Azure’da Veri Güvenliği
Şifreleme, düz metin verilerinin (düz metin) rasgele ve anlamsız görünen bir şeye (şifreleme metni) çevrilmesi işlemidir. Şifre çözme, şifreli metni tekrar düz metin haline dönüştürme işlemidir. Az miktarda veriyi şifrelemek için simetrik şifreleme kullanılır. Simetrik bir anahtar, hem şifreleme hem de şifre çözme işlemi sırasında kullanılır. Belirli bir şifreleme metninin şifresini çözmek için, verileri şifrelemek için kullanılan anahtar kullanılmalıdır. Her şifreleme algoritmasının amacı, anahtarı kullanmadan üretilen şifreli metnin şifresini çözmeyi olabildiğince zorlaştırmaktır. Eğer gerçekten iyi bir şifreleme algoritması kullanılıyorsa, olası her bir anahtarı denemekten önemli ölçüde daha iyi bir teknik yoktur. Bu tür bir algoritma için, anahtar ne kadar uzunsa, o anahtara sahip olmadan bir şifreleme metninin şifresini çözmek o kadar zor olur. Bir şifreleme algoritmasının kalitesini belirlemek zordur. Umut verici görünen algoritmalar bazen uygun saldırı göz önüne alındığında kolayca kırılabilmektedir. Bir şifreleme algoritması seçerken, birkaç yıldır kullanımda olan ve tüm saldırılara başarılı bir şekilde direnç gösteren birini seçmek iyi bir fikirdir.
Encryption at rest, kalıcı olduğunda verinin kodlanmasıdır (şifreleme). Diskte var olan verilerin gizli bir şifreleme anahtarıyla şifrelenmesi yaygın bir güvenlik gereksinimidir. Encryption at rest, depolanan veriler (at rest) için veri koruması sağlar. (At Rest) verilere karşı yapılan saldırılar arasında, verilerin depolandığı donanıma fiziksel erişim sağlama ve sonra da içerdiği verileri tehlikeye atma girişimleri bulunmaktadır. Bu tür bir saldırıda, bir sunucunun sabit diski bakım sırasında yanlış kullanılmış ve bir saldırganın sabit sürücüyü çıkarmasına izin vermiş olabilir. Daha sonra, saldırgan verilere erişmeyi denemek için sabit sürücüyü kontrolleri altındaki bir bilgisayara koyar. Encryption at rest , saldırganın diskteki verilerin şifrelenmesini sağlayarak şifrelenmemiş verilere erişmesini engellemek için tasarlanmıştır. Bir saldırgan, şifreli veri içeren bir sabit disk elde ederse ancak şifreleme anahtarlarına erişemiyorsa, saldırgan veriyi büyük zorluk çekmeden tehlikeye atmaz. Böyle bir senaryoda, saldırganın bir sabit sürücüdeki şifrelenmemiş verilere erişmekten çok daha karmaşık ve kaynak tüketen şifreli verilere yönelik saldırıları denemesi gerekir. Bu nedenle,
Encryption at rest şiddetle tavsiye edilir ve birçok kuruluş için yüksek öncelikli bir gereksinimdir. Encryption at rest , bir kuruluşun veri yönetişimi ve uyum çabalarına duyduğu ihtiyaç için de gerekli olabilir. HIPAA, PCI DSS ve Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP) gibi endüstri ve devlet düzenlemeleri, veri koruma ve şifreleme gereklilikleri ile ilgili özel korumalar sunmaktadır. Encryption at rest , bu düzenlemelerin bazılarına uyum için gerekli olan zorunlu bir önlemdir. Uyumluluk ve düzenleyici gereklilikleri yerine getirmenin yanı sıra, Encryption at rest derinlemesine savunma platformu özelliği olarak algılanmalıdır.
Microsoft Azure’da, kuruluşlar uygulama ve yönetim maliyeti ve özel bir anahtar yönetim çözümü riski olmadan
Encryption at rest sağlayabilir. Microsoft, hizmetler, uygulamalar, veriler, kapsamlı tesis ve fiziksel güvenlik geliştirme, veri erişim kontrolü ve denetim için uyumlu bir platform sunarken, diğer güvenlik önlemlerinden birinin başarısız olması durumunda ek örtüşen güvenlik önlemleri sağlamak önemlidir. Encryption at rest , böyle ek bir savunma mekanizması sağlar. Azure’daki at rest tasarımlarındaki şifreleme, basit bir kavramsal modele göre hızlı bir şekilde büyük miktarda veriyi şifrelemek ve şifresini çözmek için simetrik şifreleme kullanır:
- Simetrik bir şifreleme anahtarı, verileri depolamaya yazıldıkça şifrelemek için kullanılır.
- Aynı şifreleme anahtarı, bu verilerin bellekte kullanım için hazır olduğu gibi şifresini çözmek için kullanılır.
- Veriler bölümlendirilebilir ve her bölüm için farklı anahtarlar kullanılabilir.
- Anahtarlar, belirli kimliklere erişimi sınırlayan ve anahtar kullanım günlüğünü kısıtlayan erişim kontrol politikaları ile güvenliği geliştirilmiş bir konumda saklanmalıdır. Veri şifreleme anahtarları genellikle erişimi daha da sınırlandırmak için asimetrik şifreleme ile şifrelenir.
Tüm Azure Depolama hizmetleri (Blob depolama, Kuyruk depolama, Tablo depolama ve Azure Dosyaları)
Encryption at rest, Depolama Hizmeti Şifrelemesi, tüm yeni ve mevcut depolama hesapları için etkindir ve devre dışı bırakılamaz. Verileriniz güvenlik açısından varsayılan olarak geliştirilmiş olduğundan, Depolama Hizmeti Şifrelemesi’nden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez.
Azure SQL Veritabanı, Microsoft tarafından yönetilen sunucu tarafı ve istemci tarafı şifreleme senaryoları için
Encryption at rest destekler. Sunucu şifreleme desteği şu anda Şeffaf Veri Şifreleme (TDE) adlı birleşik SQL özelliği aracılığıyla sağlanmaktadır. Bir Azure SQL Veritabanı müşterisi TDE’yi etkinleştirdiğinde, anahtarlar onlar için otomatik olarak oluşturulur ve yönetilir. Encryption at rest veritabanı ve sunucu seviyesinde etkinleştirilebilir. TDE, yeni oluşturulan veritabanlarında varsayılan olarak etkindir. Azure SQL Veritabanı ayrıca, Azure Key Vault’da (Anahtar Kasası) RSA 2048 bit müşteri tarafından yönetilen anahtarları da destekler.
Cosmos DB, birincil veritabanlarını yarı iletken sürücülerde (SSD’ler) depolar. Medya ekleri ve yedekleri, genellikle sabit disk sürücüleri (HDD’ler) tarafından desteklenen Azure Blob deposunda saklanır. Cosmos DB, tüm veritabanlarını, ortam eklerini ve yedekleri otomatik olarak şifreler.