Microsoft Azure

Microsoft Azure Key Vault Kavramı

Bu makalemizde Organizasyon ortamınızdaki Azure ortamında Sistem bilgilerinin yanı sıra  Uygulama Datalarınızın ve Sanal Makine diskinizdeki tüm bilgilerimizi güvenlik sebebiyle şifreleme işlemi gerçekleştirebiliriz. Bu sayede birisi diskimizi ele geçirirse verilerimizi ve disk sürücümüzde neler olduğunu görme imkanı pek olmaz. Genellikle varsayılan olarak Azure , Şifreleme Anahtarı sağlayarak Platform Yönetim Anahtarı ile gelmektedir. Böylece Microsoft Azure ortamındaki tüm diskler varsayılan olarak şifrelenmektedir. Ancak biz Bulut Mühendisi yada Bulut Yöneticisi olarak bu işlemleri gerçekleştirebiliriz.

Ortamınızdaki Sanal Makine disk sürücülerinin şifreleri , Parolalar , Encryption Keys yani Şifreleme Anahtarları ve Sertifikalar gibi hassas bilgilerin tek bir merkezde depolanmasını sağlayan Azure servisidir. Bu servis Azure ortamınızda Access control yani erişim kontrolü veya loglama işlemleri sağlayarak organizasyonunuza ait hassas verilerinize güvenli erişim sağlamaktadır.

Organizasyonunuzun Azure ortamında Azure Key Vault servisini ne amaçla kullanırsınız ?

  • Secure Sockets Layer ( SSL ) , Transport Layer Security ( TLS ) sertifikalarını yönetebilir ve deployment işlemlerini sağlamanıza olanak tanır.
  • Organizasyon ortamınızda kullandığınız Sertifikalar , API Anahtarları ve diğer hassas bilgilerinizi güvenli şekilde depolama sağlayabilirsiniz.
  • Hardware Security Modules yani Donanımsal Güvenlik Modülleri tarafından desteklenen bilgileri saklayabilirsiniz.

Hardware Security Modules kavramını kısaca açıklamak gerekirse ; Organizasyonunuz için Hassas Kriptografik keyleri yani anahtarları fiziksel ortamda saklamak ve kriptografik işlemleri en güvenli şekilde gerçekleştirmek için üretilmiş özel güvenlik donanımı olarka tanımlayabiliriz. Bu modüller Takılabilir Kart veya bir Fiziksel Bilgisayara yada Network Sunucusuna takılabilen external bir aygıt şeklinde de olabilmektedir.

Organizasyonunuzun Azure ortamında Azure Key Vault servisini kullanmanız size ne fayda sağlamaktadır ?

  1. Application secret yani Uygulama Sırlarınızı Depolama , Dağıtımlarınızı control işlemlerinizi Merkezileştirmenize imkan sağlamaktadır. Şehven sızdırılma olasılığını azaltmaktadır. Application Secret izleyebilir ve kontrol edebilirsiniz.
  2. Organizasyonunuz için hassas verilerinizi saklamanın yanında bu verilerinize ulaşmak istediğiniz zaman Kimlik Doğrulama ve Yetkilendirme gereksinimi oluşmaktadır. Bu gereksinim verilerinizin daha da çok güvenliğinize katman sağlamaktadır.
  3. Azure Key Vault Servisini diğer Azure Servisleri ile entegre edebilirsiniz. Bu servisleri açıklamak gerekirse ; Storage Account yani Depolama Hesabı , Container yani Kapsayıcı , Event Hubs ve daha yer veremediğimiz bir çok Azure Hizmetini entegre edebiliriz.

Azure Portalında Key Vault oluşturmak için , Azure Portalındaki arama çubuğuna ” Key Vault “ yazarız ardından “ Key vaults “ servisini seçeriz.

Azure ortamımızda herhangi bir Key Vault oluşturulmamış görünmektedir. Oluşturmak için ” Create “ seçeneğini seçerek ilerleriz yada 2. Bölgede ” Create key vault “ seçeneğini seçerek ilerleyebiliriz.

” Basic “ adımında ilk olarak Key Vault servisini kurulum yapacağımız ” Subscription “ ve ” Resource Group “ seçimini gerçekleştiririz.

” Instance details “ alanında; Oluşturucağımız ” Key vault name “ ismi yine Azure ortamınızda benzersiz olmalıdır (Azure yapınıza göre isimlendirme sağlayabilirsiniz) ” Region “ alanında Key Vault hizmetinin hangi bölgede çalışacağını seçeriz. Azure ortamınıza uygun Region  seçebilirsiniz.

” Pricing tier “ alanında ise Fiyatlandırma katmanı olarak  ” Standart “ ve ” Premium “ çeşitleri bulunmaktadır. Bunlar donanım korumalı yönetim anahtarlarıdır. Yani bir anlamda donanımın kendisi güvendedir. Yalnızca Azure’un sunduğu bir yazılım değildir. Bu alanı ” Standart ” seçili halde bırakırız. ( Kendi azure ortamınıza göre değişim sağlayabilirsiniz. )

” Recovery options “ bölümünde ;

” Soft-delete “ seçeneğinde ise ” Enabled “ durumda ise ; Azure ortamındaki CLI , Powershell gibi araçlar kullanarak kısa bir zaman dilimi olarak geçici silme ile ortamınızda yeni bir key vault oluşturabilirsiniz. ” Disabled “ durumda ise ; Key vault oluşturma özelliği , Yıl sonuna kadar tamamen kullanımdan kaldırılıyor olacaktır.

” Days to retain deleted vaults “ alanında ise oluşturacağınız vault için ” 7 İla 90 gün “ arasında seçim sağlayabilirsiniz. Bunu bir kez konfigüre ettikten sonra  tekrardan yapılandırma işlemi üzgünüm ki gerçekleştiremezsiniz.

” Purge protection “ bölümünde ise ; Key Vault Temizleme koruması olarak anılmaktadır. Bunu etkinleştirdiğinizde geri alınamaz hale gelmektedir. “ Enable “ seçeneği seçilme işlemi gerçekleştirildiğinde değiştirilme veya kaldırılma işlemi sağlanamamaktadır.

Buradaki konfigürasyonları Varsayılan halde bırakarak ilerleriz. Ardından bir sonraki adıma geçmek için ” Next : Access Policy > ” seçeneğini seçerek ilerleriz.

Bir sonraki konfigürasyon adımında ise Key Vault hizmetine kimlerin erişeceğini ve nasıl politika izleneceğini konfigüre ederiz. Bu ekranda Key Vault için Erişim Politikaları atayabilirsiniz.

” Enable Access to : “ bölümünde bulunan :

” Azure Virtual Machines for deployment ” seçeneği : Azure ortamında bulunan Sanal Makinelerin Key Vault servisinden Gizli diziler olarak depolanan sertifikaları almasına izin verilip verilmediğini belirtmektedir.

” Azure Resource Manager for template deployment “ seçeneği: Azure Resource Manager’ın Key Vault servisinden gizli dizileri almasına izin verilip verilmediğini belirmektedir.

” Azure Disk Encryption for volume encryption “ seçeneği ise ; Azure Disk Encryption’un Key Vault servisinden gizli dizileri ve anahtarları açmasına izin verilip verilmediğini belirtir.

” Permission Model “ bölümünde iki seçenek karşımıza çıkmaktadır : ” Vault access policy “ ve ” Azure Role-Based Access Control “ seçenekleri karşımıza çıkmaktadır. Varsayılan olarak seçili ” Vault access policy “ seçeneğini seçerek devam ederiz.

“ Vault Access Policy “ seçeneği Güvenlik sorumlusunun veya Application veya User Group Key Vault secret key ve sertifikaları üzerinde işlemler gerçekleştirilip , gerçekleştirilmeyeceğini belirlemektedir.

“ Azure Role-based Access Control “ seçeneği ile Tüm önemli kasalar genelinde tüm izinleri yönetmek için tek bir alan sağlamaktadır. Key Vault için Azure RBAC ayrıca tek tek anahtarlar, secret ve sertifikalar üzerinde ayrı izinlere sahip olmak için olanaklar sağlamaktadır.

” Current Access Policy “ bölümünde ise bu Key Vault erişimi sağlayacak kullanıcıları ekleyebilir ve görebilirsiniz.

Ardından bir sonraki adıma geçmek için ” Next : Networking “ seçeneğini seçeriz.

” Network Connectivity “ bölümünde ise ; oluşturacağımız Key Vault hizmetine Genel olarak Public IP Adresleri veya Service Endpoint’leri aracılığıyla veya Private Endpoint kullanarak özel olarak bağlanabilme imkanına sahip olabilirsiniz.

Bir Sonraki aşama ” Next : Tags > “ adımında ise Key vault hizmetini daha kolay bulabilmeniz için tasarlanmıştır. Tag’leme işlemi gerçekleştirmek istemiyorsanız , ” Review + create “ seçeneğini seçerek devam ederiz.

” Validation passed “ uyarısı aldığınızda Key vault oluşturmanıza sakıncamızın kalmadığının bilgisini vermek isterim. ” Create “ seçeneğini seçerek Deployment işlemlerini başlatırız.

Key vault servisi oluşturulma işlemi başlamıştır.

Deployment süreci devam etmektedir.

Deployment süreci tamamlanmıştır. Oluşturmuş olduğumuz ” Key vault “ hizmetine gitmek için ” Go to resource “ seçeneğini seçeriz.

Oluşturmuş olduğumuz Key vault hizmetinin içeriğine girerek ” Settings “ bölümünden ” Secrets “ seçeneğini seçeriz. Key Vault ortamımızda yeni bir Secret üretmek için ” Generate / Import “ seçeneğini seçeriz.

İlgili konfigürasyon ekranına geldiğimizde ;

” Upload Options “ bölümünde iki seçenek karşımıza çıkmaktadır. ” Manual “ veya ” Certificates “ seçenekleri mevcuttur. Elinizde bir sertifika mevcut değilse , ” Manual “ seçeneğini seçebilirsiniz. Sertifika bazı durumlar Güvenli sertifika gerektirdiğinden böyle bir seçenek mevcuttur.

” Name “ seçeneğinde üreteceğimiz secret’e bir isimlendirme sağlamanız gerekmektedir.

” Value “ seçeneğinde beğendiğimiz bir sayıyı verebiliriz. Şifreli halde gözüküyor olacaktır. ” 37 “ yazdım.

” Content type “ seçeneğinde ise secret içeriğindeki içeriğin türünü belirtebilirsiniz. Opsiyonel olarak isteğinize bağlıdır.

” Set activation date “ seçeneğinde Bu kaynağın ne zaman aktif hale gelebileceğini görüntüleyebilirsiniz.

” Set expiration date “ seçeneğinde bu kaynağın ne zaman süresinin dolacağını görüntüleyebilirsiniz.

Ardından işlemlemlerimiz tamamlandıysa ; ” Create “ seçeneğini seçerek Secret oluşturma işlemi sağlayabilirsiniz. 

Oluşturmak istediğimiz ” MOSecret “ adındaki secret öğemiz oluşturulmaktadır.

Oluşturma işlemi tamamlanmıştır. Artık bu Secret öğemizi istediğimiz kişiler ile paylaşabiliriz. Bu Secret erişebilmek için Key Vault oluşturma esnasında seçmiş olduğumuz politikaları kullanabilirsiniz. Bu bir şifre olabilir, Bir Veritabanı dizisi olabilir daha da fazlası Bunların dışında herşey olabilir.

Bu şekilde Key vault oluşturarak kritik bilgilerimizi , Sertifikalarımızı ve Secret’lerimizi depolayabilir , Yönetebilir ve Azure ortamında dağıtabilirsiniz. Ortamınızda bununla alakalı erişime ihtiyaç kalmadığında kaldırmak istediğiniz kullanıcının politikalarını kaldırabilirsiniz. Azure Key Vault , Gizli şeylerinizi tutmak için güzel bir yoldur.

Makalemi zaman ayırıp okuduğunuz için çok teşekkür ederim. Diğer makalelerimde görüşmek üzere.

Faydalı olması Dileğiyle.

Özdemir Mustafa

21 Temmuz 1992 tarihinde İstanbulda Doğdum. Özel Bir Bankada Sunucu ve Sanal Sistemler ekibinde görev alıyorum. Aynı zamanda Gazi Üniversitesinde Bilişim Enstitüsü Bilişim Sistemleri Anabilim Dalında Yüksek Lisans yapıyorum. 2010 yılından beri bilişim sektöründe çalışıyorum. Bu sektöre ilk başladığımdan beri öğrendiğim ve yaşadığım teknik sorunları belgelemeye çalıştım ve dokümantasyon konusunda kendimi çok geliştirdim. Geliştirdiğim bu beceri ile insanlara faydalı içerikler üretmeye başladım. Makalelerimi okuyan deneyimli meslektaşlarım, yeni başlayanlar ve öğrenciler için Microsoft ürünleri ile ilgili çok fazla içerik üretmeye çalışıyorum ve üzerinde çalışmaya devam ediyorum. İçerik üretmekten gerçekten keyif alıyorum. Microsoft ürünleriyle ilgili çeşitli Portal ve Blog sitelerinde yazar olarak görev alıyorum. 2020 yılı itibari ile Türkiye'nin en büyük Çözümpark Bilişim Portalında yazar olarak görev almaya başladım. Bu başlangıçla birlikte birden fazla blog ve siteden teklif almaya başladım. İnsanlara daha fazla içerik üretebilmek adına Linkedin sayfası ve Microsoft Azure Bilgi Paylaşım Platformu adlı grup üzerinden binlerce kişiye ulaşmanın mutluluğunu yaşıyorum. Bunun son derece motive edici olduğunu söyleyebilirim ve bu sayfada ve grupta haftalık bazen de günlük olarak ürettiğim içerikler var. İnsanlara faydalı olması ve geri dönüşleri beni daha çok yazmaya sevk ediyor. Gönüllülük kapsamında birden fazla kuruluşta Microsoft ürünleri ile ilgili etkinlikler, eğitimler, çalıştaylar düzenliyorum.

İlgili Makaleler

2 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu