Azure SQL Database ve On-premises SQL Server İçin SQL Information Protection

Veritabanlarınızdaki hassas verilerin keşfedilmesi, sınıflandırılması, etiketlenmesi ve korunması için SQL Information Protection’ın genel önizlemesini, Azure SQL Veritabanı içine yerleştirilmiş gelişmiş yetenekleri ile kullanıma sunulmuştur. SQL Server Management Studio ile şirket içi SQL Server için benzer özellikler de tanıtılmaktadır.

İş, finans, sağlık hizmetleri ve kişisel bilgiler dahil olmak üzere en hassas verilerinizi keşfetmek ve sınıflandırmak, kurumsal bilgi koruma boyutunuzda önemli bir rol oynayabilir. Aşağıdakiler için altyapı olarak kullanılabilirsiniz:

  • Veri gizliliği standartlarını ve GDPR gibi yasal uyumluluk gereksinimlerini karşılamaya yardımcı olmak.
  • İzleme (denetim) ve hassas verilere anormal erişim hakkında uyarı gibi veri merkezli güvenlik senaryoları.
  • Son derece hassas veriler içeren veritabanlarının güvenliğini ve erişimini kontrol etmek.

SQL Information Protection Nedir?

SQL Bilgi Koruması (SQL IP), yalnızca veritabanında değil, verilerin korunmasını amaçlayan SQL’de yeni bir bilgi koruma paradigması oluşturan bir dizi gelişmiş hizmet ve yeni SQL yeteneği sunar:

  • Keşif ve öneriler – Sınıflandırma motoru veritabanınızı tarar ve olası hassas verileri içeren sütunları tanımlar. Daha sonra, uygun sınıflandırma önerilerini Azure portalı üzerinden gözden geçirip uygulamak için kolay bir yol sağlar.
  • Etiketleme – Hassasiyet sınıflandırma etiketleri, SQL motoruna eklenen yeni sınıflandırma meta veri nitelikleri kullanılarak sütunlarda kalıcı olarak etiketlenebilir. Bu meta veriler daha sonra gelişmiş duyarlılık tabanlı denetim ve koruma senaryoları için kullanılabilir.
  • İzleme / Denetleme – Sorgu sonuç kümesinin duyarlılığı gerçek zamanlı olarak hesaplanır ve hassas verilere erişimi denetlemek için kullanılır (şu anda yalnızca Azure SQL DB’de).
  • Görünürlük – Veritabanı sınıflandırma durumu, portaldaki ayrıntılı bir gösterge panosunda görüntülenebilir. Ek olarak, Excel formatındaki bir raporu, uyumluluk ve denetim amaçları ile diğer ihtiyaçlar için kullanmak üzere indirebilirsiniz.

Ek SQL IP özellikleri 2018 boyunca yayına devam edecektir.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Beklenmeyen Değişiklikleri Önlemek İçin Azure Kaynaklarını Kilitleme

Bir yönetici olarak, kuruluşunuzdaki diğer kullanıcıların yanlışlıkla kritik kaynakları silmesini veya değiştirmesini önlemek için bir aboneliği, kaynak grubunu veya kaynağı kilitlemeniz gerekebilir. Kilit seviyesini CanNotDelete veya ReadOnly olarak ayarlayabilirsiniz. Portalda, kilitler sırasıyla Sil ve Salt okunur olarak adlandırılır.

  • CanNotDelete, yetkili kullanıcıların bir kaynağı okuyup değiştirebileceği anlamına gelir, ancak kaynağı silemezler.
  • ReadOnly, yetkili kullanıcıların bir kaynağı okuyabileceği anlamına gelir, ancak kaynağı silemez veya güncelleyemez. Bu kilidi uygulamak, tüm yetkili kullanıcıları Reader rolü tarafından verilen izinlere kısıtlamaya benzer.

Bir ana kapsamda bir kilit uygulandığında, bu kapsamdaki tüm kaynaklar aynı kilidi devralır. Eklediğiniz kaynaklar bile daha sonra kilidi ana öğeden devralır. Mirastaki en kısıtlayıcı kilit öncelik kazanır.

Rol tabanlı erişim denetiminin aksine, tüm kullanıcılar ve roller arasında bir kısıtlama uygulamak için yönetim kilitlerini kullanabilirsiniz. Kaynak Yöneticisi kilitleri, yalnızca yönetim düzleminde gerçekleşen ve https://management.azure.com adresine gönderilen işlemlerden oluşan işlemler için geçerlidir. Kilitler, kaynakların kendi işlevlerini nasıl yerine getirdiğini kısıtlamaz. Kaynak değişiklikleri kısıtlıdır, ancak kaynak işlemleri kısıtlanmamıştır. Örneğin, bir SQL veritabanındaki bir ReadOnly kilidi, veritabanını silmenizi veya değiştirmenizi önler, ancak veritabanındaki verileri oluşturmanızı, güncelleştirmenizi veya silmenizi engellemez. Veri işlemlerine izin verilir, çünkü bu işlemler https://management.azure.com adresine gönderilmez.

ReadOnly’yi uygulamak beklenmedik sonuçlara yol açabilir, çünkü okuma işlemleri gibi görünen bazı işlemler aslında ek eylemler gerektirir. Örneğin, bir depolama hesabına bir ReadOnly kilidi yerleştirmek, tüm kullanıcıların anahtarları listelemesini engeller. Liste tuşları işlemi, bir POST isteği ile işlenir, çünkü döndürülen tuşlar yazma işlemleri için kullanılabilir. Başka bir örnek için, bir Uygulama Hizmeti kaynağına bir ReadOnly kilidi yerleştirmek, Visual Studio Server Explorer’ın kaynak için dosyaları görüntülemesini engeller, çünkü bu etkileşim yazma erişimi gerektirir.

Yönetim kilitleri oluşturmak veya silmek için Microsoft.Authorization / * veya Microsoft.Authorization / lock / * eylemlerine erişebilmeniz gerekir. Yerleşik rollerden sadece Owner ve User Access Administrator bu eylemlere izin verilir.

  • Kilitlemek istediğiniz kaynak, kaynak grubu veya abonelik için Ayarlar bölümünden, Lock’ı seçin.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure Information Protection Nedir?

Azure Information Protection, bir organizasyonun belgelerini ve e-postalarını sınıflandırmasına, etiketlemesine ve korumasına yardımcı olan bulut tabanlı bir çözümdür. Bu, kuralları ve koşulları, kullanıcıların elle tanımlayan yöneticileri veya kullanıcılara önerileri verilen bir kombinasyon tarafından otomatik olarak yapılabilir.

Aşağıdaki resim, Azure Information Protection’ın bir örneğini göstermektedir. Yönetici, hassas verileri (bu durumda, kredi kartı bilgileri) algılayan kuralları yapılandırmıştır. Bir kullanıcı, kredi kartı bilgilerini içeren bir Word belgesi kaydederse, yönetici tarafından yapılandırılmış belirli bir etiketi uygulayacağını öneren özel bir ipucu görür. Bu etiket, yapılandırmaya bağlı olarak sınıflandırır ve isteğe bağlı olarak belgeyi korur.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure DDoS Koruma Standardına Genel Bakış

Distributed denial of service (DDoS) saldırıları, müşterilerin uygulamalarını buluta taşıyan en büyük kullanılabilirlik ve güvenlik kaygılarından biridir. DDoS saldırısı, bir uygulamanın kaynaklarını tüketmeye çalışır; bu da, uygulamanın meşru kullanıcılar tarafından kullanılamamasına neden olur. DDoS saldırıları, Internet üzerinden herkese açık olarak erişilebilen herhangi bir son noktayı hedef alabilir.

Azure DDoS Protection, uygulama tasarımı en iyi uygulamaları ile birlikte DDoS saldırılarına karşı savunma sağlar. Azure DDos Protection, aşağıdaki servis katmanlarını sağlamaktadır:

  • Azure DDoS Protection Basic: Azure platformunun bir parçası olarak otomatik olarak ek ücret ödemeden etkinleştirilir. Sürekli trafik denetimi ve yaygın ağ düzeyinde saldırıların gerçek zamanlı azaltımı, Microsoft’un çevrimiçi hizmetleri tarafından kullanılan aynı savunmaları sağlar. Azure’nin global ağının tüm ölçeği, bölgedeki saldırı trafiğini dağıtmak ve azaltmak için kullanılabilir. Koruma, IPv4 ve IPv6 Azure genel IP adresleri için sağlanmaktadır.
  • Azure DDoS Protection Standard: Azure Sanal Ağ kaynaklarına özel olarak ayarlanmış ek azaltma yetenekleri sağlar. Etkinleştirmek kolaydır ve uygulama değişiklikleri gerektirmez. Koruma politikaları, özel trafik izleme ve makine öğrenme algoritmaları yoluyla ayarlanır ve Azure Yük Dengeleyicisi, Azure Uygulama Ağ Geçidi ve Azure Hizmet Fabrikası örnekleri gibi sanal ağlarda konuşlandırılan kaynaklara ilişkin ortak IP adreslerine uygulanır. Gerçek zamanlı telemetri, bir saldırı sırasında ve geçmiş boyunca Azure Monitor görünümleri aracılığıyla kullanılabilir. Uygulama katmanı korumaları Application Gateway Web Application Firewall ile eklenebilir. IPv4 Azure genel IP adresleri için koruma sağlanır.

DDoS Koruma Standardının hafiflettiği DDoS saldırı türleri

DDoS Koruma Standardı, aşağıdaki saldırı türlerini hafifletebilir:

  • Volumetric attacks: Saldırının amacı, ağ katmanını, görünüşte meşru görünen miktarda trafik akın etmektir. UDP selleri, kuvvetlendirme selleri ve diğer sahte paket selleri içerir. DDoS Koruma Standardı, Azure’nin küresel ağ ölçeğini otomatik olarak kullanan bu çoklu-gigabayt saldırıları kendiliğinden hafifletir.
  • Protocol attacks: Bu saldırılar, katman 3 ve katman 4 protokol yığında bir zayıflıktan istifade ederek bir hedefi erişilemez hale getirir. SYN sel saldırıları, yansıma saldırıları ve diğer protokol saldırılarını içerir. DDoS Koruma Standardı, istemci ile etkileşim kurarak ve kötü niyetli trafiği engelleyerek, bu saldırıları zararlı ve meşru trafiği ayıran bir şekilde hafifletir.
  • Application layer attacks: Bu saldırılar, ana bilgisayarlar arasındaki verilerin iletilmesini engellemek için web uygulama paketlerini hedeflemektedir. HTTP protokol ihlali, SQL enjeksiyonu, siteler arası komut dosyası oluşturma ve diğer katman 7 saldırılarını içerir. Bu saldırılara karşı savunma sağlamak için Azure Application Gateway web uygulaması güvenlik duvarını DDoS Protection Standard ile kullanın.

DDoS Koruma Standardı, sanal makineler, yük dengeleyiciler ve uygulama ağ geçitleri ile ilişkili ortak IP adresleri de dahil olmak üzere sanal bir ağdaki kaynakları korur. Application Gateway web uygulaması güvenlik duvarıyla birleştiğinde, DDoS Protection Standard tam katman 3 ila katman 7 azaltma yeteneği sağlar.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure Right Management Nedir?

Azure Rights Management (Azure RMS), Azure Information Protection tarafından kullanılan koruma teknolojisidir.

Bu bulut tabanlı hizmet, dosyalarınızın ve e-postanızın güvenliğini sağlamak için şifreleme, kimlik ve yetkilendirme politikaları kullanır. Telefonlar, tabletler ve PC’ler gibi birden fazla cihazda çalışır. Bilgiler, organizasyonunuzun sınırları dışına çıksalar bile, verilerinizle kalır, çünkü hem organizasyonunuzda hem de kuruluşunuzun dışında bilgiler korunabilir.

Örneğin, çalışanlar bir belgeyi bir ortak şirkete e-postayla gönderebilir veya bir belgeyi bulut sürücüsüne kaydedebilir. Azure RMS’in sağladığı kalıcı koruma yalnızca şirket verilerinizi güvence altına almakla kalmaz, aynı zamanda uyumluluk, yasal keşif gereksinimleri veya yalnızca iyi bilgi yönetimi uygulamaları için yasal olarak zorunlu kılınabilir.

Fakat çok önemli, yetkili kişiler ve hizmetler (arama ve dizin oluşturma gibi) Azure RMS’in koruyacağı verileri okumaya ve incelemeye devam edebilir. Bu yetenek, peer-to-peer şifreleme kullanan diğer bilgi koruma çözümleri ile kolayca gerçekleştirilemez. Bu yeteneği “veriler üzerinde düşünme” olarak adlandırdığınızı duymuş olabilirsiniz ve bu, kuruluşunuzun verilerini denetlemenin önemli bir unsurudur.

Aşağıdaki resim, Azure RMS’in Office 365 için bir RMS çözümü olarak nasıl çalıştığını ve kurum içi sunucular ve hizmetler için nasıl çalıştığını göstermektedir. Ayrıca, Azure RMS’in Windows, Mac OS, iOS, Android ve Windows Phone’ı çalıştıran son kullanıcı cihazlarını desteklediğini de görüyorsunuz.

Azure RMS korumasını farklı bulut abonelikleriyle kullanabilirsiniz ve birden çok özelliği desteklemektedir.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure Güvenlik Merkezi’ndeki İzinler

Azure Güvenlik Merkezi (Azure Security Center), Azure’daki kullanıcılara, gruplara ve hizmetlere atanabilen yerleşik roller sağlayan Rol Tabanlı Erişim Kontrolü’nü (RBAC) kullanır.

Güvenlik Merkezi, güvenlik konularını ve güvenlik açıklarını tanımlamak için kaynaklarınızın yapılandırmasını değerlendirir. Güvenlik Merkezinde, bir kaynağın ait olduğu abonelik veya kaynak grubu için Owner, Contributor veya Reader rolü atandığında yalnızca bir kaynakla ilgili bilgileri görürsünüz.

Bu rollerin yanı sıra, iki özel Güvenlik Merkezi rolü vardır:

  • Security Reader: Bu role ait bir kullanıcı Güvenlik Merkezi için görüntüleme haklarına sahiptir. Kullanıcı öneriler, uyarılar, güvenlik ilkesi ve güvenlik durumlarını görüntüleyebilir, ancak değişiklik yapamaz.
  • Security Administrator: Bu role ait bir Kullanıcı, security reader ile aynı haklara sahiptir ve ayrıca güvenlik ilkesini güncelleyebilir ve uyarıları , önerileri kapatabilir.

Güvenlik rolleri, Security Reader ve Security Administrator, yalnızca Güvenlik Merkezi’nde erişime sahiptir. Güvenlik rolleri, Azure’nin Depolama Alanı, Web ve Mobil veya Şeylerin Internet’i gibi diğer hizmet alanlarına erişemez.

Roller ve İzin Verilen Eylemler

Aşağıdaki tabloda, Güvenlik Merkezi’ndeki roller ve izin verilen eylemler gösterilmektedir. Bir X, eylemin bu rol için izinli olduğunu gösterir.

Rol Güvenlik ilkesini düzenleme Bir kaynak için güvenlik önerileri uygulama Uyarıları ve önerileri kapatma
Subscription Owner X X X
Subscription Contributor X X X
Resource Group Owner X
Resource Group Contributor X
Reader
Security Administrator X X
Security Reader

 

Kullanıcıların görevlerini tamamlamaları için gereken en az izin verilen rolü atamanızı önerilmektedir. Örneğin, Reader rolünü yalnızca bir kaynağın güvenlik sağlığı hakkında bilgi görüntülemek isteyen, ancak önerileri uygulama veya ilkeleri düzenleme gibi işlem yapmayacak kullanıcılara atayabilirsiniz.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure Network Security

Azure’de güvenlik, her aşamada tasarım, kod geliştirme, izleme, operasyonlar, tehdit istihbaratı ve müdahale konularında inşa edilmiştir. Bulutun genişliğinin ve ölçeğinin güvenlik teknolojisine ve birkaç organizasyonun sağlayabileceği süreçlere derin bir bağlılık gerektirdiği bilinmektedir. On yıllarca süren kurumsal yazılım geliştirme ve Microsoft Azure, Bing, Dynamics 365, Office 365, OneDrive ve Xbox Live gibi dünyanın en büyük çevrimiçi hizmetlerini çalıştıran Microsoft, güvenlik konusundaki benzersiz bakış açısını oluşturdu. Trilyonlarca sinyalden ve milyarlarca kaynaktan geliştirilen tehdit istihbaratını kullanan Microsoft, Microsoft Secure olarak adlandırılan kapsamlı bir yaklaşım sağlamak için güvenlik kapasitesine yıllık 1 milyardan fazla yatırım yapmaktadır.

Microosft kapsamlı operasyonel deneyimlerinizi güvenli bir platform oluşturmak için ve güvenli uygulamalar oluşturmaya yardımcı olacak hizmetler geliştirmektedir. Microsoft’un sözü, uygulamalarınızı, verilerini ve kimliklerini güvence altına almak için Azure’u kullanabileceğinizdir. Bulut hizmet sağlayıcıları arasında liderlik yapmasını sağlayan bu sözü geniş bir Azure uyum sertifikaları setiyle sunmaktadır.

Bu blogda, bir ağ perspektifinden güvenlik üzerine yoğunlaşacağım ve oldukça güvenli bulut hizmetleri oluşturmak için Azure ağ yeteneklerini nasıl kullanabileceğinizi anlatacağım. Dört ayrı alan, müşterilere nasıl güvenli bir ağ sağladığını göstermektedir:

  • Müşteri ağları için bir izolasyon sınırı sağlayan güvenli bir ağ yapısını sağlamak için Azure Sanal Ağı’dır.
  • Sanal Ağ yapılandırması ve politikaları bulut uygulamalarını korur.
  • Aktif izleme sistemleri ve araçları güvenlik doğrulamasını sağlar.
  • Dahili gelişmiş güvenlik güçlendirmesi ile altta yatan bir fiziksel ağ altyapısı, küresel ağın tamamını korur.

Bulut hizmetlerinin muazzam büyümesini desteklemek ve mükemmel bir ağ deneyimi yaşatmak için Microsoft, dünyanın en büyük dark fiber omurgalarından birine sahiptir ve veri merkezlerini ve müşterilerini birbirine bağlar. Azure’da müşterilere izole edilmiş özel ağlar sağlamak için paylaşılan fiziksel ağın üstünde mantıksal yer paylaşımı ağları çalıştırılmaktadır.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure Network Watcher – Azure için Ağ Performans İzleme ve Teşhis Hizmeti

Hiç kritik bir sorunu teşhis etme ihtiyacını hissettiniz mi ve bir sanal makineden paket verisine erişmeğe ihtiyaç duydunuz mu? Paket verilerini yalnızca birkaç tıklamayla bir sanal makinadan yakalarsanız ne olur? Ağ Güvenliği Grupları için akış verilerini günlüğe kaydetme, seçtiğiniz bir araç platformu ile bilgileri görselleştirme ve yorumlama becerisine ne dersin?

Azure Network Watcher ile artık, ağ performansınızı ve sağlığınızı anlamak için sizi bilgilendiren bir kayıt ve teşhis yeteneklerine erişebilirsiniz. Bu özelliklere Portal, PowerShell, CLI, Rest API’sı ve SDK aracılığıyla erişilebilirsiniz.

Artık dağıtımlarınızın ağ topolojisini yalnızca birkaç tıklama ile görebilirsiniz. Örneğin, aşağıdaki şekil, Azure üzerinde konuşlandırılan basit bir web uygulamasının ağ topolojisini göstermektedir. Network Watcher ile, uygulamanızın tam ağ topolojisini şimdi görselleştirebilirsiniz.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure SQL Database Tehdit Algılama Nedir?

Azure SQL Veritabanı Tehdit Algılama, Azure SQL Veritabanı hizmetinde yer alan yeni bir güvenlik zekası özelliğidir. Azure SQL Veritabanı Tehdit Tespiti, anormal veritabanı aktivitelerini öğrenmek, profillemek ve tespit etmek için günün her saatinde çalışmak suretiyle veritabanına olası tehditleri tanımlar.

Güvenlik uzmanları veya diğer belirlenmiş yöneticiler şüpheli veritabanı aktiviteleri hakkında derhal bir bildirim alabilir. Her bildirim, şüpheli etkinliğin ayrıntılarını sağlar ve tehdidi daha ayrıntılı araştırmanın ve hafifletmenin nasıl önereceğini önerir. Şu anda, Azure SQL Veritabanı Tehdit Tespiti, potansiyel güvenlik açıklarını ve SQL enjeksiyon saldırılarını ve anormal veritabanı erişim kalıplarını tespit etmektedir.

Azure SQL Veritabanı Tehdit Algılama son derece kolay etkinleştirilebilir. Azure yönetim portalında veritabanınız için Denetim ve Tehdit Algılama konfigürasyon adımlarını seçebilirsiniz. Burada Denetim ve Tehdit Algılama özelliğini açıp uyarıları almak için en az bir e-posta adresi yapılandırmalısınız.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather