Windows Azure Barındırma Ortamının Güvenliği
Windows Azure platform ortamı bilgisayarlar, işletim sistemleri, uygulamalar ve hizmetler, ağlar, işlemler ve izleme ekipmanları ve özel donanımlardan ve bunların yanı sıra hizmetleri işletmek için gereken yönetim ve operasyon personelinde oluşmaktadır. Bu ortam ayrıca, hizmetleri barındıran fiziksel operasyon merkezlerini de içermektedir ve bunlar da, kötü amaçlı yazılım ve kaza sonucu oluşan hasarlara karşı korunmalıdır.
Temel Mimari Tasarım Noktaları
Windows Azure platformu, herhangi bir güvenlik mekanizmasında çıkan bir sorunun tüm ortamın güvenliğini tehlikeye atması riskini azaltan “Derinlemesine Savunma” sağlamak için tasarlanmıştır. Derinlemesine Savunma katmanları aşağıdakileri içermektedir:
- Filtreleme Yönlendiricileri: Filtreleme yönlendiricileri, adresler ve portlar arasında izin verildiği şekilde yapılandırılmamış iletişim kurma denemelerini reddeder. Bu, güvenlik açığı bulunan sunucuları arayan, “drones” veya “zombies” kullanan genel saldırıları önlemeye yardımcı olur. Engellemesi görece daha kolay olsa da bu tür saldırılar, güvenlik açığı arayan kötü amaçlı kişilerin en sık kullandığı yöntemdir. Filtreleme yönlendiricileri ayrıca arka uç hizmetlerini sadece ilgili ön uçlardan erişilebilir olacak şekilde yapılandırmayı da desteklemektedir.
- Güvenlik Duvarları: Güvenlik duvarları, bilinen ve yetkilendirilen portlar, protokoller ve hedef (ve kaynak) IP adresleriyle veri iletişimini kısıtlar.
- Mesajların Şifreli Korunması: Windows Azure veri merkezleri ve belirli bir veri merkezi içinde kümeler arasında gönderilen kontrol mesajlarını korumak için en az 128 bit şifreli anahtarlı TLS kullanılmaktadır. Müşteriler son kullanıcılar ve müşteri VM’leri arasındaki trafik için şifrelemeyi etkinleştirebilirler.
- Yazılım Güvenlik Düzeltme Eki Yönetimi: Güvenlik düzeltme eki yönetimi, sistemleri bilinmeyen güvenlik açıklarına karşı korumaya yardımcı olma işleminin ayrılmaz bir parçasıdır. Windows Azure platformu, Microsoft yazılımları için güvenlik düzeltme eklerinin dağıtımını ve kurulumunu yönetmek için tümleşik dağıtım sistemleri kullanmaktadır.
- İzleme: Güvenlik, ortamdaki cihazların ürettiği büyük miktarda bilgiyi yöneten ve anlamlı ve zamanında izleme ve uyarı sağlayan merkezi izleme, bağıntı ve analiz sistemlerinin yardımıyla izlenir.
- Ağın Segmentlere Ayrılması: Microsoft, veri merkezleri içinde ve veri merkezleriyle temel birleşim noktalarında izinsiz trafiğe karşı engeller oluşturmak amacıyla, güvenlik duvarları, Ağ Adresi Çevirisi kutuları (yük dengeleyiciler) ve filtreleme yönlendiricileri gibi birçok farklı teknoloji kullanmaktadır. Arka uç ağ, web ve uygulama sunucuları, veri depolama ve merkezi yönetim için bölümlenmiş Yerel Alan Ağlarından oluşmaktadır. Bu sunucular filtreleme yönlendiricileri tarafından korunan özel adres segmentleri halinde gruplanır.
Fiziksel Güvenlik
Fiziksel güvenlik, yazılım tabanlı güvenlik önlemleriyle birlikte uygulanır ve her ikisi için de benzer risk değerlendirme ve risk hafifletme prosedürleri geçerlidir.
Windows Azure platformu hizmetleri, her biri 7 x 24 çalışmak üzere tasarlanmış olan ve güç kesintisi, fiziksel yetkisiz giriş ve ağ kesintilerine karşı işlemleri korumak amacıyla farklı önlemler uygulayan bir global veri merkezleri ağı üzerinden müşterilere sağlanır. Bu veri merkezleri, fiziksel güvenlik ve güvenilirlik için yürürlükteki sektör standartlarıyla uyumludur, Microsoft operasyon personeli tarafından yönetilir ve izlenir ve coğrafi olarak dağınıktır.
Microsoft, yönetici erişim şifrelerini düzenli olarak değiştirmesi zorunlu olan az sayıda operasyon personeli ile sınırlanmış yüksek düzeyde güvenli erişim mekanizmaları kullanmaktadır. Veri merkezi erişimi ve veri merkezi erişim anahtarı açma yetkisi yerel veri merkezi güvenliği uygulamalarıyla birlikte ağ operasyon yöneticisi tarafından kontrol edilir.