Microsoft Azure Güvenlik Temeli

Microsoft Azure Güvenlik Temeli, Azure Bulut bilgi işlemde barınan, özel ve kamu sektöründe çalışan kuruluşlara en yüksek düzeyde güvenlik, gizlilik, uyumluluk ve kullanılabilirlik sağlamayı amaçlar.

Microsoft, güvenilir bulut hizmetleri sağlamayı taahhüt eder ve güvenilen bulut alt yapısı oluşturmak için onlarca yıllık endüstri deneyimini müşterilerine sunar. Bu deneyimler Azure Bulut Bilgi işlemdebulunan uygulama ve kaynakların güvenliğini, karmaşıklığını ve güvenlik riskini azaltmaya yardımcı olur.

Bu misyon oluşturulurken, kurumların güvenlik maliyetlerini düşürmek ve işletme varlıklarını da korumak hedeflenmiştir. Microsoft, Azure platformu da dahil olmak üzere siber güvenliğe yılda 1 milyar doların üzerinde yatırım yapmakta ve 3500 üzerinde özel siber güvenlik uzmanı ile çalışmaktadır.

Azure, güvenlik duruşunuzu güçlendirmenize, uyumluluk çabalarınızı kolaylaştırmanıza ve dijital dönüşümü etkinleştirmenize yardımcı olmakta. Dünyanın her yerindeki binlerce şirket ve hükümet, Azure Bulut Bilgi işleme güvenir ve Azure bulut alt yapısının sahip olduğu, sektör lideri altyapısından ve operasyonlu güvenliğinden faydalanır.

Bu makale içinde aşağıda ki alt başlıklar hakkında bilgiler bulunmaktadır.

1. Azure Veri Merkezi Fiziksel Güvenlik

Microsoft Azure veri merkezleri 58 Bölge ve 140 ülkede hizmet vermektedir. Azure Veri Merkezi Fiziksel Güvenlik konu başlığında Microsoft bulut hizmetlerinin kurulduğu güvenlik temeli incelenmekte ve bu makalede Microsoft Azure, donanım, yazılım, ağlar, yönetim ve operasyon personellerini de kapsayan Azure Veri Merkezleri Fiziksel Bulut Alt Yapı Koruması anlatılmaktadır.

Azure Global Datacenters 2022

1.1 Azure Veri Merkezi Fiziksel Güvenlik

Microsoft, Azure veri merkezlerini, verileri depolayan alanların fiziksel erişimini sıkı bir şekilde denetlemekte ve veri güvenliğini sağlamaktadır. Microsoft Azure, dünya çapında coğrafi olarak dağıtılmış ve yüksek güvenliğe sahip Microsoft tesislerinde çalışmakta ve bu tesisleri Microsoft Hizmetlerini satın alan müşteri ve iş ortakları ile paylaşmaktadır. Fiziksel erişim, “ihtiyaç” temelinde sıkı bir şekilde kontrol edilir ve planlanan fiziksel müdahaleler alan ve zaman açısından sınırlıdır.

Her bir Azure veri merkezi günde 24 saat, yılda 365 gün çalışacak şekilde tasarlanmıştır ve operasyonlar; elektrik kesintisinden fiziksel izinsiz girişlere ve ağ kesintilerini de korumaya yardımcı olmak için çok katmanlı güvenlik önlemleri alınmıştır.

Microsoft, yetkisiz kullanıcıların verilere ve veri merkezi kaynaklarına fiziksel erişim elde etme riskini azaltmak için fiziksel güvenliğe katmanlı bir yaklaşım benimser. Microsoft tarafından yönetilen veri merkezlerinin kapsamlı koruma katmanları vardır: tesisin çevresinde, binanın çevresinde, binanın içinde ve veri merkezi katında erişim onayı. Fiziksel güvenlik katmanları şunlardır:

1.2 Veri Merkezi Erişim Talebi ve Onayı

Veri merkezine gelmeden önce erişim talebi oluşturulmakta ve geliş talebi için geçerli bir iş gerekçesi sağlanmalıdır. Bütün talepler, Microsoft güvenlik çalışanları tarafından erişim ihtiyacı uygun ise onaylanmaktadır. Uzaktan yapılabilecek, fiziksel müdahale içermeyen talepler veri merkezi erişim talebinde onaylanmaz. Yapılacak olan iş kapsamına bağlı olarak kişi sayısı en az seviyede tutmak bir zorunluluktur. Veri merkezi erişim onayı işlemlerin yapılacak olduğu alan, bölge, kişi ve zaman ile sınırlıdır.

1.3 Veri Merkezi Çevresi Erişimi

Microsoft Azure veri merkezine ulaşıldığı zaman veri merkezi erişim talebinde onaylanan alana geçmeniz gerekir. Bu onaylanan alan bina dışında bulunan çelik ve betondan yapılmış uzun çitler ile korunmaktadır. Veri merkezi çevresinde kameralar bulunmakta ve sürekli izlenmekte ve kayıt altına alınmaktadır.

1.4 Veri Merkezi Bina Girişi

Veri merkezi girişlerinde sıkı eğitim yapılmakta ve tam vucut arama/taması yapılmaktadır. Yapılacak olan işlemler için uygunsuz olan alet ve cihazlar içeriye alınmamakta ve binaya giriş süresince profesyonel güvenlik görevlileri eşlik etmektedir. Bina girişinde eşlik eden güvenlik görevlileri ayrıca veri merkezinde rutin olarak devriye gezmekte ve veri merkezi içindeki kameraların videoları da her zaman izlemektedir.

1.5 Veri Merkezi Bina İçi

Veri Merkezi bina içine giriş yapıltıktan sonra biyometrik veri ve iki faktörlü kimlik doğrulaması ile çalışma alanına giriş yapılmakta ve giriş yapılan alan zaman ve bölge olarak sınırlandırılmaktadır. Çalışma alanı ve bölge veri merkezi erişim talebinde sınırlandırılmış zaman ve bölge olacaktır.

1.6 Veri Merkezi Katı

Sadece işlemleri yapacak olduğunuz kata çıkışınıza izin verilir ve güvenlik personeli de sizlere eşlik eder. Bu bölüm de tekrardan tam vucut arama/taması yapılmakta ve işlem için onaylı cihazlar içeriye alınmaktadır. İşlemler boyunca çalışma yapmış olduğunuz alanda video kameraları sizleri izlemektedir. Bu kameralar her sunucu rafının önünü ve arkasını kapsamakta, görüntüler kaydedilmektedir.

Veri merkezi katından çıkıldığı zaman tekrardan tam vucut arama/taması yapılmakta ve veri merkezinden ayrılmak için de ek bir güvenlik taramasından geçilmesi zorunludur.

Azure Datacenters Security

Azure Veri merkezlerinin Microsoft güvenlik gereksinimleri ve bulunmuş olduğu bölge yasal düzenlemelerini doğru bir şekilde karşılanması hedeflenir ve bu hedef için periyodik olarak düzenli incelemeler yapılmaktadır. Azure Veri merkezi eğer bir barındırma sağlayıcısı ise veri merkezi personeli Microsoft Azure hizmet yönetimi sağlamaz, verilere erişmez Microsoft’a ait olan kabin, sunucu, cihazlara müdahale edemez.

Veri merkezi personeli  Azure sistemlerinde oturum açamaz.

Microsoft Azure Veri merkezi ister bir barındırma tesisi olsun, ister Microsoft’un sahip olduğu bir veri merkezi olsunda isterse sınırlı (Azure Edge Datacenter) ürün, cihaz ve hizmetin bulunduğu veri merkezi olsun değişmeyen kural sahip olunan ürün, cihaz ve donanımların kullanım ömrünün düzenli takip edilmesidir.

1.7 Veri Merkezi Donanım Takibi

Microsoft, Azure Veri merkezlerinin sahip olduğu donanların raf mürlerini düzenli olarak takip etmekte ve verileri barındıran donanımların üçüncü kişilerin eline geçmesini engellemek içinsıkı veri işleme ve donanım imha prosedürlerini uygulamaktadır.

Azure Datacenters UnderwaterVeri depolama havuzları için güvenli veri silme işlemleri yapılmaktadır. Verilerin silinemediği donanımlar için de donanımları yok etmek ve bilgilerin kurtarılmasını imkansız hale getirmek için geri dönüşü olmayan imha işlemi yapılmaktadır. Bu imha işlemi donanımı parçalamak ve toz haline getirmek veya yakmak olabilir.

1.8 Azure Veri Merkezi Uyumluluk Sertifikası

Microsoft Azure Veri merkezleri ve Azure Hizmetleri, Dynamics 365, Microsoft 365 ve Power Platform için ulusal, bölgesel ve sektöre özel denetimleri düzenli olarak yaptırmakta ve müşterilerin regülasyonlara uyumlu kalmasını hedeflemektedir.

Compliance offerings for Microsoft 365, Azure, and other Microsoft services. | Microsoft Docs

2. Azure Güvenlik Tasarımı ve Operasyon Yönetimi

Güvenli bulut çözümleri, kapsamlı planlama, yenilikçi tasarım ve verimli operasyonların sonucudur. Microsoft, güvenliği her adımda bir öncelik haline getirmiş ve operasyonel güvenlik için en iyi uygulamaları Azure Bulut Bilgi işlem alt yapısı ile birleştirmiştir.

Bu Güvenlik tasarımı ve Operasyon yönetimi Microsoft personeli ve üçüncü taraf yüklenicilerin yetkisiz erişimini kısıtlamakta ve denetimleri arttırmaktadır.

Microsoft Cyber Defense Operations Center (CDOC)

Microsoft, fiziksel veri merkezleri, bulut altyapısı ve işlemler arasında çok katmanlı güvenlik sağlar. Geliştiricilerimizin daha güvenli yazılımlar oluşturmasına ve güvenlik uyumluluğu gereksinimlerini karşılamasına yardımcı olmakta ve Azure operasyon güvenlik Merkezi ve uzmanları, verilerinizi yetkisiz erişime karşı korumak için çalışmaktadır.

2.1 Yazılım geliştirmede yerleşik güvenlik

Azure kod geliştirme süreci Microsoft Security Development Lifecycle (Microsoft Güvenlik Geliştirme Yaşam Döngüsü) ‘a bağlıdır. Bu yaşam döngüsü geliştiricilerin daha güvenli yazılımlar oluşturmasını sağlarken geliştirme maliyetini düşürmekte ve güvenlik ve uyumluluk gereksinimlerini ele almasına da yardımcı olmaktadır.

Microsoft Security Development Lifecycle

Microsoft Güvenlik Geliştirme Yaşam Döngüsü on yıldan fazla bir süredir Microsoft geliştirme uygulamalarının merkezi haline geldi ve sektör ve müşterilere serbestçe paylaşıldı.

Bu yaşam döngüsü kapsamında her bir yazılımın Planlama, tasarım, geliştirme ve dağıtım aşamalarında güvenlik gereksinimleri sistemlere ve yazılıma dahili olarak yerleştirilmiştir.

Microsoft Security Development Lifecycle süreci, yalnızca geleneksel masaüstü uygulamalarını değil, aynı zamanda bulut tabanlı uygulamaları ve çevik geliştirme metodolojisini de kapsayacak şekilde geliştirilmektedir.

Kaynak : Applying the SDL to Windows Azure | Microsoft Docs

2.2 Gelişmiş operasyonel güvenlik

Azure işlemleri ve desteği bir dizi sıkı güvenlik denetimine bağlıdır. Microsoft, yetkisiz geliştirici ve yönetim etkinliklerine karşı korunmaya yardımcı olmak için aşağıdaki mekanizmalar da dahil olmak üzere önleyici, savunmacı ve tepkisel denetimlerin birleşimlerini sunmaktadır.

• Hassas işlemleri gerçekleştirmek için çok faktörlü kimlik doğrulama da dahil olmak üzere hassas veriler üzerinde sıkı erişim kontrolleri.
• Kötü amaçlı etkinliğin bağımsız olarak algılanmasını geliştiren kontrol kombinasyonları
• Birden çok düzeyde izleme, günlüğe kaydetme ve raporlama
• Just-in-time access olarak bilinen kalıcı veya sürekli olarak yönetici ayrıcalıklarına sahip kişilerin sayısını en aza indirmek için tam zamanında erişim

Microsoft ayrıca operasyon personelinin arka plan doğrulama kontrollerini gerçekleştirir ve arka plan doğrulama düzeyiyle orantılı olarak uygulamalara, sistemlere ve ağ altyapısına erişimi sınırlar.

Microsoft güvenlik araştırma ve geliştirmeye her yıl bir milyar dolardan fazla yatırım yapmaktadır ve bu yatırımlar şunları içerir;

2.3 The Cyber Defense Operations Center

Siber düşmanlarla mücadele etmek ve tehditlere karşı gerçek zamanlı olarak koruma sağlamak, tehditleri tespit etmek ve yanıt vermek için şirket genelindeki siber güvenlik uzmanlarını ve veri bilimcilerini bir araya getiren Siber Savunma Operasyonları Merkezi.

2.4 The Cybersecurity Solutions Group

Siber Güvenlik Çözümleri Grubu, kuruluşların BT platformlarını modernize etmelerine, güvenli bir şekilde buluta geçmelerine ve verilerin modern güvenlik risklerinden korunmasına yardımcı olmak için güvenlik çözümleri, uzmanlık ve hizmetler sunan, dünya çapında özel bir güvenlik uzmanları grubudur.

Kaynak : https://www.microsoft.com/en-us/msrc/cdoc 

3. Azure Alt Yapı Koruması

Makale serimize giriş yaptığımız Azure Güvenlik Temeli konu başlığında Microsoft’un bulut bilgi işlem alt yapısında ki güvenliğe bakışını sizlere paylaştık, fiziksel ve mantıksal olmak üzere yapmış olduğu güvenlik sıkılaştırma çözümlerini inceledik. İkinci makalemiz olan Azure Güvenlik Tasarımı ve Operasyon Yönetim makalesinde ise Microsoft’un olaylar karşısında hızla almış olduğu aksiyonları ve Operasyon yönetimini ve kurallarını sizlere aktardık. Yayınlamış olduğumuz bir önceki makalede ise Azure Veri Merkezi Fiziksel Güvenlik önlemlerini,  veri merkezi fiziksel güvenlik önlemlerini ve veri merkezi girişi, fiziksel operasyon yönetimi için alınan önlem ve kuralları sizlere aktardık.

Bu bölüme kadar paylaşmış olduğumuz üç makalede Microsoft’ un güvenliğe bakışını ve Azure Veri merkezlerinde alınan fiziksel güvenlik önlemleri ve sıkılaştırma çalışmalarını kapsamaktadır.

Bu makalemizin konu başlığı ise Azure Alt Yapı Koruması ve bu başlık çatısı altında Microsoft Azure Veri merkezleri içinde bulunan fiziksel donanım, yazılım ve ağ cihazları ve operasyon personeli için de alınan güvenlik önlemlerini, güvenlik sıkılaştırma çalışmalarını inceleyeceğiz.

3.1 Azure Veri Merkezi Değişiklik Yönetimi (Change Management)

Azure, donanım, yazılım ve ağ cihazlarının güvenlik ayarlarını ve temel yapılandırmaları düzenli olarak gözden geçirir ve güncelleştirir. Değişiklik yönetim politikası öncelikli olarak test ortamında gerçekleştirilir ve üretim ortamına geçiş yapılmadan önce değişiklikler test edilir ve onaylanır.

Azure Security Change Management

Yapılacak olan her bir değişiklik Azure Güvenlik ve uyumluluk ekibi tarafından ve hizmet ekiplerince gözden geçirilir. İşlemler fiziksek donanım ve yazılımlar üzerinde yapılacağı için işlemlerin yapılacak olduğu üçüncü taraf sağlayıcılarının uzman ekipleri tarafından yapılmakta ve işlemler de MicrosoftHizmet ekibi gözetimince ve incelemesi altında yapılmaktadır.

Son onay her zaman için Microsoft Ekipleri tarafından verilmekte ve test ortamında başarılı şekilde yapılan iyileştirme işlemlerinden sonra üretim ortamında aynı işlemler sıralı bir şekilde yapılmaktadır.

Bu işlemlere verecek olduğumuz örnek, Microsoft Azure Veri merkezi içinde bulunan her bir donanımın (fiziksel sunucu, ağ cihazları) sahip olduğu donanım güncellleştirme (firmware) işlemleri olmaktadır.

3.2 Güvenlik Zafiyet Yönetimi

Azure Veri Merkezi Güvenlik güncelleştirme yönetimi kapsamında bilinen güvenlik açıklarına karşı koruma ve güvenlik sıkılaştırma çalışmaları yapılmaktadır.

Security Vulnerability Management

Azure, Microsoft yazılımlarına yönelik güvenlik güncelleştirme dağıtımını ve yükleme işlemleri için bütünleşik dağıtım sistemleri kullanmaktadır. Azure Veri merkezlerinde çalışan her bir yazılım Microsoft Güvenlik Yanıt Merkezi (MSRC) kaynakları içinde kullanılmakta ve yılın her gününde güvenlik olaylarını ve bulut güvenlik açıklarını izlemekte ve çözümler üretmektedir.

Güvenlik Zaafiyet yönetim operasyonları Microsoft Cyber Defense Operations Center ile bir arada yürütülmektedir.

3.3 Güvenlik Zaafiyet Taraması

Azure Veri merkezlerinde bulunan her bir sistem (sunucu işletim sistemleri, veritabanları ve ağ cihazları) için düzenli güvenlik zaafiyet taraması  gerçekleştirilir.

Güvenlik zaafiyet taraması her üç aylık (özel bir durum yoksa) zaman diliminde düzenli olarak gerçekleştirilir. Gerçekleştirilen güvenlik zaafiyet taraması ve sızma testleri Azure sözleşmeleri kapsamında bağımsız denetçiler tarafından gerçekleştirilmektedir. Tespit edilen güvenlik zaafiyetleri Microsoft Güvenlik uzmanları tarafından Değişiklik yönetim ilkesine bağlı kalarak kapatılmaktadır.r.

3.4 Güvenlik İzleme Araçları

Azure Veri merkezlerinde bulunan her bir sistem Microsoft Monitoring Agent (MMA) ve System Center Operations Manager tarafından izlenmektedir.

Bu araçların tespit etmiş olduğu olaylar, eylem gerektiren durumlarda Azure Güvenlik personeline uyarılar göndermekte ve oluşan olay ve alarmlar için zamanın da önlem alınması sağlanmaktadır.

3.5 Güvenlik Zaafiyet ve Olay yönetimi

Microsoft, Azure Veri merkezi ve içinde bulunan sistemler için tespit edilen zaafiyet ve oluşan olaylar için paylaşılan vizyon ilkesine bağlı kalmakta ve hızlı cevap verebilmek için güvenlik olay yönetim işlemini uygulamaktadır.

Microsoft, Azure Veri merkezinde barınan her bir donanım ve veri merkezi içinde bulunan müşterye ait donanım ve depolama alanları üzerinde yetkisiz erişimi tespit ettiyse ya da veri kaybolması oluşturuysa aşağıdaki işlemler hızla gerçekleştirir:

• Olayının müşteriye hemen bildirilmesi.
• Olayını hızla araştırılması ve ayrıntılı bilgi toplanması
• Olay etkilerini azaltmak ve güvenlik olayından kaynaklanan hasarı en aza indirmek için makul adımların gerçekleştirilmesi.

Azure Güvenlik Zaafiyet ve olay yönetimi, yükseltme işlemleri de dahil olmak üzere güvenlik olaylarını yönetirken ve gerekli olduğu durumlarda üçüncü taraf uzmanların da çözüme katılmasına karşı da sorumludur.

4. Azure Alt Yapı Güvenlik Çözümleri

#Azure Secure Foundation etiketi ile hazırlamış olduğumuz Azure Güvenli Alt Yapı makale serisinde Microsoft Azure Bulut bilgi işlem alt yapısında ki güvenlik temellerini inceledik.

Makale serimize giriş yaptığımız Azure Güvenlik Temeli konu başlığında Microsoft’un bulut bilgi işlem alt yapısında ki güvenliğe bakışını sizlere paylaştık, fiziksel ve mantıksal olmak üzere yapmış olduğu güvenlik sıkılaştırma çözümlerini inceledik.

İkinci makalemiz olan Azure Güvenlik Tasarımı ve Operasyon Yönetim makalesinde ise Microsoft’un olaylar karşısında hızla almış olduğu aksiyonları ve Operasyon yönetimini ve kurallarını sizlere aktardık.

Üçüncü makale konusu ise Azure Veri Merkezi Fiziksel Güvenlik önlemlerini masaya yatırdık ve veri merkezi fiziksel güvenlik önlemlerini ve veri merkezi girişi, fiziksel operasyon yönetimi için alınan önlem ve kuralları sizlere aktardık.

Bu bölüme kadar paylaşmış olduğumuz üç makalede Microsoft’ un güvenliğe bakışını ve Azure Veri merkezlerinde alınan fiziksel güvenlik önlemleri ve sıkılaştırma çalışmalarını kapsamaktadır. Bir önceki makalemiz de Azure Alt Yapı Koruması ‘nı inceledik ve bu makalede Microsoft Azure Veri Merkezleri içinde bulunan donanım ve üçüncü taraf yazılımlar üzerinde yapılan değişiklik yönetimini, güncelleştirme işlemlerini ve olay yönetiminde izlemiş olduğu politikaları gerçekleştirdik.

Bu bölüme kadar paylaşmış olduğumuz bütün bilgiler Microsoft Azure Veri Merkezleri içinde bulunan bütün ürün ve çözümleri kapsamakta ve her bir müşteri de bu hizmetlerden ücretsiz yararlanmaktadır.

Bu hizmetler bir bulut sağlayıcısının IaaS Bulut (infrastructure as a service) olarak bilinen bulut hizmetlerinde temel görevidir ve Bulut hizmeti olarak Alt yapı sorumluluklarını göstermektedir. Bu hizmetler için müşteriye ek bir ücret yansıtılmamaktadır.

Makalemizin bu bölümünden sonra ki kısım da IaaS Bulut ortamında bulunan mantıksal güvenlik çözümlerini inceleyeceğiz. Bu güvenlik çözümlerinin bazıları kullanılmakta ve hizmetlere dahil olan  hizmetlerdir ve müşteri talebi doğrultusunda kullanılmaktan vazgeçilen yada bir başka üreticinin güvenlik çözümünün tercih edildiği güvenlik çözümleridir.

Bazıları ise, iş ihtiyaçları çerçevesinde güvenliği sıkılaştırmak ve kullanılan bulut hizmeti için önerilen, günümüz güvenlik tehtitleri için zorunlu olan ve kullanılmaması durumunda güvenlik riskinin müşteri tarafından kabul edildiği mantıksal güvenlik çözümleridir. Bu mantıksal güvenlik çözümleri, Microsoft’un sağlamış olduğu mantıksal güvenlik çözümleri olabildiği gibi önerilen her bir güvenlik çözümü için de farklı üretici çözümleri Azure Bulut bilgi işlem alt yapısında bulunmaktadır.

4.1 Azure Alt Yapı izleme (infrastructure monitoring)

Veri merkezi içinde bulunan her bir fiziksel sunucu, ağ cihazı, fiziksel güvenlik cihazı,veri merkezi donanımları (kabin, kamera, ışık, havalandırma, iklimlendirme, alarm vb..) bu hizmete sahiptir. Bu ürünler üzerinde yapılacak olan bakım, güncelleme ve güvenlik sıkılaştırma işlemleri Microsoft’un sorumluluğundadır ve Microsoft personelleri tarafından yada üçüncü taraf firmaların personelleri tarafından (Microsoft personelleri kontrolünde) yapılmaktadır.

IaaS bulut hizmetinin temel görevidir ve bir bulut sağlayıcısının sahip olduğu varlıklar üzerinde ki ana sorumluluğudur. Azure Alt Yapı Koruması konu başlığında bu konuyu detaylı olarak incelemiştik daha fazla detay için paylaşmış olduğumuz makalemize göz atabilirsiniz.

4.2 Azure Monitor

Müşteri talebi doğrultusunda ayrıca satın alınan bir PaaS Bulut hizmetidir ve bu ürün, hizmet ve çözümlerin içinde dahil değildir. Bu hizmet Satın alınan Azure ürünü ile tercih edilebileceği gibi üçüncü taraf bir bulut sağlayıcısının çözümü de kullanılabilir.

Bu hizmet Satın alınan Microsoft bir Azure ürünü

Azure Monitor hizmeti müşteri Tenant’i için özel olarak yapılandırılmaktadır. Satın alınan bir Azure Ürün ve Çözümünde yapılandırma aşamasında Monitoring özelliği aktif edilirse kurulum ve yapılandırma işlemleri hızla yapılacak, karmaşık yapılandırma adımları uygulanmayacaktır.

Örnek olarak, Azure Monitor hizmetini satın almış olduğunuz bir bulut sanal makine yada bulut depolama ürünü için bir kutu seçebilir ve bu seçmiş olduğunuz kutu ile hızlı bir şekilde çözüme kavuşabilirsiniz. Ayrıca, bütünleşik bir hizmet aldığınız için de toplam maliyetlerde indirim de kazanmış olacaksınız.

Azure Monitor ile uygulama ve hizmetlerin kullanılabilirliğini ve performansını sürekli izler ve hizmet kalitesini en verimli duruma getirebilmektedir. Bulut ve şirket içi ortamlarınızdan telemetri toplamak, analiz etmek ve buna göre hareket etmek için kapsamlı bir çözüm sunar. Bu bilgiler, uygulamalarınızın nasıl performans gösterdiğini anlamanıza ve onları etkileyen sorunları ve bağımlı oldukları kaynakları proaktif olarak belirlemenize yardımcı olur.

Azure Monitoring Workspace

Pera Bilgi Sistemleri blog sayfasında #Azure Monitor etiketi ile birden fazla makale ve teknik dökümana ulaşabilirsiniz.

Azure Monitor çözümü bulut ortamında çalışan güvenlik ve yönetim ürünüdür ve hedeflenen/önerilen bir çok ürün için de öncelikle satın alınması gereken bir üründür.

Örnek olarak Azure Security Center, Update management, SiteMap, Active Directory Health Check gibi ürünler kullanılacaksa ilk önce bu ürünün satın alınması gerekmektedir.

Hatırlatmakda fayda var, azure alt yapi korumasi konu başlığında anlatılan izleme çözümleri de Azure Monitor ve System Center Operation Manager ürünleri ile gerçekleştirilmektedir.

4.3 Azure Security Center

Müşteri talebi doğrultusunda ayrıca satın alınan bir PaaS Bulut hizmetidir ve bu ürün, hizmet ve çözümlerin içinde dahil değildir. Bu hizmet Satın alınan Azure ürünü ile tercih edilebileceği gibi üçüncü taraf bir bulut sağlayıcısının çözümü de kullanılabilir.

Microsoft, Azure Veri Merkezi güvenliğini sağlamak için fiziksel, altyapısal ve operasyonel güvenlik önlemlerini almaktadır. Fakat, Azure Veri merkezinde çalışan her bir müşteri bulut kaynağının Tenant seviyesinde koruması müşteri sorumluluğundadır. Microsoft ihtiyaç duyulan bu güvenlik korumasını aynı Azure Monitor ürünün de olduğu gibi sunmaktadır.

Microsoft Azure Security Center

Azure bulut bilgi işlem alt yapısında barınan ürünler için de Azure Security Center ürünü tercih edilebilir yada üçüncü taraf bir ürün yada bulut sağlayıcısı kullanılabilir.

Bu ek güvenlik çözümleri ile Azure Alt yapısında bulunan bulut kaynaklarının korunması sağlanacak ve uygulamanız gereken ek eylemler alınacaktır. Azure üzerinde almış olduğunuz bir ürün için Azure Security Center ‘i aktif duruma getirmeniz çok hızlıdır. Aynı Azure Monitor ‘de olduğu gibi Azure Security Center ürünü içinde bütünleşik korumayı tercih edebilir iş eforu ile birlikte maliyet avantajına da sahip olabilirsiniz.

4.4 Microsoft Sentinel

Müşteri talebi doğrultusunda ayrıca satın alınan bir PaaS Bulut hizmetidir ve bu ürün, hizmet ve çözümlerin içinde dahil değildir. Bu hizmet Satın alınan Azure ürünü ile tercih edilebileceği gibi üçüncü taraf bir bulut sağlayıcısının çözümü de kullanılabilir.

Microsoft Sentinel ürünü bulut tabanlı çalışan bir Siem ürünüdür. Azure Sentinel ile tehditlerden etkilenmeden önce onları görmekte ve önlemler almaktasınız. Microsoft Sentinel ile işletmenizin güvenlik duruşunu görebilir ve bunları sürekli izleyecek olduğunuz panolara sahip olabilirsiniz.

Microsoft Azure Sentinel

Microsoft Azure Sentinel ile birlikte aynı zaman da Microsoft Cyber Defense Operations Center deneyimlerinden yararlanacak Yapay zeka ile tehdit algılama ve müdahale işlemlerinizi daha akıllı duruma getirip güvenlik önlemlerinizi hızlı bir şekilde uygulayacaksınız.

Azure bulut bilgi işlem alt yapısında barınan ürünler için de Microsoft Azure Sentinel ürünü tercih edilebilir yada üçüncü taraf bir ürün yada bulut sağlayıcısı kullanılabilir. Aynı Azure Monitor ‘de olduğu gibi Microsoft Azure Sentinel ürünü içinde bütünleşik korumayı tercih edebilir iş eforu ile birlikte maliyet avantajına da sahip olabilirsiniz.  Microsoft Azure Sentinel Güvenlik altyapısı için kurulum ve bakım ihtiyacını ortadan kaldıran bulut tabanlı bir Siem çözümüdür.

4.5 Azure Update management

Azure Veri merkezi içinde bulunan Windows ve Linux sanal makineleri, yerel veri merkezi içinde bulunan fiziksel ve sanal makine (Vmware yada HyperV yada bir başka Hypervisor şartı bulunmamakta) yada üçüncü taraf bir bulut sağlayıcısında çalışmakta olan bulut sanal makine işletim sistemi güncelleme yönetimi için Azure Update management kullanılmaktadır.

Azure Update Management

Azure Update management çözümü Azure bulut ortamında çalışan Bulut Sanal makineleri için ücretsizdir. Sanal makine üzerinde bulunan kritik güncelleştirme işlemleri sizlerin belirlemiş olduğu politikalara bağlı olarak gerçekleştirilecektir.

Yerel veri merkezi yada üçüncü taraf bir bulut sağlayıcısında bulunan bulut sanal makineler içinse

• Azure Monitor
• Azure Log Analytics Workspace (Azure Monir verileri için kullanılan çalışma alanı)
• Azure Otomasyonu (Güncelleme Yönetimi için gerekmekte)

Azure üzerinde çalışmakta olan bulut sanal makineler üzerinde merkezi raporlama ve görünürlük isteniliyorsa yukarıda ki gereksinimler Azure Bulut Sanal makiner içinde geçerlidir. Eğer belirdiğiniz yama yükleme politikasının uygulanmasını istiyor ve merkezi görünürlük ve raporlama ihtiyacınız yok ise Updata Management özelliği Azure Bulut Sanal makine için ücretsizdir.

4.6 Antivirus and antimalware

Kötü amaçlı kod günümüz güvenlik tehtitleri arasında bulunan en önemli güvenlik tehditlerinden biridir ve Microsoft da Azure Veri merkezleri içinde bulunan Bulut kaynakları için birden fazla ürün ve çözüm ile önlem almaktadır.

Microsoft Azure Veri merkezleri içinde bulunan işletim sistemi ve yazılımlar dağıtılmadan önce bir virüs taraması yapmaktadır. Her virüs taraması, ilgili derleme dizini içinde neyin tarandığını ve taramanın sonuçlarını ayrıntılı bir şekilde yapmakta ve her bir virüs taraması için de detaylı günlük oluşturulmaktadır. Temiz ve başarılı bir virüs taraması yapılmadan işletim sistemi ve yazılım dağıtma işlemleri yapılmamaktadır.

Microsoft Windows Defender

Azure üzerinde çalışan her bir bulut sanal makine üzerinde Antivirus ve antimalware koruması için Windowd Defender aktif durumdadır ve ücretsizdir. Bu özellik ile Azure üzerinde çalışmakta olan bulut sanal makine kötü amaçlı yazılımlardan korur. Sanal makine sahibi üçüncü taraf Antivirus/antimalware çözümü yüklemediği sürece yada Windows Defender servislerini kapatmadığı sürece bu hizmet ücretsiz olarak kullanılacaktır.

Microsoft, Antivirus ve antimalware koruması için bulut Sanal Makine platformuna üçüncü taraf bir koruma yüklemez. Paylaşılan sorumluluk modeli kapsamında Windows Defender ‘i kapatmak ve bulut sanal makineleri virüs korumasından muaf tutmak müşterinin sorumluluğundadır.

Azure Bulut Sanal makine ile birlikte Azure üzerinde çalışan App Service ve web uygulamasını barındıran temel hizmetler içinde bu dahili koruma ücretsizdir ve Microsoft Kötü Amaçlı Yazılımdan Koruma özelliği etkin durumdadır. Bu hizmetler bir SaaS bulut hizmeti olduğu için Antivirus/antimalware koruması Microsoft Güvenlik ekibinin yönetimindedir ve kapatılamaz, üçüncü taraf bir üretici seçilemez.

4.7 Microsoft Antimalware

Microsoft Antimalware çözümü Windows Defender’in sahip olduğu yeteneklere sahip olup aşağıda ki ek çözümler ile birlikte tek bir isim altında adlandırılmaktadır.

• Microsoft Security Essentials
• Microsoft Forefront Endpoint Protection
• Microsoft System Center Endpoint Protection
• Microsoft Intune
• Microsoft Defender for Cloud

Windows Defender ve yukarıda paylaşılan çözümler birleştirildiği zamöan kötü amaçlı yazılımdan koruma platformu oluşmaktadır.

Microsoft Defender Cloud

Microsoft Antimalware çözümü Kötü Amaçlı Yazılımdan Koruma ve insan müdahalesi olmadan arka planda çalışacak şekilde tasarlanmış, uygulama ve Azure Bulut kaynakları için merkezi bir çözümdür.

Microsoft Antimalware çözümü, kötü amaçlı yazılımdan koruma ve izleme işlemlerini yapmaktadır. Varsayılan yapılandırma Microsoft Güvenlik ekibi tarafından belirlenen güvenlik politikaları ile dağıtılmaktadır ve müşteri ihtiyaçlarına bağlı olarak bu güvenlik politikalarını gevşetme yada sıkılaştırma işlemlerini yapabilmektedir.

5. Azure Kimlik Erişim Yönetimi ve Koruması

Kimlik, yerel veri merkezi ve bulut bilgi işlem kaynaklarına güvenli erişim ve giriş yapmak için en önemli güvenlik katmanıdır. Bir çok kişi fiziksel güvenlik yapılandırmasının daha öncelikli olduğunu düşünebilir ve bu da yanlış değildir. Fiziksel güvenlik ne derece önemli ise mantıksal güvenlik ve bunların başında gelen kimlik güvemliği de bir o kadar önemlidir ve belki de daha fazla öneme sahiptir.

#Azure Secure Foundation etiketi ile hazırlamış olduğumuz makale serisinde Azure Veri Merkezi Fiziksel Güvenlik önlemlerini incelemiştik. Microsoft Azure veri merkezleri 58 Bölge ve 140 ülkede hizmet vermektedir ve her bir veri merkezi içinde fiziksel güvenlik önlemlerini almaktadır. Microsoft, veri merkezleri için katı güvenlik önlemlerini alırken veri merkezi içinde bulunan müşteri bulut bilgi işlem kaynakları ve verileri için de benzer katılıkta mantıksal güvenlik önlemlerini almaktadır. Her bir müşteri kendi verileri ve bulut bilgi işlem kaynakları için farklı yetki ve erişim yöntemlerine sahiptir.

Azure Kimlik Erişim Yönetimi ve Koruması konu başlığında Microsoft’un Azure Veri merkezi bulut kaynaklarına erişim için almış olduğu kimlik erişim güvenliği ve korumasını inceleyeceğiz.

Microsoft, Microsoft personeli de dahil olmak üzrere Azure Bulut bilgi işlem kaynaklarına erişimi de kısıtlayan sıkılaştırılmış güvenlik önlemlerine sahiptir. Microsoft personelinin bulut müşteri bulut kaynaklarına ve özellikler verilerine erişimi yoktur. Microsoft personelinin gerektiğinde erişim izinleri müşteri yönetimi ve gözetimi altında yapılmakta ve bu izinler de müşteri tarafından verilmektedir.

Microsoft Azure ‘un sahip olduğu rol ataması, rol yetkilendirmesi ve izin yetkilendirme işlemleri, verive uygulamalarınıza erişimi yetkilendirme ve kısıtlamanıza yardımcı olur.

5.1 Azure Active Directory

Azure Active Directory hizmeti Azure Veri merkezi bulut bilgi işlem kaynakları ve verileri için kapsamlı bir kimlik koruması ve erişim yönetimi için güvenlik çözümüdür.

Yerel veri merkezi dizini ile birlikte çalışabilmekte, kimlik yönetimi, kimlik güvenliği ve uygulama erişim yönetimi için birinci mantıksal güvenliği sağlamaktadır.

Azure Active Directory

Azure Active Directory hizmeti sahip olduğunuz on-premise uygulamaların da ilke tabanlı kimlik yönetim işlemlerini kolaylaştırır ve Azure AD Premium sürümleri ilekurumsal uygulamalarınız için gelişmiş kimlik güvenliği ve erişim güvenliğini karşılamak için deaşağıdakiler gibi ek özellikleri sunar

• Multifactor authentication
• Conditional access
• Azure IoT device-level authentication
• Access monitoring and logging
• Cloud App Discovery
• Self-Service Password Reset

Azure Active Directory, şirket içi, bulut ve mobil çözümler arasında tek bir kimlik yönetimi özelliği sağlar. Bir kimliğin güvenliğini sağladığı gibi şirket içi iş uygulamalara, Microsoft Azure veri merkezi içinde çalışan uygulamalara ve üçüncü taraf bulut sağlayıcılarında bulunan uygulamaları birleştirmekte ve uygulamaların tek bir kimlik ile oturum açma yeteneği kazandırmaktadır.

5.2 Azure AD Identity Protection

Azure AD Identity Protection Kimlik Koruması ile anormallikleri gerçek zamanlı algılamak için Azure Active Directory ‘nin anormallik algılamasından yararlanır. Bir kimliğin ele geçirildiğine dair göstergeleri algılamak, uyarları oluşturmak için makine öğrenimi algoritmaları kullanır.

Azure AD Identity Protection

Azure AD Identity Protection ile kuruluş kimlikleri ve bulut kimliklerini etkileyen olası güvenlik açıkları tespit edilmektedir. Korunan kimlik ile ilgili algılanan şüpheli eylemlere otomatik yanıtlar oluşturulabilir, şüpheli olaylar araştırabilir ve bunları çözmek için uygun şartlı yada otomatik eylemler gerçekleştirilmektedir.

5.3 Azure AD Privileged Identity Management

Azure AD Identity Protection  ve Azure AD Privileged Identity Management çözümü ile Azure AD yöneticilerini belirleyebilir, çevrimiçi hizmetlere tam zamanında yönetim erişimi sağlayabilir ve yönetim erişimi hakkında raporlar ve uyarılar sağlayarak kuruluşunuzdaki erişimi yönetebilir, denetleyebilir ve anlık olarak izleyebilirsiniz.

5.4 Azure Access reviews

Azure Active Directory Erişim incelemeleri ile kullanıcıların ve yöneticilerin zaman içinde uygulamalara ve kaynaklara güvenli erişim yapmaları için kimliklerin yönetimi sağlar.

Erişim incelemeleri, BT kuruluşlarının gruplara veya kaynaklara erişimini gözden geçirebilir ve görevlerini yapmaları için ek erişime yada yetkiye ihtiyaçları olup-olmadığını doğrularsınız.

5.5 Azure Multifactor Authentication

MFA olarak bilinen birden fazla kimlik doğrulama çözümleri ile kimlik avı saldırılarının önüne geçebilir ve yetkisiz kullanıcı erişim riskini azaltırsınız.

Azure MFA, hem şirket içi hem de bulut uygulamaları ve karma bulut ortamları için bir arada çalışabilmektedir. Azure MFA çözümü ileverilere ve uygulamalara erişim için kimlik güvenlik korumasını yapabilmektesiniz.

Azure Multifactor Authentication

Azure MFA çözümü, bir erişim talebi geldiği zaman ek güvenlik önlemleri için telefon araması, kısa mesaj yada mobil uygulama bildirimi gibi bir dizi en güvenlik önlemleri sunmaktadır. Azure MFA ‘ın sahip olduğu kolay ikinci doğrulama seçeneği ile güçlü kimlik doğrulamasına sahip olabilir, kullanıcıların hem şirket içi hem de bulut uygulamaları için kimlik güvenliğini en üst seviyeye çıkartabilirsiniz.

#Password-less Protection etiketi ile hazırlamış olduğumuz vlog ve blog paylaşımlarımızı inceleyebilir ve Multifactor authentication çözümleri için derinlemesine bilgiye sahip olabilirsiniz.

5.6 Azure Conditional Access

Microsoft Azure veri merkezleri 58 Bölge ve 140 ülkede hizmet vermekte. Microsoft Azure haricinde bir başka bulut sağlayıcısı yada yerel bulut sağlayıcısı da dünyanın her hangi bir noktasında bir yerlerde güvenli bulut hizmetlerini sağlamaktadır. Kuruluşunuzun uygulamaları ve verileri de sizlerin belirlemiş olduğu bir bulut sağlayıcısında barınmakta ve buralarda çalışmaktadır.

Azure Conditional Access

Bu bilinen bulut alt yapısı ve bilinmeyen ise sizler uygulama ve verilere ne şekilde erişim yapacak ve onları kullanacaksınız. Conditional Access olarak bilinen Şartlı yada Koşullu erişim yöntemleri ile aşağıda ki şartları ve kuralları belirleyebilirsiniz.

• Erişim yapılacak olan yeri çoğrafi bölge yada IP bazlı belirleyebilirsiniz.
• Erişim yapılacak cihazı, işletim sistemini ve sürümünü belirleyebilirsiniz.
• Erişim yapılacak zaman dilimini belirleyebilirsiniz.
• Erişim zaman aralığını belirleyebilirsiniz.

Koşullu erişim yöntemleri ile kullanıcı erişim denetimini sıkılaştırabilir veri ve uygulama güvenliğini üst seviyeye çıkartabilirsiniz. Kullanıcılarınız, kimliklerini doğrulamış olsa bile MFA ile kimliklerini korumuş olsalar bile sizlerin belirlemiş olduğu şartlı erişim politkalarına uyum sağlamadıkları sürece veri ve uygulamalarınıza erişim yapamayacaklardır.

5.7 Azure IoT device-level authentication

Kullanıcı kimlik doğrulama ve kullanıcı kimlik güvenliği, Nesnelerin İnterneti olarak bilinen IOT cihazları için de geçerlidir. Azure IoT çözümleri IOT cihaz düzeyinde gelişmiş kimlik doğrulaması için X.509 sertifikalarını destekler. Iot Cihaz kimliği uçtan bulut bilgi işleme güvenli bir şekilde iletilebilir. Aygıt başına güvenlik kimlik bilgilerini yapılandırmak ve belirteçleri kullanarak erişim denetimi yapmak için IoT Hub aygıt kimliği kullanılmaktadır.

Azure IoT hub

Azure IoT Hub, paylaşılan erişim ilkelerine ve kimlik kayıt defteri güvenlik kimlik bilgilerine göre bir belirteci doğrulayarak uç noktalarda erişim sağlar. Azure IOT cihaz üzerinde ki kimlik doğrulama işlemleri simetrik anahtarlar kimlik bilgileri hiçbir zaman kablo üzerinden göndermemektedir. Her IoT hub, IoT hub’larına bağlanmasına izin verilen cihazlar ve modüller hakkında bilgileri depolar. Bir cihaz veya modülün bir IoT hub’a bağlantı yapmadan önce, IoT hub’ ın kimlik kayıt defterinde bağlantı yapılacak Iot cihaz veya modül için bir giriş olması gerekmektedir. Bir cihaz veya modülün, kimlik kayıt defterinde depolanan kimlik bilgilerine göre IoT hub’ı ile kimlik doğrulaması da yapmaları gerekir.

5.8 Access monitoring and logging

Kullanıcı kimlik erişim denetimi ve güvenlik raporları, erişim modellerini tespit etmek ve potansiyel tehditleri proaktif olarak belirlemek ve azaltmak için kullanılmaktadır. Uygulama, hizmer ve sistem erişimi de dahil olmak üzere yetkisiz veya yanlışlıkla değişiklikler yapıldığında günlüğe kaydedilir.

Microsoft Azure’da ve Azure üzerinde barınan bulut bilgi işlem kaynakları için ek erişim izlemeyi açabilir ve ek tehditleri algılamak için üçüncü taraf araçları da  kullanabilirsiniz. Ayrıca, şüpheli bir durum oluştuğu zaman kullanıcı erişimleri, erişim talepleri hakkında detaylı raporlara ulaşabilir yada Microsoft Güvenlik operasyon center ‘dan bu bilgileri talep edebilirsiniz.

5.9 Cloud App Discovery

Microsoft Azure üzerinde bulunan uygulamalar için uygulama kullanımını ölçebilir, kullanıcı sayısına ve veri hacmine ve web isteklerine göre bunları raporlayabilir  ve hangi kullanıcı bir uygulamayı ne kadar ve ne zaman kullandığını belirleyebilirsiniz.

Azure Cloud App Discovery

Ayrıca, çoklu oturum açma (SSO) ve kullanıcı yönetimini etkinleştirmek için Azure Active Directory ile ek analizler yapabilir, verileri dışa aktarabilir ve uygulamaları yönetebilirsiniz.

Azure uygulamaları için geliştirilen Cloud App Discovery ile bulut uygulamaları ve kullanıcı erişimleri üzerinde kapsamlı görünüme sahip olabilirsiniz.

5.10 Azure Self-Service Password Reset (SSPR)

#Passwordless Protection etiketi ile kullanıcı kimliği ve kimliğe bağlı parolaları incelemiş ve bu etiket çatısı altında parola unutma, yanlış parola girme, parolayı geri almak için geçen sürede kaybedilen zaman, para ve BT yatırımlarını dile getirmiştik.

Azure AD SSPR ile bu problemleri ortadan kaldıran, kullanıcıların kendi parolalarını sıfırlamasına olanak tanıyan hem web tabanlı hem de Windows ile tümleşik bir deneyim sağlayan bir çözümdür. Azure Self-Service Password Reset (SSPR) kullanıcılar için daha iyi, daha hızlı ve daha verimli parola sıfırlama deneyimi sunmaktadır.

6. Azure Network Koruması

Azure Network, Azure Bulut bilgi işlem üzerinde barınan bir bulut sanal makine ve onun kullanmış olduğu bulut, üçüncü bulut yada yerel bilgi işlem varlıkları arasında güvenli iletişim kurmanızı sağlar. Onpremise olarak bilinen şirket içi bilgi işlem kaynaklarına yada bir başka Azure bulut sanal makine ve Azure PaaS bulut hizmetleriyle güvenli iletişim kurmaktadır.

Azure Bulut bilgi işlem üzerinde ve diğer bulut ortamlarında da birden fazla bulut sanal makine barınmakta ve bu bulut sanalmakineler de birden fazla müşteriye hizmet vermektedir..Bulut alt yapıları birden fazla müşteriye eş zamanlı hizmet verdiği için ağ trafiğini, güvenliğini ve gizliliğini korumak çok önemlidir.

Bulut hizmetlerini, yerel veri merkezi modeli ile kıyasladığımız zaman yerel veri merkezinde fiziksel erişim yapabilmekte, fiziksel sunucu, veri depolama havuzları, firewall, router ve swich ‘i gerektiği zaman kapatabilmekte ve fiziksel müdahale de yapabilmekteyiz.

Bulut hizmeti modelinde ise bu işlemler bulut sağlayıcısı tarafından yapılmaktadır. Fiziksel yönetime ilişkin sorumluluklar bulut sağlayıcısı tarafından gerçekleştirilirken mantıksal işlemler de bulut sağlayıcısı ve müşteri arasında paylaşılmaktadır.

Müşterinin fiziksel sunucu, veri depolama havuzları, firewall gibi fiziksel bilgi işlem kaynaklarına erişimi yoktur ve onları kapatamaz, müdahale edemez.

Hiç bir müşterinin Azure veri merkezinde bulunan cihazlara fiziksel erişimi yoktur. Kullanmış olduğu bulut kaynakları üzerinde yada bulut sanal makine işletim sistemi seviyesinde güvenlik duvarları, sanal ağ geçidi yapılandırması ve sanal özel ağlar gibi araçları kullanarak mantıksal güvenlik önelmlerini kendisi almaktadır.

Fiziksel güvenlik ve fiziksel operasyonlar bulut sağlayıcısı tarafından yapılmaktadır ve bu işlemlerin nasıl yapıldığını #Azure Secure Foundation etiket çatısı altında paylaşmıştık.

• Azure Veri Merkezi Fiziksel Güvenlik
• Azure Güvenlik Tasarımı ve Operasyon Yönetimi
• Azure Alt Yapı Koruması

Azure bulut bilgi işlem üzerinde network güvenliğini sağlamak için birden fazla Bulut hizmeti ve çözümleri bulunmaktadır ve şimdi bu hizmet ve çözümleri inceleyelim.

6.1 Azure Virtual Networks

Azure Sanal Ağ (Azure Virtual Network) diğer ismi ile Vnet teknolojisi, Azure ‘da özel ağınızın temel yapı taşıdır. Virtual Network birçok türde ki Azure kaynakları gibi Azure Sanal Makineleri için güvenli iletişim kurması ve internet iletişimi için oluşturulur. Aynı, yerel veri merkezinde oluşturmuş olduğumuz şirket içi ağlar ve Vlan lar gibi.

Azure Vnet geleneksel bir ağa benzer ve Azure bilgi işlem kaynakları ve özellikle Sanal Sunucu (Virtual Machine) için yalıtımı ve güvenliği sağlar.

#Azure Deep Dive etiketi ile hazırlamış olduğumuz makale serisinde Azure Virtual Network yapılandırmasını incelemiş ve bir Azure Aboneliği üzerinde Azure Virtual Network nasıl oluşturulur ve güvenliği nasıl sağlanır paylaşmıştık.

6.2 Azure Network Security Group

Azure Network Security Group ile bir Azure Virtual Network ‘e gelen ve giden ağ trafiğini denetleyebiliriz. Bağlantı noktalarına protokol seviyesinde güvenlik kuralları oluşturabilir, kontrolü ve güvenliği ele alabiliriz. Oluşturacak olduğumuz güvenlik kuralları Azure Vnet içinde bulunan alt ağlar için de geçerli olacaktır.

Azure Network Security Group ile Vnet içinde bulunan IP adresleri ve açık portlar üzerinde tam denetim sağlayabilmekte ve bu güvenlik işlemlerini de yerel veri merkezi içinde VLAN’ lar , Firewall güvenlik cihazları yada backbone SW üzerinde gerçekleştirmekteyiz.

#Azure Deep Dive etiketi ile hazırlamış olduğumuz makale serisinde Azure Network Security Group yapılandırmasını incelemiş ve bir Azure Aboneliği üzerinde Azure Network Security Group nasıl oluşturulur ve güvenliği nasıl sağlanır paylaşmıştık.

6.3 Azure Network isolation

Azure bulut bilgi işlem alt yapısı diğer bulut sağlayıcıları gibi  çok kiracılı bir hizmettir. Yani bulut bilgi işlem kaynaklarınız (Bulut Sanal Makine, Bulut Depolama vb…) bir başka müşteri ile aynı fiziksel donanımı paylaşabilir.

Azure ve diğer bulut sağlayıcıları Bulut bilgi işlem kaynaklarınızın başka bir müşteri bulut bilgi işlem kaynakları ile iletişim kurmasını, birleştirilmemesini engellemek için her müşteri için mantıksal yalıtım kullanır. Bu mantıksal yalıtım müşterilerin birbirlerinin verilerine erişmesini kesinlikle engellerken, çok kiracılı bulut hizmetlerinin de önceliğidir.

HyperV Fabric Design

Bulut bilgi işlem alt yapısı özünde Sanallaştırma teknolojilerinin üzerine inşa edilmiş hizmet ve çözümlerdir ve her bir bulut sağlayıcısı da birden fazla Hypervisor ile bulut alt yapılarında bulunan bilgi işlem varlıklarını kiralamaktadır.

Hyper-V Server Guarded Fabric Mimarisi konu başlığı ile paylaşmış olduğumuz makalede Hypervisor üzerinde yapılan Fabric Mimarilerini incelemiş ve Bulut sağlayıcılarının bulut bilgi işlem kaynakları üzerinde ki güvenlik ve delegasyon işlemlerini nasıl yaptığını sizlere paylaşmıştık.

6.4 Virtual machine encryption

Azure Veri merkezinde barınan her bir bulut sanal makine (Windows yada Linux işletim sistemlerine sahip olmaları önem arz etmemekte) Azure Disk Şifreleme ve Virtual machine encryption kullanmakta ve her bir bulut sanal makineyi şifreleyebilirsiniz.

azure Virtual machine encryption

Virtual machine encryption özelliği işletim sistemi birimini ve içinde barınan veri disklerini şifrelemektedir. Windows için BitLocker teknolojisi ve Linux işletim sistemine sahip bulut sanal makine için de DM-Crypt kullanır. Sanal makinenin sahip olduğu anahtarlar Azure Key Vault aracılığıyla yönetilmekte ve Azure Blob Storage de depolanan VHD dosyalarını şifrelemek için kullanılmaktadır.

6.5 Azure Firewall

Azure Firewall Azure Sanal Ağ kaynaklarınızı koruyan bir Güvenlik Duvarıdır. Azure Firewall bulut bilgi işlem hizmet türleri arasında yönetilen bir hizmettir ve bulut tabanlı bir ağ güvenlik koruması sunmaktadır.

Azure Firewall ‘ın sahip olduğu yüksek kullanılabilirlik ve bulut ölçeklendirme özelliğine sahip güvenlik duvarıdır. Azure veri merkezi içinde bulunan bulut kaynaklarınızı ve sanal ağlar arasında kurmuş olduğunuz güvenli iletişimi sağlamaktadır.

Azure  bulut bilgi işlem üzerinde bulunan kaynaklarınızın iletişimini Virtual Network ve Network Security Group ile sıkılaştırma yaparken Azure Firewall ile bulut kaynaklarınızı dış dünyaya açmak için aynı güvenlik sıkılaştırma işlemlerini gerçekleştirmektesiniz.

Azure Firewall ürünü Microsoft tarafından yönetilen bir bulut hizmetidir ve PaaS bulut olarak hizmet vermektedir. Azure üzerinde barınan kaynaklarınızı Azure Firewall ile koruyabileceğiniz gibi üçüncü taraf bir güvenlik firmasının sağlamış olduğu güvenlik duvarlarını da kullanabilirsiniz.

6.6 Azure VPN Encrypting Communications

Azure Veri merkezi içinde bulunan bulut bilgi işlem kaynaklarını yerel veri merkezi kaynaklarınıza, üçüncü taraf bulut sağlayıcısında bulunan bulut kaynaklarınıza yada dünyanın her hangi noktasında bulunan kullanıcılarınıza güvenli bir şekilde bağlayabilirsiniz.

Azure VPN Encrypting Communications

Microsoft Azure Virtual network içinde bulunan her bir bulut kaynağını Site to Site ve Point to Site Vpn baplantıları kullanarak bağlantı sağlar. Şirket içi ağınızı bir IPsec/IKE VPN tüneli üzerinden bir Azure sanal ağına bağlamak için Siteden Siteye (S2S) VPN ağ geçidi bağlantısı kullanılır. Noktadan Siteye (P2S) VPN ağ geçidi bağlantısı, bireysel bir istemci bilgisayardan sanal ağınıza güvenli bir bağlantı oluşturmanıza olanak tanır.

Daha da iyi performans için, trafiğinizi İnternet’ten uzak tutan yalıtılmış bağlantı sağlayan Express Route bağlantı seçeneğiniz vardır. ExpressRoute bağlantıları, tipik internet bağlantılarından daha fazla güvenilirlik, daha yüksek hızlar ve daha düşük gecikme süreleri sunmaktadır.

Bütün bağlantı yöntemlerinde yerleşik şifreleme teknolojisi bulunmakta yapacak olduğunuz S2S, P2S yada Expres Route bağlantılarında kullanılmaktadır. Azure bölgeleri arasında yani birden fazla Azure Veri merkezinde barındıracak olduğunuz bulut kaynakları bir-biri ile iletişim kuracaksa bu network iletişimleri de sifrelenmiş olarak tanımlıdır. Bu tanımlı bulunan network şifrelemesi ürün bağımlı olmayıp kabul gören şifreli bağlantı yöntemleridir. Transport Layer Security (TLS) ve Perfect Forward Secrecy (PFS) teknolojileri kullanılmaktadır. Azure portalına yapacak olduğunuz erişimler ise  HTTPS üzerinden gerçekleşir.

7. Azure Gelişmiş Tehdit Koruması

Azure Secure Foundation etiketi ile hazırlamış olduğumuz makale serisinde Azure Gelişmiş Tehtit korumasını inceliyoruz. Makale serisine başladığım zaman Azure Sentinel, Azure Güvenlik Merkezi, Azure Defender, Azure Advanced Threat Protection olarak bilinen bir çok ürün artık Microsoft Defender çatısı altında buluştu.

Eskiden, Azure Gelişmiş güvenlik koruması olarak adlandırılan güvenlik ürünleri 2 Kasım 2021 tarihinden itibaren Microsoft Defender çatısı altında yer almakta ve kullanmakta olduğumuz bir çok Azure Güvenlik çözümleri için de Microsoft Defender planları oluşturuldu.

Microsoft Defender

Microsoft Defender güvenlik çatısı altına buluşan Microsoft Güvenlik çözümlerinin eski ürün sınıflarına göre örnek sınıflandırmalarını aşağıda bir kaçı ile örneklemeye çalıştım.

• Active Directory dizin hizmeti için güvenlik tehtitlerini ve anormallikleri tespit etmek için kullandığımız Azure ATP çözümü, Microsoft Defender for Identity planı içinde yer almakta.
• Office 365 EOP ve Office 365 ATP güvenlik çözümleri Microsoft Defender for Office 365 Planı içinde yer almakta.
• Windows işletim sistemlerimizde var sayılan koruma çözümü olan ve Azure üzerinde ki yapay zeka destekli güvenlik çözümü sunan Windows Defender güvenlik çözümleri de Microsoft Defender for Endpoint planı içinde yer almakta.
• Azure Veri merkezlerinde bulunan IaaS Bulut, SaaS Bulut ve PaaS Bulut ortamlarını koruyan güvenlik çözümleri için de Microsoft Defender for Cloud Apps planı oluşturuldu. Microsoft Defender for Cloud App çözümleri Azure Veri merkezlerinde ki bulut bilgi işlem kaynaklarını koruduğu gibi üçüncü taraf bulut, yerel veri merkezi bilgi işlem kaynakları ve hibrit bulut bilgi işlem alt yapıları içinde kullanılmaktadır.

Aslında bu ürünlerin her birisini tanımakta ve kullanmaktayız ve artık Microsoft Güvenlik ürünleri Microsoft Defender isim çatısı altında kendilerine yer buldu. Eski zamanda bu isim değişikliğini Microsoft Forefront güvenlik ürün ailesi içinde yaşamış ve dağınık yapıda bulunan bir çok Microsoft Güvenlik ürünü Forefront Güvenlik ürün ailesi içinde yerlerini almıştı.

Güvenlik ürünlerinde ki bu isim değişikliğini paylaştıktan sonra bizler konumuza geri dönelim ve çok fazla güvenlik ürünleri ile kafa karışıklığına neden olmadan Azure Bulut bilgi işlem üzerinde ki Azure Gelişmiş Tehdit Koruması’ na kuş bakışı bir bakış yapalım.

Azure Gelişmiş Tehdit Koruması başlığı altında artık çok fazla ürün ve hizmet bulunmakta ve bunları da tek bir makalede sizlere sunamayacağımızı ve Azure Bulut bilgi işlem korumasını gerçekleştiren Microsoft Defender for Bulut güvenlik çözümü için bilgi paylaşacağımızı belirtmek isterim.

7.1 Azure ve Microsoft Defender for Cloud

Azure bulut bilgi işlem üzerinde bulunan Microsoft Defender çözümleri güvenlik duruşunuzu sıkılaştıran, güvenlik ve BT yönetimini kolaylaştıran ve yapay zeka destekli tehdit koruması içeren birden fazla güvenlik aracını kapsamaktadır.

Azure Bulut bilgi işlem yada üçüncü taraf bir bulut sağlayıcısında bulunan kaynaklar için güvenlik koruması gerçekleştirmekte ve bütünleşik Microsoft Defender planları ile yerel veri merkezi ve üçüncü bulut platformlarında çalışan iş yüklerini ve Hybrid bulut iş yüklerini de korumaktadır.

Microsoft Defender güvenlik çözümleri, bilgi işlem kaynaklarınız üzerinde güvenlik sıkılaştırması işlemlerini gerçekleştiren, onları sağlamlaştıran ve güvenlik duruşunuzu izlemeniz ve bütünleşik koruma ve yönetim elde etmeniz için size yardımcı olmaktadır.

Microsoft Defender for Cloud ürünleri siber saldırılara karşı korunmanız ve güvenlik yönetimini kolaylaştırmanızı kolaylaştırmakta ve gereken güvenlik araçlarını sunmaktadır.

Azure Bulut bilgi işlem üzerinde çalışan ve güncel Microsoft işletim sistemlerimiz için varsayılan düzeyde temel güvenlik korumasını Microsoft Defender for Endpoint ürünü ile yapmaktayız. Microsoft Defender for Endpoint ürünü temel düzeyde koruma sağlamakta ve ileri seviye ek güvenlik koruması ve yapay zeka destekli anormallik ve davranış analizleri için de Microsoft Defender for Cloud ürünleri ile bir arada çalışmaktadır.

Microsoft Defender Security requirement

Azure Bulut bilgi işlem, üçüncü bulut yada şirket içi yerel veri merkezi bilgi işlem kaynakları ve iş yükleri için güvenliği için üç önemli ihtiyacı karşılamaktadır.

Microsoft Defender for Cloud ürünlerinin sağlamış olduğu hizmetler üç başlıkta yer almaktadır.

• Sürekli değerlendirme hizmeti ile mevcut bilgi işlem kaynaklarınız üzerinde sürekli incelenmekte ve bu inceleme sonrasında değerlendirme işlemini yapabilmekte ve geçerli güvenlik duruşunuzu anlamanıza ve yönetmenize yardımcı olmaktadır.
  Microsoft Defender for Cloud ürünlerinin sahip olduğu Continuously Assess hizmetleri ile bir bakışta geçerli güvenlik durumuna bakabilir ve oluşturulan puanlar ile mevcut güvenlik duruşunuz için belirlenen risk düzeyini hızla anlayabilirsiniz.
• Güvenlik önerileri ile güvenlik duruşunuzu sıkılaştırmaktadır. Continuously Assess bölümünde elde edilen bilgiler Güvenlik önerileri bölümünde kullanılmakta ve kurumunuza özel öncelik sırasını takip ederek bilgi işlem varlıklarınız üzerinde güvenlik sıkılaştırma işlemlerini yapabilmektesiniz.
  Kurumunuza özel sunulan öneriler ayrıntılı düzeltme adımlarını takip edip önerilen güvenlik sıkılaştırma adımlarını kolayca uygulayabilirsiniz.
  Önerilerin bir çoğu yapay zeka destekli olmakta bu bilgilendirmelerde Microsoft güvenlik personelleri tarafından belirlenmektedir. Kurumunuza sunulan güvenlik önerileri temel de Microsoft baseline security adımlarını kapsamakta ve kolayca uygulayabilmeniz için “Düzelt” düğmesi sunulmaktadır. Bu düzeltme işlemlerini kabul ederek karmaşık güvenlik işlemlerini yapmadan kolay ve hızlı bir şekilde güvenlik duruşunuzu sıkılaştırabileceksiniz.
• Güvemlik uyarıları ve savunma hizmeti Microsoft Defender for Cloud hizmetinin en temel yapı taşıdır. Bilgi işlem kaynaklarını ve iş yükletini sürekli izlemekte, onlara puan vermekte ve güvenlik duruşunuzu görselleştirmektedir.
  Güvenlik duruşunuz artık bir puana sahip durumda ve daha sıkı bir iş yükleri için güvenlik önerilerini uygulayabilir ve tehtitlere karşı dik durabilirsiniz. Son aşama olarak olası ve beklenmedik tehtitler ve saldırılar için alarmlar kurabilir, uyarılar oluşturabilir ve şartlı kurallar ile güvenlik kalkanını güçlendirebilmektesiniz. Microsoft Defender for Cloud hizmeti yapay zeka destekli hizmeti olan Siem, Soar ve IT Security Management çözümleri ile bunların hepsini tek bir portal üzerinden kolay ve hızlı bir şekilde yapabilmektesiniz.

Bu makale içinde herhangi bir ürüne işaret etmedik. Bunun nedeni daha önce paylaşmış olduğumuz ve aşağıda adreslemiş olduğumuz makalelerde koruma sınıfı için bir çok güvenlik ürününü paylaşmış olmamız ve Azure Gelişmiş güvenlik koruması da bu korumaların sınıflandırılmış olduğu yeni ürün grubu olduğu içindir.

Aşağıda listelenen bir çok ürün Microsoft Defender ürün grupları içinde kendilerine ait bir plan içinde hizmet ve çözüm olarak sunulmaktadır.

Azure Network Koruması bölümünde paylaşıldı.

• Azure Virtual Networks
• Azure Network Security Group
• Azure Network isolation
• Virtual machine encryption
• Azure Firewall
• Azure VPN Encrypting Communications

Azure Kimlik Erişim Yönetimi ve Koruması bölümünde paylaşıldı.

• Azure Active Directory
• Azure AD Identity Protection
• Azure AD Privileged Identity Management
• Azure Access reviews
• Azure Multifactor Authentication
• Azure Conditional Access
• Azure IoT device-level authentication
• Access monitoring and logging
• Cloud App Discovery
• Azure Self-Service Password Reset (SSPR)

Azure Alt Yapı Güvenlik Çözümleri bölümünde paylaşıldı.

• Azure Alt Yapı izleme (infrastructure monitoring)
• Azure Monitor
• Azure Security Center
• Microsoft Sentinel
• Azure Update management
• Antivirus and antimalware
• Microsoft Antimalware

8. Azure Veri Koruması

Azure Veri Koruması makalesine başlamadan önce paranoyak seviyede sorulan soruyu soralım. “Microsoft, bizim verilerimizi alıyor mu”  Bu soruya cevap vermeme hakkımı kullanıyorum ve makaleye giriş yapıyorum…

#Azure Security foundation etiketi ile Azure Bulut Bilgi işlemin uçtan-uca güvenlik korumasını ve güvenliğe bakışını sizlere paylaştığımı hatırlatmak istiyorum ve bu soruya da dolaylı yoldan ve detaylı bir şekilde cevaplar verdiğimi düşünüyorum.

Evet, veri yada data her kurum yada her bireyin en değerli dijital varlığıdır. Onları korumalı, saldırganların ve kötü amaçlı kişilerin eline geçmemesine engel olmalıyız.

Azure bulut bilgi işlem ve Microsoft Güvenlik çözümleri bu varlıkların barınmış olduğu alt yapılar için uçtan uca güvenlik hizmeti ve güvenlik çözümlerini sunmaktadır. Sunmuş olduğu güvenlik çözümleri ve hizmetler ile verileri şifreleyebilir ve anahtarları yönetebilirsiniz.

Azure Bilgi işlem kaynakları üzerinde bulunan verilerinizi, uygulamalar, platform, sistem ve depolama için ayrı-ayrı güvenlik önlemleri alabilirsiniz. Bu makale içeriğinde Veri Ayırma, Veri Şifreleme, Veri Yedekleme ve Veri imhası olmak üzere dört başlık incelenecektir.

8.1 Azure Data Segregation (Veri Ayırma)

Azure Bulut bilgi işlem ve diğer bulut sağlayıcıları çok kiracılı hizmet olarak çalışmaktadır. Merdiven altı bulut sağlayıcılarını hariç tutarak şunu söyleyebiliriz ki verilerinizin, bir başka müşteri verisi ile birleştirilmemesi için her bir müşteri seviyesinde depolama ve erişim için mantıksal güvenlik önlemleri alınmakta ve bunlara ek olarak da kurumunuza özel ek güvenlik çözümleri sunulmaktadır.

Böylece hassas verilerin korunması sağlanmaktadır.

Veri Sahibi ve Güvenlik Eğitim Süreci konu başlığı ile paylaşmış olduğumuz vlog paylaşımında belirttiğimiz gibi Güvenlik, hemen hemen her konu için konuşacak olduğumuz, çok katmanlı ve birden fazla bileşene sahip olan çözümlerdir ve Aslında Güvenlik bir süreç yönetimidir!

Bu felsefe ile konuya bakıldığı zaman Azure Data Segregation yani Veri Ayırma işlemlerinin mantıksal seviyede en üst düzeyde yapıldığını bilmeli ve Azure veri merkezlerinde yada merdiven altı olmayan bulut sağlayıcılarında barındırmış olduğunuz her bir verinin güvenliğinden, güvenli veri erişiminden emin olabilir ve satın alacak olduğunuz ek güvenlik çözümleri ile bu mantıksal güvenlik korumasına ek olarak kendi kurumsal şifre ve anahtar koruması ile sıkılaştırabilirsiniz.

Virtualization Fabric Design

Bu şifre koruması ve anahtar sadece sizde olduğu için, Microsft dahil hiç bir bulut sağlayıcısı veriye erişemez, onları alamaz, alsa bile siz izin vermediğiniz sürece kullanamaz.

8.2 Azure Data Encryption (Veri Şifreleme)

Azure veri merkezlerinde bulunan verilerinizin gizliliğini ve bütünlüğünü korumak için veri depolama havuzlarında saklı bulunan yada aktif kullanılmakta olan veriler barınmış olduğu sırada, kullanım zamanında ve veri aktarım zamanlarında şifrelenmektedir.

Azure güvenlik çözümleri hem istemci tarafından verilere erişim yapılırken hem de sunucu tarafında barındırma zamanında şifreleme dahil olmak üzere birden fazla, kurumunda özelleştirebilecek olduğu bir çok çeşitli şifreleme modellerini destekler.

8.3 Azure Disk Encryption

Azure Bulut bilgi işlem üzerinden barınan her bir veri için çok çeşitli şifreleme özellikleri bulunmaktadır. Disk Şifreleme özelliği Azure IaaS bulut bilgi işlem için Azure Disk Encryption for IaaS VM özelliği ile sağlanmaktadır.

azure data encryption

Azure Disk Şifreleme özelliği için işletim sistemi ve veri diskleri için birim şifreleme özelliği bulunmakta ve Windows’un endüstri standardı BitLocker özelliğinden yararlanılmaktadır.

Windows işletim sistemi seviyesinde Bitlocker ile sağlanan Azure Disk Şifreleme özelliği Linux işletim sistemleri için DM-Crypt özelliğinden yararlanmaktadır.

Veri tabanı ve Platform olarak çalışan uygulamaların verileri ise Şeffaf veri şifreleme olarak bilinen Transparent data encryption  teknolojisi kullanılmakta ve PaaS Bulut çözümü olan Azure SQL Veritabanı koruması da aynı teknoloji ile korunmaktadır.

8.4 Azure Key Vault

Azure Key Vault çözümü, Azure Bulut bilgi işlem üzerinde bulunan Bulut uygulamaları ve hizmetleri desteklenmektedir. Barınmakta olan verilerin şifreleme anahtarlarını ve diğer gizli anahtarları koruyan bir Azure Güvenlik çözümüdür.

Azure Key Vault ile anahtar yönetimini kolayca ve uygun maliyetli bir şekilde yapabilir ve verileri şifrelemek için bulut uygulamaları ve hizmetleri tarafından kullanılan anahtarların denetimini sağlayabilirsiniz.

Azure Key Vault

Azure Key Vault çözümü Azure Site Recovery için de desteklenmekte ve bekleyen şifreleme özelliği Storage Service Encryption teknolojisi ile desteklenmektedir.

8.5 Azure Data in Transit

Azure Bulut bilgi işlem üzerinde barınan verilere erişim için (bu erişim yöntemi Microsoft veri merkezleri, uç nokta client erişimi yada yerel veri merkezileri) TLS 1.2+ gibi endüstri standardı aktarım protokollerini kullanmaktadır.

Azure Veri merkezi üzerinde bulunan sanal makine ve son kullanıcılarınız arasındaki trafik için de bu şifrelemeyi etkinleştirebilirsiniz. SMB 3.0 ise aktarım sırasında verileri şifreleyerek veri aktarımlarını güvenli hale getirmek için kullanılır ve Windows Server 2012 veya sonraki sürümleri çalıştıran sanal makineler için hazırdır. Azure Sanal Ağlar. Yöneticiler, tüm sunucu veya yalnızca belirli paylaşımlar için de SMB şifrelemesi etkinleştirebilir.

Secure Shell (SSH) bağlantı yöntemi güvenli olmayan bağlantılar üzerinden güvenli oturum açmaya izin veren şifreli bir bağlantı protokolüdür ve  Azure bulut bilgi işlemde çalışan Linux sanal makinelere bağlanmak için kullanılabilir. Azure üzerinde bulunan Linux Sanal makinelere erişmek ve veri transfer için SSH güvenli bağlantı yöntemi desteklenmektedir.

Azure IPSec VPN

Ağ üzerinden gönderilen verilerin gizliliğini korumak için Azure VPN şifrelemesi önerilmekte ve desteklenmektedir. Yerel veri merkezlerinden erişmek için de Site to Site VPN ile aktarım şifrelemesi yapılmakta ve IPsec VPN çözümü önerilmekte ve desteklenmektedir.

Azure Data in Transit bölümünde paylaşmış olduğumuz özet bilgilerin detayları için Azure Network Koruması makalesini inceleyebilirsiniz.

8.6 Azure Data Redundancy (Veri Yedekleme)

Azure Data Redundancy, Türkçe karşılığı olarak veri yedekleme çözümünden bahsedeceğiz. Fakat karşılıklık olmaması adına belirtmekte fayda var, Azure Data Redundancy çözümü bilinen bir veri yedekleme çözümü değildir.

Azure Data Redundancy, Bir verinin farklı fiziksel veri merkezlerinde çoğaltılmasıdır ve veri fazlalığı olarak da adlandırılmaktadır. Bu çözüm, Azure Backup çözümü ile karıştırılmamalıdır…

Azure Data Redundancy çözümü Azure Depolama alanında barınan, işlenen yada bekleyen veriler için kullanılabilecek bir veri çoğaltma çözümdür.

Azure Data Redundancy ile geçici donanım hataları, ağ veya güç kesintileri yada veri merkezi seviyesinde oluşan büyük doğal afetler gibi planlanmamış kesintilerden korunmak üzere tasarlanan bir çözümdür ve bu çözüm ile her zaman verilerinizin birden çok kopyası birden fazla Azure Veri merkezilerinde barınacaktır.

Sahip olduğunuz verinin önemi ve kuruluş beklentilerini karşılamak için dört farklı seçenek bulunmaktadır.

• Locally redundant storage
• Zone-redundant storage
• Geo-redundant storage
• Read-access geo-redundant storage

Azure Data Redundancy çözümü yedek alma çözümünden sonra plana dahil edilecek olan ve veriye her zaman her koşulda erişmeyi mümkün kılan bir çözümdür.

Azure geo redundant storage

Bu dört farklı Azure Data Redundancy çözümü ile aynı veri merkezi içinde farklı bölgelerde farklı sunucu parklarında aynı verinin birden fazla kopyasını barındırabilir ve çalıştırabilirsiniz. İş ihtiyaçlarınıza bağlı olarak farklı fiziksel bölgelerde farklı Azure Veri merkezlerinde bir verinin birden fazla kopyasını saklayabilirsiniz.

8.7 Azure Data Destruction (Veri İmha)

Azure Veri merkezlerinde barınan bir veri sonsuza kadar burada kalmayacaktır. Verileri sildiğiniz zaman yada Azure hizmetinden ayrıldığınızda Microsoft verilerinizi imha etmektedir ve Veri imha işlemleri için NIST Special Publication 800-88 yönergeleri takip edilmektedir.

NIST 800-88 principles

Bu yönergeler aynı zaman da Azure Veri merkezi içinde barınan ve artık kullanılmayacak olan fiziksel depolama birimleri içinde uygulanmaktadır.

Azure Veri merkezi içinde bulunan bir depolama birimi yaşam süresi bittiği zaman yada artık kullanılmayacak bir hataya sahip olduğu zaman yada veri barındırmak için bir risk görüldüğü zaman NIST 800-88 prosedürüne uygun şekilde imha edilir.