Azure Depolamada Kullanımda Olmayan Veri Şifrelemesinin Uygulanması

03/01/2025

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Azure Depolama'da kullanımda olmayan veri şifrelemeyi uygulama ve yapılandırma konusunda rehberlik etmeyi amaçlamaktadır. Saklanan verilerin korunması temel bir güvenlik önlemidir. Azure Depolama, Microsoft Yönetilen Anahtarlar (MMK) ile varsayılan olarak güçlü şifreleme sunar ve daha fazla denetim için Müşteri Tarafından Yönetilen Anahtarların (CMK) Azure Key Vault aracılığıyla kullanılmasına olanak tanır [1].

Giriş

Beklemedeki verilerin şifrelenmesi, saklanan verilerin yetkisiz erişime karşı korunmasını sağlar. Azure'da, Azure Depolama'daki tüm veriler varsayılan olarak şifrelenir [2]. Uyumluluk gereksinimlerinin sıkı olduğu kuruluşlar için CMK'nin kullanılması önemlidir çünkü şifreleme anahtarlarının yaşam döngüsü (oluşturma, döndürme ve iptal etme) üzerinde tam kontrol sağlar.

Bu kılavuz, müşteri tarafından yönetilen anahtarların uygulanmasına ve doğrulanmasına odaklanarak her iki şifreleme modelinin yapılandırmasını kapsayacaktır.

Kullanımda Olmayan Verilerin Şifrelenmesi Neden Önemlidir?

• Yetkisiz Erişime Karşı Koruma: Verilerin şifre çözme anahtarı olmadan okunamamasını sağlar.
• Yasal Uyumluluk: LGPD, GDPR, HIPAA vb. düzenlemelerin karşılanmasına yardımcı olur.
• Anahtar Kontrolü: CMK ile kuruluşlar, şifreleme anahtarları üzerinde tam kontrol sahibi olur.

Önkoşullar

1. Etkin Azure Aboneliği.
2. Yönetim Erişimi: Depolama Hesaplarını ve Anahtar Kasalarını yönetme izinleri.
3. Mevcut Azure Depolama Hesabı (StorageV2 tercih edilir).
4. CMK'leri depolamak için Azure Key Vault.

Adım Adım: Şifrelemeyi Yapılandırma

1. Microsoft Yönetilen Anahtarlarla Şifreleme (Varsayılan)

Bu varsayılan ve otomatik ayardır. Kontrol etmek için:

1. Azure portalında Depolama Hesabınıza gidin.
2. 'Güvenlik + Ağ' altında Şifreleme'yi seçin.
3. Varsayılan "Şifreleme Türü"nün "Microsoft Tarafından Yönetilen Anahtarlar" olduğunu doğrulayın.

2. Müşteri Tarafından Yönetilen Anahtarlar (CMK) ile Şifrelemenin Uygulanması

2.1. Azure Key Vault ve Anahtarı Oluşturun

1. Yeni bir Azure Key Vault oluşturun. Önemli: oluşturma sırasında Tasfiye Korumasını etkinleştirin.
2. Key Vault'un içinde Anahtarlar'a gidin ve yeni bir anahtar (ör. "storage-cmk-key") oluşturmak için Oluştur/İçe Aktar'ı tıklayın.

2.2. Depolama Hesabı Erişimini Yapılandırma

1. Depolama Hesabınıza gidin.
2. Şifreleme'ye gidin ve "Şifreleme Türü"nü "Müşteri Tarafından Yönetilen Anahtarlar" olarak değiştirin.
3. Key Vault'tan bir anahtar kullanma seçeneğini seçin. Bunu yaptığınızda Azure, depolama hesabı için yönetilen kimlik oluşturmanızı ister. İzin vermek.
4. Şimdi Anahtar Kasanıza geri dönün ve Erişim İlkeleri'ne gidin.
5. Yeni bir erişim ilkesi oluşturun. 'Al', 'Anahtarı Sar' ve 'Anahtarı Aç' anahtar izinlerini verin.
6. "Güvenlik Sorumlusu" adımında, depolama hesabınız için yönetilen kimliği arayın ve seçin.
7. Erişim ilkesini kaydedin.

2.3. Depolama Hesabını CMK Kullanacak Şekilde Yapılandırma

1. Depolama hesabınızın Şifreleme sayfasına dönün.
2. Key Vault'u ve oluşturduğunuz anahtarı seçin.
3. Değişiklikleri kaydedin. Artık hesabınızda kayıtlı tüm veriler anahtarınız ile şifrelenecektir.

Doğrulama ve Test Etme

1. Veri Erişimini Test Etme

CMK'yi yapılandırdıktan sonra bir dosya yükleyin ve indirin. Operasyon şeffaf olmalıdır.

``` bash

Bir test dosyası yükle

az depolama blob yüklemesi --hesap-adı -c -n "test.txt" -f "yerel/yol/to/test.txt" --auth-mode oturum açma

Test dosyasını indirin

az depolama blob download --account-name -c -n "test.txt" -f "local/path/to/downloaded.txt" --auth-mode oturum açma ''''

2. Anahtar Erişimi İptalinin Test Edilmesi

Bu CMK için en kritik testtir.

1. Anahtar Kasanızda, kullanılan anahtara gidin.
2. Geçerli anahtar sürümüne tıklayın ve Etkin ayarını Hayır olarak değiştirin.
3. Birkaç dakika bekleyin.
4. Depolama hesabınızdaki verilere erişmeyi deneyin (örneğin, blobu yeniden indirmeyi deneyin).
5. Beklenen Sonuç: İşlem, erişim reddedildi hatasıyla (403 Forb) başarısız olmalıdır.idden), veri erişimi üzerinde tam kontrole sahip olduğunuzu kanıtlar.
6. Erişimi geri yüklemek için anahtarı yeniden etkinleştirmeyi unutmayın.

Anahtar Döndürme

Anahtar rotasyonu önemli bir güvenlik uygulamasıdır. CMK ile iki seçeneğiniz vardır:

• Manuel Döndürme: Key Vault'ta anahtarın yeni bir sürümünü oluşturun ve depolama hesabındaki şifreleme yapılandırmasını yeni sürümü işaret edecek şekilde güncelleyin.
• OtoRotasyon: Depolama hesabında CMK'yi yapılandırırken bir anahtar sürümü belirtmeyin. Depolama hesabı Key Vault'u düzenli aralıklarla kontrol edecek ve anahtarın [3] en son sürümünü otomatik olarak kullanacaktır.

En İyi Uygulamalar

• Anahtarlarınızı yanlışlıkla veya kötü niyetli silinmeye karşı korumak için Anahtar Kasanızda Silme Korumasını ve Yazılımla Silme'yi etkinleştirin.
• Depolama hesabının Key Vault'a erişmesine izin vermek için Yönetilen Kimlikleri kullanın. Diğer yöntemleri kullanmaktan daha güvenlidir.
• Key Vault Etkinliğini İzleyin: Anahtarlarınıza kimin, ne zaman eriştiğini denetlemek için Key Vault tanılama günlüklerini kullanın.
• Güvenli Aktarım Gerektir (HTTPS): Depolama hesabınızı ayarlarken, aktarılan verileri şifrelemek için her zaman güvenli aktarımı zorunlu kılın.

Sonuç

Azure Depolama'da bekleyen verileri şifrelemek temel bir savunma katmanıdır. Microsoft tarafından yönetilen anahtarlar varsayılan olarak sıfır çabayla güvenlik sağlarken, müşteri tarafından yönetilen anahtarlar (CMK), birçok kuruluşun sıkı güvenlik ve uyumluluk gereksinimlerini karşılamak için ihtiyaç duyduğu kontrol ve güvence düzeyini sağlar. CMK uygulamasına ve yönetimine hakim olarak verilerinizin korunmasını ve kontrolünüz altında kalmasını sağlarsınız.

Referanslar

[1] Microsoft. (2023). Azure Depolama şifrelemesine genel bakış. [2] Microsoft. (2023). Kullanılmayan veriler için Azure Depolama Hizmeti şifrelemesi. [3] Microsoft. (2023). Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar.