erişen kullanıcılar dahil Azure Active Directory oluşturulur.
• Uygulamanın kimlik doğrulaması, Azure Active Directory kullanılarak gerçekleştirilir. Daha fazla bilgi için bkz. uygulamaları Azure Active Directory tümleştirme. Ayrıca, veritabanı sütun şifrelemesi uygulamanın kimliğini Azure SQL veritabanı 'nda doğrulamak için Azure Active Directory kullanır. Daha fazla bilgi için bkz. Azure SQL veritabanı 'nda hassas verileri koruma.
• Azure rol tabanlı erişim denetimi , yöneticilerin yalnızca kullanıcıların işlerini gerçekleştirmesi için ihtiyaç duyduğu erişim miktarını vermek üzere hassas erişim izinleri tanımlamasına olanak sağlar. Yöneticiler, her kullanıcıya Azure kaynakları için Kısıtlanmamış izin vermek yerine, kart sahibi verilerine erişim için yalnızca belirli eylemlere izin verebilir. Abonelik erişimi, abonelik yöneticisiyle sınırlıdır.
• Azure Active Directory Privileged Identity Management , müşterilerin cardş verileri gibi belirli bilgilere erişimi olan kullanıcı sayısını en aza indirmesine olanak sağlar. Yöneticiler, ayrıcalıklı kimlikleri ve kaynaklara erişimlerini bulma, kısıtlama ve izleme işlemleri için Azure Active Directory Privileged Identity Management kullanabilir. Bu işlev, gerektiğinde isteğe bağlı, tam zamanında yönetim erişimi sağlamak için de kullanılabilir.
• Azure Active Directory kimlik koruması , kuruluş'kimliklerini etkileyen olası güvenlik açıklarını algılar, bir kuruluş'kimlikleriyle ilgili olarak algılanan şüpheli eylemlere yönelik otomatik yanıtları yapılandırır ve araştırır şüpheli olayları çözmek için uygun eylemi gerçekleştirin.

Güvenlik

Gizli diziler yönetimi: çözüm, anahtarların ve parolaların yönetimi için Azure Key Vault kullanır. Azure Anahtar Kasası, bulut uygulamaları ve hizmetleri tarafından kullanılan şifreleme anahtarlarının ve gizli anahtarların korunmasına yardımcı olur. Aşağıdaki Azure Key Vault özellikleri müşterilerin bu verileri korumalarına ve bu verilere erişmesine yardımcı olur:

• Gelişmiş erişim ilkeleri, gereksinim temelinde yapılandırılır.
• Key Vault erişim ilkeleri anahtarlar ve gizlilikler için gereken en düşük izinlerle tanımlanır.
• Key Vault tüm anahtarlar ve gizli dizileri için süre sonu tarihleri vardır.
• Key Vault tüm anahtarlar özel donanım güvenliği modülleri tarafından korunur. Anahtar türü bir HSM korumalı 2048 bit RSA anahtarıdır.
• Tüm kullanıcılar ve kimlikler rol tabanlı erişim denetimi kullanılarak gerekli olan en düşük izinlere sahiptir.
• Key Vault için tanılama günlükleri, en az 365 günlük bir bekletme dönemi ile etkinleştirilir.
• Anahtarlar için izin verilen şifreleme işlemleri, gerekli olanlarla kısıtlıdır.

Azure Güvenlik Merkezi: müşteriler Azure Güvenlik Merkeziile iş yükleri genelinde güvenlik ilkelerini merkezi olarak uygulayabilir ve yönetebilir, tehditlere maruz kalma olasılığını sınırlayabilir, saldırıları algılayıp yanıtlayabilir. Ayrıca, Azure Güvenlik Merkezi, güvenlik duruşunu artırmaya ve verileri korumaya yardımcı olmak için yapılandırma ve hizmet önerileri sağlamak üzere Azure hizmetleri 'nin mevcut yapılandırmalarına erişir.

Azure Güvenlik Merkezi, ortamlarını hedefleyen olası saldırılardan müşterileri uyarmak için çeşitli algılama özellikleri kullanır. Bu uyarılar uyarıyı neyin tetiklediği, hedeflenen kaynaklar ve saldırının kaynağı hakkındaki değerli bilgileri içerir. Azure Güvenlik Merkezi, bir tehdit ya da şüpheli etkinlik gerçekleştiğinde tetiklenen bir dizi önceden tanımlanmış güvenlik uyarısıiçerir. Azure Güvenlik Merkezi 'ndeki özel uyarı kuralları , müşterilerin ortamlarından zaten toplanmış olan verileri temel alarak yeni güvenlik uyarıları tanımlamasına olanak tanır.

Azure Güvenlik Merkezi, öncelik veren güvenlik uyarıları ve olayları sunarak müşterilerin olası güvenlik sorunlarını bulmasını ve adreslerini daha kolay hale getirmesini sağlar. Algılanan her tehdit için tehdit zekası raporu , tehditleri İnceleme ve düzeltme konusunda olay yanıtı ekiplerine yardımcı olacak şekilde oluşturulmuştur.

Azure Application Gateway: mimari, bir Web uygulaması güvenlik duvarı yapılandırılmış bir Azure Application Gateway kullanan güvenlik açıklarına karşı risk düzeyini AZALTıR ve OWASP kural kümesi etkindir. Ek yetenekler şunlardır:

• Uçtan uca SSL
• SSL yük boşaltma 'yı etkinleştir
• TLS v 1.0 ve v 1.1 'yi devre dışı bırak
• Web uygulaması güvenlik duvarı (önleme modu)
• OWASP 3,0 RuleSet ile önleme modu
• Tanılama günlüğünü etkinleştirme
• Özel durum araştırmaları
• Azure Güvenlik Merkezi ve Azure Danışmanı ek koruma ve bildirimler sağlar. Azure Güvenlik Merkezi ayrıca bir saygınlık sistem sağlar.

Günlük kaydı ve denetim

Azure Hizmetleri, sistem durumunun yanı sıra sistem durumu ve Kullanıcı etkinliklerini de yoğun olarak günlüğe kaydeder:

• Etkinlik günlükleri: etkinlik günlükleri , bir abonelikteki kaynaklarda gerçekleştirilen işlemlerle ilgili öngörüler sağlar. Etkinlik günlükleri, bir işlemin başlatıcısının, oluşma süresinin ve durumunun belirlenmesine yardımcı olabilir.
• Tanılama günlükleri: tanılama günlükleri her kaynak tarafından yayılan tüm günlükleri içerir. Bu Günlükler Windows olay sistemi günlükleri, Azure depolama günlükleri, Key Vault denetim günlükleri ve Application Gateway erişim ve güvenlik duvarı günlükleri içerir. Tüm tanılama günlükleri, arşivleme için merkezi ve şifrelenmiş bir Azure depolama hesabına yazar. Bekletme, kuruluşa özgü saklama gereksinimlerini karşılamak için Kullanıcı tarafından yapılandırılabilir ve 730 güne kadar.

Azure izleyici günlükleri: Bu Günlükler, işleme, depolama ve Pano raporlama Için Azure izleyici günlüklerinde birleştirilir. Toplandıktan sonra veriler, özgün kaynağından bağımsız olarak tüm verilerin birlikte çözümlenme olanağı sağlayan Log Analytics çalışma alanları içindeki her bir veri türü için ayrı tablolar halinde düzenlenir. Ayrıca, Azure Güvenlik Merkezi, müşterilerin güvenlik olay verilerine erişmek ve diğer hizmetlerdeki verilerle birleştirmek için kusto sorguları kullanmasına izin veren Azure Izleyici günlükleri ile tümleşir.

Aşağıdaki Azure izleme çözümleri , bu mimarinin bir parçası olarak dahil edilmiştir:

• Active Directory değerlendirmesi: Active Directory durum denetimi çözümü, düzenli aralıklarla sunucu ortamlarının riskini ve sistem durumunu değerlendirir ve dağıtılan Sunucu altyapısına özgü önerilerin öncelikli bir listesini sağlar.
• SQL değerlendirmesi: SQL sistem durumu denetimi çözümü, düzenli aralıklarla sunucu ortamlarının riskini ve sistem durumunu değerlendirir ve müşterilere dağıtılan Sunucu altyapısına özgü önerilerin öncelikli bir listesini sağlar.
• Aracı durumu: Aracı durumu çözümü, kaç aracının dağıtıldığını ve coğrafi dağıtımını, yanıt vermeyen aracı sayısını ve işletimsel verileri gönderen aracıların sayısını bildirir.
• Etkinlik günlüğü Analizi: etkinlik günlüğü analizi çözümü, bir müşterinin tüm Azure aboneliklerinde Azure etkinlik günlüklerinin analizine yardımcı olur.

Azure Otomasyonu: Azure Otomasyonu runbook 'ları depolar, çalıştırır ve yönetir. Bu çözümde, runbook 'lar Azure SQL veritabanından günlükleri toplamaya yardımcı olur. Otomasyon değişiklik izleme çözümü, müşterilerin ortamdaki değişiklikleri kolayca belirlemesine olanak sağlar.

Azureİzleyici: Azure Izleyici , kuruluşların Azure kaynaklarında API çağrılarını izleme de dahil olmak üzere performansı izlemelerine, uyarıları oluşturmalarına ve verileri arşivlemesini sağlayarak eğilimleri belirlemesine yardımcı olur.

Application Insights: Application Insights , birden çok platformda Web geliştiricileri Için genişletilebilir bir uygulama performansı yönetim hizmetidir. Application Insights, performans bozuklularını algılar ve müşteriler Canlı Web uygulamasını izlemek için kullanabilir. Müşterilerin sorunları tanılamasına ve hangi kullanıcıların uygulamayla gerçekten ne yaptığını anlamalarına yardımcı olan güçlü analiz araçları içerir. BT', müşterilerin performansı ve kullanılabilirliği sürekli olarak iyileştirmesine yardımcı olmak için tasarlanmıştır.

Tehdit modeli

Bu başvuru mimarisi için veri akışı diyagramı indirilebilir veya aşağıda bulunabilir. Bu model, müşterilerin değişiklik yaparken sistem altyapısında olası risk noktalarını anlamasına yardımcı olabilir.

Uyumluluk belgeleri

Azure Güvenlik ve uyumluluk şeması – PCI DSS müşteri sorumluluğu matrisi , tüm PCI DSS 3,2 gereksinimleri için denetleyici ve işlemci sorumlulukları listeler.

Azure Güvenlik ve uyumluluk şeması-PCI DSS PaaS Web uygulaması uygulama matrisi , ' nin nasıl yapıldığını açıklayan ayrıntılı açıklamalar dahil olmak üzere PaaS Web uygulaması mimarisi tarafından hangi PCI DSS 3,2 gereksinimlerinin giderildiği hakkında bilgiler sağlar. uygulama, kapsanan her bir makalenin gereksinimlerini karşılar.

Bu çözümü dağıt

Bu Azure Güvenlik ve Uyumluluk Şeması Otomasyonu, Azure 'da kaynak dağıtmak üzere Azure Resource Manager API hizmeti tarafından işlenen JSON yapılandırma dosyalarından ve PowerShell betiklerinden oluşur. Ayrıntılı dağıtım yönergelerine buradanulaşabilirsiniz.

Hızlı Başlangıç

1. Bu GitHub deposunu yerel iş istasyonunuza kopyalayın veya indirin.

2. 0-Setup-AdministrativeAccountAndPermission.md inceleyin ve sunulan komutları çalıştırın.

3. Contoso örnek verileriyle bir test çözümü dağıtın veya bir başlangıç üretim ortamı pilot.

   • 1A-ContosoWebStoreDemoAzureResources. ps1
     • Bu betik, contoso örnek verilerini kullanarak bir webstore gösterimi için Azure kaynaklarını dağıtır.
   • 1-DeployAndConfigureAzureResources. ps1
     • Bu betik, müşterinin sahip olduğu bir Web uygulaması için üretim ortamını desteklemek üzere gereken Azure kaynaklarını dağıtır. Bu ortam, kuruluş gereksinimlerine bağlı olarak müşteri tarafından daha fazla özelleştirilmelidir.

Kılavuz ve öneriler

VPN ve ExpressRoute

Güvenli bir VPN tüneli veya ExpressRoute , bu PaaS Web uygulaması başvuru mimarisinin bir parçası olarak dağıtılan kaynaklarla güvenli bir şekilde bağlantı kuracak şekilde yapılandırılmalıdır. Bir VPN veya ExpressRoute 'u uygun şekilde ayarlayarak, müşteriler aktarım sırasında veriler için bir koruma katmanı ekleyebilir.

Azure ile güvenli bir VPN tüneli uygulayarak, şirket içi ağ ve Azure sanal ağı arasında sanal bir özel bağlantı oluşturulabilir. Bu bağlantı Internet üzerinden gerçekleşir ve müşterilerin müşteri'ağı ile Azure arasında şifrelenmiş bir bağlantı içinde " bilgileri güvenli bir şekilde "tunnel sağlar. Siteden siteye VPN, delikler için tüm boyutlardaki kuruluşlar tarafından dağıtılan güvenli, Olgun bir teknolojidir. IPSec tünel modu Bu seçenekte bir şifreleme mekanizması olarak kullanılır.

VPN tünelinin içindeki trafik, siteden siteye VPN ile Internet 'Te gezintiğinden, Microsoft başka bir daha bile daha güvenli bağlantı seçeneği sunar. Azure ExpressRoute, Azure ile şirket içi bir konum veya bir Exchange barındırma sağlayıcısı arasındaki adanmış bir WAN bağlantıdır. ExpressRoute bağlantıları Internet üzerinden gitmediğinden, bu bağlantılar daha fazla güvenilirlik, daha hızlı hız, daha düşük gecikme süreleri ve Internet üzerinden tipik bağlantılardan daha yüksek güvenlik sunar. Ayrıca, bu, müşteri's telekomünikasyon sağlayıcısı 'nın doğrudan bir bağlantısı olduğundan, veriler Internet üzerinden hareket etmez ve bu nedenle buna maruz değildir.

Şirket içi bir ağı Azure 'a genişleten güvenli bir karma ağ uygulamak için en iyi yöntemler mevcuttur.

Bildirim

• Bu belge yalnızca bilgilendirme amaçlıdır. MICROSOFT BU BELGEDEKI BILGILERE GÖRE HIÇBIR GARANTI VERMEZ, AÇıK, ZıMNI VEYA YASAL DEĞILDIR. Bu belge olduğu gibi "sağlanır. Bu belgede ifade edilen, URL ve diğer Internet Web sitesi başvuruları da dahil olmak üzere" bilgiler ve görünümler bildirimde bulunmaksızın değiştirilebilir. Bu belgeyi okuyan müşteriler bunu kullanmanın riskini de taşır.
• Bu belge, müşterilere herhangi bir Microsoft ürün veya çözümünden hiçbir fikri mülkiyet hakkı sağlamaz.
• Müşteriler bu belgeyi, iç başvuru amaçları için kopyalayabilir ve kullanabilir.
• Bu belgedeki bazı öneriler, Azure 'da veri, ağ veya işlem kaynağı kullanımının artmasına neden olabilir ve müşteri's Azure lisansını veya abonelik maliyetlerini artırabilir.
• Bu mimarinin, müşterilerin belirli gereksinimlerine göre ayarlanmalarına yönelik bir temel işlevi görmesi ve bir üretim ortamında olduğu gibi kullanılmamalıdır.
• Bu belge bir başvuru olarak geliştirilmiştir ve bir müşterinin belirli uyumluluk gereksinimlerini ve düzenlemeleri karşılayabileceği tüm yolları tanımlamak için kullanılmamalıdır. Müşteriler, onaylı müşteri uygulamalarında organizasyonlarından yasal destek almalıdır.