Azure Özel Bilgi İşlem Servisleri ile tanışın

Microsoft, her yıl siber güvenliğe milyarlarca dolar harcıyor. Bunun büyük bölümü ise Microsoft Azure’un en güvenilir bulut platformu olması için. Fiziksel bir algıyla ele alınan veri merkezi güvenliğinden verilerin gizliliğinin sağlanmasına, bekleyen ve aktarılan verileri şifrelemeye, tehdit algılaması için yeni makine öğrenmesi kullanımlarına, işletimsel yazılım geliştirme yaşam döngüsünün sıkı denetimine kadar, Azure, bulut güvenliği ve gizliliğinin en ileri düzeyini temsil etmektedir.

Bugün de size Microsoft Azure’un Azure Özel Bilgi İşlem Servisleri adı verilen bir özellik ve hizmetler koleksiyonunu duyurmanın heyecanını yaşıyoruz. Bu koleksiyon ile yeni veri güvenliği yeteneklerini sunan ilk bulut platformu olmak ayrıca gurur veriyor.

Basitçe özetlersek, özel bilgi işlem servisleri bugüne kadar bulutta eksik olan bir korumayı, kullanımdaki verilerin şifrelenmesini sağlar. Bu, verilerin bulutta her zaman müşterinin denetimi altında olduğunun garantisiyle işlenebileceği demektir. Azure ekibi son dört yıldır Microsoft Research, Intel, Windows ve Geliştirici Araçları ekipleriyle birlikte özel bilgi işlem servisleri için yazılım ve donanım teknolojileri üzerinde çalıştı. Bu yazının sonunda Microsoft Research’ün özel bilgi işlem servisleriyle ilgili incelemelerinin bir listesini bulacaksınız. Bugün bu ileri düzey teknolojileri bir adım daha ileriye taşıyor ve Erken Erişim programı yoluyla müşterilerin kullanımına sunuyoruz.

Her şey uçtan uca güvenlik için!

Saldırganların kişisel bilgilere, finans verilerine ve kurumsal fikrî mülkiyete erişim kazandıkları veri ihlâlleri artık gündelik haberlerin bir parçası oldu. Birçok ihlâl zayıf yapılandırılmış erişim denetimlerinin bir sonucu. Bu ihlâllerin birçoğu ya yönetici hesapları yoluyla ya da gizliliği aşılan anahtarlar yoluyla kullanımdaki verilere uzanıyor. Bazı müşteriler, tüm gelişmiş siber güvenlik denetimlerine karşın, verilerini kullanımları sırasında bir saldırı olabileceği korkusuyla buluta geçirmekte tereddüt ediyor. Müşteriler özel bilgi işlem sistemleri ile, verilerinin yalnız beklemede değil kullanımdayken de aşağıdaki tehditlere karşı güvende olduğunu bilerek verilerini Azure’a gönül rahatlığıyla geçirebilirler:

  • Yönetici ayrıcalıkları veya işlemin yürütüldüğü donanıma doğrudan erişimi olan kötü niyetli şirket içi kişiler
  • İşletim sistemi ve uygulamadaki hatalardan yararlanan korsanlar ve kötü amaçlı yazılımlar
  • İzinleri olmadan erişim kazanan üçüncü şahıslar

Nasıl bir koruma?

Özel bilgi işlem sistemleri, veriler şifrelenmemiş durumdayken verilerin Güvenli Yönetim Ortamı’nda (Trusted Execution Environment [TEE], iç bölge olarak da bilinir) korunmasını sağlar. Aşağıdaki şekil bunun bir örneğini göstermektedir. TEE’ler, içerideki verilerin ya da işlemlerin, dışarıdan bir hata ayıklayıcıyla bile hiçbir şekilde görüntülenememesini garanti eder. Bir TEE, yalnız yetkili kodun verilere erişimine izin verildiğini de garanti eder. Kod değiştirilmiş veya kurcalanmışsa, işlem reddedilir ve ortam devre dışı bırakılır. TEE bu korumaları, içinde yer alan kodun yürütüldüğü süre boyunca zorlayarak uygular.

Azure özel bilgi işlem sistemleri ile, geliştiricilerin kodlarını değiştirmelerine gerek olmadan farklı TEE’lerden yararlanabilecekleri bir platform geliştiriyoruz. Başlangıç olarak iki TEE’yi destekliyoruz: Sanal Güvenli Mod ve Intel SGX. Sanal Güvenli Mod (VSM), Hyper-V tarafından Windows 10 ve Windows Server 2016’da uygulanan bir yazılım tabanlı TEE. Hyper-V, bilgisayar veya sunucu üzerinde çalışan yönetici kodunun, ayrıca yerel yöneticilerin ve bulut hizmeti yöneticilerinin, VSM iç bölgesindeki içerikleri görüntülemelerini veya yürütülmesini değiştirmelerini engeller. Ayrıca, genel buluttaki ilk SGX özellikli sunucularla, donanım tabanlı Intel SGX TEE de sunuyoruz. Güvenilen modellerinin hiçbir şekilde Azure ya da Microsoft içermesini istemeyen müşteriler, SGX TEE’lerden yararlanabilirler. Ek TEE’leri geliştirmek için Intel ve diğer donanım ve yazılım iş ortaklarıyla birlikte çalışıyoruz; çalışmalar tamamlandıkça bunları da destekleyeceğiz.

Microsoft, blok zinciri finansal işlemlerden, SQL Server’da ve kendi Azure altyapımızda depolanan verilere kadar her şeyin korunmasında zaten iç bölgeler kullanıyor. Daha önce, Coco Framework olarak bilinen gizli bilgi işlem blok zinciri çalışmalarından söz etmiştik; bugün de aynı teknolojinin Azure SQL Database ve SQL Server ile kullanım sırasında şifreleme için kullanımını duyuruyoruz. Bu, Always Encrypted işlevimize getirdiğimiz, bir SQL veritabanı içindeki hassas verilerin SQL sorgularının işlevselliğinden ödün vermeden her zaman şifrelendiğini garanti eden bir gelişmedir. Always Encrypted bunu hassas veriler üzerinde yürütülen işlemler için verilerin güvenli bir biçimde şifrelendiği ve işlendiği bir iç bölgeyi görevlendirerek yapar. Hassas verilerin işlenmesi gereken her yerde kullanım sırasında güvende olduğundan emin olmak için Microsoft ürün ve hizmetlerinde iç bölgeler kullanmayı sürdürüyoruz.

Farklı sistemlere özel yanıt verebilmenin önemi

SQL Server’a ek olarak, finans, sağlık, yapay zeka ve daha birçok endüstride Azure gizli bilgi işlemin geniş çapta uygulanabileceğini görüyoruz. Örneğin, finans hizmetlerinde kişisel portföy verileri ve varlık yönetim stratejileri TEE dışında görünür olmayabilir. Sağlık hizmeti kurumları, farklı birçok veri kümesinde makine öğrenmesinden daha derin bilgiler edinmek amacıyla genom dizileme gibi gizli hasta verilerini, verilerin diğer kurumlara sızması riski olmadan paylaşarak işbirliği yapabiliyor. Petrol ve gaz endüstrisinde ve IoT senaryolarında, bir şirketin temel fikrî mülkiyetini oluşturan hassas veriler, kullanım sırasında şifreleme teknolojisinin korumasıyla işleme için buluta geçirilebilir.

Müşteriler, Azure özel bilgi işlem sistemleri özelliğini Erken Erişim programımız yoluyla deneyebilirler. Program, buluttaki her uygulamanın kullanım sırasında verilerini korumasını sağlamak için Azure VSM ve SGX etkin sanal makineleri, araçları, SDK’leri, Windows ve Linux desteğine erişimi içermektedir.

Bugün, güvenli bilgi işlemde yeni bir dönemin heyecan verici başlangıcını yaşıyoruz. Bu geleceği oluştururken Azure’da bize katılın.

Microsoft Research’ün özel bilgi işlem servisleri ile ilgili incelemeleri:

Gizli bilgi işlemin Microsoft’un geniş bulut güvenlik stratejisine nasıl yerleştiğini Microsoft Story Labs yazısında okuyun: Bulutta Güvenlik.