Windows Azure Hataya Dayanıklılık ve Artıklık

Windows Azure platformu, hataya dayanıklı ve artıklı olacak şekilde tasarlanmıştır ve müşterilere hataya dayanıklı uygulamalar oluşturma ve dağıtma olanağı verir. Coğrafi olarak dağınık veri merkezi dağıtımlarından, çoğaltılmış rol örnekleri ve depolamaya kadar hizmetin birçok yönü, hataya dayanıklılık ve artıklık sağlamaktadır. Bu önlemlere rağmen Windows Azure platformu tamamıyla hataya dayanıklılık garanti etmemektedir ve Windows Azure platformunu kullanan geliştiriciler uygun durumlarda ek koruma kullanmalıdır.

Hizmet Artıklığı

Windows Azure platform altyapısının her bir katmanı, arıza durumunda çalışmaya devam edecek şekilde tasarlanmıştır ve her bir katmanda artıklı ağ cihazları ve her bir veri merkezinde ikili Internet hizmet sağlayıcıları içermektedir. Yük devretme çoğu durumda otomatiktir (insan müdahalesi gerektirmez) ve her türlü anormallik veya potansiyel ağ sorunlarını tespit etmek için ağ, Ağ Operasyon Merkezi tarafından 7 x 24 izlenmektedir.

Veri Merkezi Artıklığı

Windows Azure platformu, dünyanın dört bir yanındaki birden fazla veri merkezinde çalışmaktadır. Tüm veri merkezini etkileyen bir arıza durumunda müşteriler, yedek konumda uygulamalarını dağıtabilirler.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Windows Azure Uygulama Düzeyinde Güvenlik

Veri merkezi, ağ ve personel güvenlik uygulamalarına ek olarak Windows Azure platformu, tüm müşteriler için güvenlik açısından gelişmiş bir deneyim sağlamak amacıyla uygulama düzeyinde de farklı güvenlik uygulamaları kullanmaktadır. Bu, hem uygulamanın geliştirilme yöntemi, hem de hizmet yöneticilerinin kullanabildiği uygulama özelliklerini içermektedir.

Güvenlik Tabanlı Uygulama Tasarımı

Yayınlanmadan önce yeni Microsoft uygulamaları ve değiştirilen mevcut Microsoft uygulamalarının, o zaman geçerli olan Güvenlik Geliştirme Yaşam Döngüleri yönetimi ve Microsoft’ta uygulanan Güvenilir Bilgi İşlem çalışmalarıyla uyumlu olup olmadığı incelenir.

İncelemeler, tehdit modelleri, kod incelemeleri ve düzeltme planlarını içermektedir. Düzeltme testi, dağıtım için Operasyona Yayınlama öncesinde gerçekleştirilir.

Müşteri tarafından sağlanan uygulamaların güvenliği, müşterinin sorumluluğundadır; ancak Windows Azure bilgi işlem, müşteri tarafından yazılan uygulamalardaki hatalardan kaynaklanabilecek zararı kısıtlamak için opsiyonel korumalı alan teknolojisi (müşteri uygulamalarını sunucu üzerinde yönetici dışındaki bir hesapta çalıştırarak ve yönetilen kodda yazılmış uygulamaları kısmi güvende çalıştırarak) ve bu tür hatalar nedeniyle altyapı ve diğer müşterilere gelebilecek zararı kısıtlamak için zorunlu korumalı alan teknolojisi (hiper yönetici tarafından uygulanan bir korumalı alan içinde bir sanal makinede uygulamaları çalıştırarak) sağlamaktadır.

Güvenlik Özellikleri

Windows Azure, müşterilere sanal makinelere sağlayarak, Windows Server’da bulunan güvenlik seçeneklerinin birçoğuna erişim olanağı vermektedir. Müşteriler yazılımlar ve yapılandırmalarındaki güncellemeleri kontrol etmek için SSL istemci sertifikaları kullanır.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Windows Azure Operasyon ve Personel Güvenliği

Hizmetlerin Tasarımı

Windows Azure platformu, Microsoft personeli müşteri verilerine günlük olarak erişmeyecek şekilde çalışmak üzere tasarlanmıştır. Sınırlı sayıda Microsoft çalışanı Windows Azure Platformu Gizlilik Bildirimi belgesinde açıklandığı gibi müşteri bilgilerine erişebilir.

Olay Yanıtlama

Windows Azure platformu hizmetleri, 7 x 24 çalışan operasyon personeline sahiptir. Olay güvenlikle ilgiliyse, bu tür bir güvenlik olayında uygulanması gereken belgeli prosedürler Operasyon personeli tarafından uygulanacaktır. Ayrıca, tam bir iletişim planı bulunmaktadır ve bu tür bir güvenlik olayında uygulanacaktır.

Denetim

Microsoft yönetim işlemleri denetlenmektedir. Hesap denetimi kılavuzu, değişiklik geçmişini belirlemek üzere görüntülenebilir.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Windows Azure Barındırma Ortamının Güvenliği

Windows Azure platform ortamı bilgisayarlar, işletim sistemleri, uygulamalar ve hizmetler, ağlar, işlemler ve izleme ekipmanları ve özel donanımlardan ve bunların yanı sıra hizmetleri işletmek için gereken yönetim ve operasyon personelinde oluşmaktadır. Bu ortam ayrıca, hizmetleri barındıran fiziksel operasyon merkezlerini de içermektedir ve bunlar da, kötü amaçlı yazılım ve kaza sonucu oluşan hasarlara karşı korunmalıdır.

Temel Mimari Tasarım Noktaları

Windows Azure platformu, herhangi bir güvenlik mekanizmasında çıkan bir sorunun tüm ortamın güvenliğini tehlikeye atması riskini azaltan “Derinlemesine Savunma” sağlamak için tasarlanmıştır. Derinlemesine Savunma katmanları aşağıdakileri içermektedir:

  • Filtreleme Yönlendiricileri: Filtreleme yönlendiricileri, adresler ve portlar arasında izin verildiği şekilde yapılandırılmamış iletişim kurma denemelerini reddeder. Bu, güvenlik açığı bulunan sunucuları arayan, “drones” veya “zombies” kullanan genel saldırıları önlemeye yardımcı olur. Engellemesi görece daha kolay olsa da bu tür saldırılar, güvenlik açığı arayan kötü amaçlı kişilerin en sık kullandığı yöntemdir. Filtreleme yönlendiricileri ayrıca arka uç hizmetlerini sadece ilgili ön uçlardan erişilebilir olacak şekilde yapılandırmayı da desteklemektedir.
  • Güvenlik Duvarları: Güvenlik duvarları, bilinen ve yetkilendirilen portlar, protokoller ve hedef (ve kaynak) IP adresleriyle veri iletişimini kısıtlar.
  • Mesajların Şifreli Korunması: Windows Azure veri merkezleri ve belirli bir veri merkezi içinde kümeler arasında gönderilen kontrol mesajlarını korumak için en az 128 bit şifreli anahtarlı TLS kullanılmaktadır. Müşteriler son kullanıcılar ve müşteri VM’leri arasındaki trafik için şifrelemeyi etkinleştirebilirler.
  • Yazılım Güvenlik Düzeltme Eki Yönetimi: Güvenlik düzeltme eki yönetimi, sistemleri bilinmeyen güvenlik açıklarına karşı korumaya yardımcı olma işleminin ayrılmaz bir parçasıdır. Windows Azure platformu, Microsoft yazılımları için güvenlik düzeltme eklerinin dağıtımını ve kurulumunu yönetmek için tümleşik dağıtım sistemleri kullanmaktadır.
  • İzleme: Güvenlik, ortamdaki cihazların ürettiği büyük miktarda bilgiyi yöneten ve anlamlı ve zamanında izleme ve uyarı sağlayan merkezi izleme, bağıntı ve analiz sistemlerinin yardımıyla izlenir.
  • Ağın Segmentlere Ayrılması: Microsoft, veri merkezleri içinde ve veri merkezleriyle temel birleşim noktalarında izinsiz trafiğe karşı engeller oluşturmak amacıyla, güvenlik duvarları, Ağ Adresi Çevirisi kutuları (yük dengeleyiciler) ve filtreleme yönlendiricileri gibi birçok farklı teknoloji kullanmaktadır. Arka uç ağ, web ve uygulama sunucuları, veri depolama ve merkezi yönetim için bölümlenmiş Yerel Alan Ağlarından oluşmaktadır. Bu sunucular filtreleme yönlendiricileri tarafından korunan özel adres segmentleri halinde gruplanır.

Fiziksel Güvenlik

Fiziksel güvenlik, yazılım tabanlı güvenlik önlemleriyle birlikte uygulanır ve her ikisi için de benzer risk değerlendirme ve risk hafifletme prosedürleri geçerlidir.

Windows Azure platformu hizmetleri, her biri 7 x 24 çalışmak üzere tasarlanmış olan ve güç kesintisi, fiziksel yetkisiz giriş ve ağ kesintilerine karşı işlemleri korumak amacıyla farklı önlemler uygulayan bir global veri merkezleri ağı üzerinden müşterilere sağlanır. Bu veri merkezleri, fiziksel güvenlik ve güvenilirlik için yürürlükteki sektör standartlarıyla uyumludur, Microsoft operasyon personeli tarafından yönetilir ve izlenir ve coğrafi olarak dağınıktır.

Microsoft, yönetici erişim şifrelerini düzenli olarak değiştirmesi zorunlu olan az sayıda operasyon personeli ile sınırlanmış yüksek düzeyde güvenli erişim mekanizmaları kullanmaktadır. Veri merkezi erişimi ve veri merkezi erişim anahtarı açma yetkisi yerel veri merkezi güvenliği uygulamalarıyla birlikte ağ operasyon yöneticisi tarafından kontrol edilir.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Windows Azure Sızma Testi

Microsoft, Windows Azure güvenlik denetimlerini ve süreçlerini iyileştirmek için düzenli olarak sızma testleri yapmaktadır. Güvenlik değerlendirmesinin de müşterilerin uygulama geliştirme ve dağıtma çalışmalarının önemli bir parçası olduğunu bilinmektedir. Bu nedenle, müşterilerin Windows Azure’de barındırılan uygulamaları üzerinde yetkili sızma testleri gerçekleştirmeleri için bir ilke belirlenmiştir. Bu tür bir test gerçek bir saldırıdan farksız olabileceğinden, müşterilerin sızma testini önceden Windows Azure Müşteri Desteği’nden onay aldıktan sonra yapmaları önemlidir. Sızma testi Windows Azure kayıt ve koşullarına uygun olarak yapılmalıdır. Sızma testi talepleri en az 7 gün önceden bildirimde bulunularak gönderilmelidir.

Daha fazla bilgi edinmek veya sızma testini başlatmak için, lütfen Sızma Testi Onay Formu‘nu indirin ve sonra Windows Azure Müşteri Desteği’ne başvurun.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Windows Azure Güvenlik

Windows Azure, Microsoft Global Foundation Services (GFS) tarafından yönetilen ve işletilen veri merkezlerinde çalışır. Coğrafi olarak dağıtılmış bulunan bu veri merkezleri, güvenlik ve güvenilirlik için ISO/IEC 27001:2005 gibi temel endüstri standartlarıyla uyumludur. Dünyanın en büyük çevrimiçi hizmetlerini 24 x 7 süreklilikle sağlama konusunda yılların deneyimine sahip Microsoft operasyon personeli tarafından yönetilir ve izlenirler.

Veri merkezi, ağ ve personel güvenlik uygulamalarına ek olarak, Windows Azure platformu, uygulama geliştiriciler ve hizmet yöneticileri için güvenliği artırmak amacıyla uygulama ve platform katmanları düzeyinde de güvenlik uygulamaları kullanmaktadır.

Bulut Güvenlik İttifakı, bulut hizmetlerinin evrimi aşamasında müşterileri desteklemek için Bulut Denetim Matrisi’ni (CCM) yayınladı. Bu yayına yanıt olarak, Microsoft, Windows Azure güvenlik denetimlerinin CCM denetim çerçevesiyle nasıl eşleştiğini göstermek için bir tanıtım belgesi oluşturarak, müşterilere Windows Azure güvenlik ilkeleri ve yordamlarıyla ilgili ayrıntılı bilgi sağladı. Daha fazla bilgi için lütfen Windows Azure Bulut Güvenliği İttifakı STAR gönderimine bakın.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather