Azure Disk Encryption – Workflow

Daha onceki yazimda bahsettigim gibi Azure uzerindeki Linux ve Windows sanal makineler icin Bitlocker ve Kye Vault ile birlikte disk sifreleme destegi gelmisti. Bu yazida genel olarak sifreleme surecinin uzerinden gecmek istiyorum.

Capture

  • Onceki yazimizda bahsettigimiz gibi oncelikle kullanici asagidaki 3 farkli sifreleme senaryosundan hangisini gerceklestirecegini secmelidir.
    • Azure uzerinde hali hazirda calisan sanal makineler icin sifreleme
    • Azure Gallery uzerinden olusturulan sanal makineler icin sifreleme
    • Kullanicilar tarafindan sifrelenmis VHDler ile olusturulmus sanal makinelerde sifreleme
  • Kullanici sifrelemeyi gerceklestirmek icin bir yontem seciyor. Bu yontem Azure Resource Manager Template, PowerShell komutlari yada Azure CLI komutlarindan birisi olabilir.
  • Eger kullanici tarafindan sifrelenmis bir VHD kullanilacak ise, ilk once bu VHD Azure uzerindeki storage hesabina upload edilir. AYni sekilde sifreleme anahtarlari Azure Key Vault’a gonderilir.
  • Azure Gallery uzerinde olusturulmus yada hali hazirda Azure uzerinde calistirilan sunucular icin ise musteriler sifreleme yapilandirmalarini gerceklestirirler.
  • Azure platformuna Vault icerisindeki anahtarlarin okunabilmesi icin yetki atanir.
  • Azure Service Management, VM Service modilini sifreleme ile birlikte gunceller.

Unutulmamasi gereken nokta su an icin yalnizca asagidaki isletim sistemleri icin destek bulunuyor:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Azure Disk Encryption – Linux / Windows

Kisa bir sure once Microsoft Azure altyapisinda calistirilan sanal makinelerde disk sifreleme isleminin detaylarini inceleyen bir whitepaper yayimladi. Whitepaper’a asagidaki linkten ulasabilirsiniz.

https://gallery.technet.microsoft.com/Azure-Disk-Encryption-for-a0018eb0

Kisa bir ozet gecmek gerekirse, bilindigi gibi uzun yillardir Microsoft kendi veri merkezimizde bulunan istemci ve sunucular icin bitlocker ile fiziksel guvenligi sagliyordu. Bunun icin farkli yapilandirma yontemleri bulunuyordu. TPM, USB, Group Policy vb yontemler ile disk uzerindeki verilerin herhangi bir fiziksel calinma durumunda okunamaz duruma gelmelerini saglayabiliyorduk.

Microsoft benzer yapilandirmayi artik Microsoft Azure uzerinde de sagliyor. Ayni sekilde temelde Bitlocker teknolojisini kullanan bu yapilandirma hem Windows hem de Linux sanal makineler icin kullanilabilir durumda. Bitlocker ile birlikte arka tarafta aslinda sureci yoneten bilesen ise Azure Key Vault.

Azure Key Vault aslinda size bulut mimarisini uzerinde kullanmis oldugunuz anahtarlari sifreleme sansi veriyor. Bu anahtarlara birkac ornek: authentication, storage account, sertifikalar yada standart sifreler verilebilir. BU sayede yazilim gelistiriciler cok hizli bir sekilde istenilen anahtarlari olusturabilir, sifreleyebilir ve istedikleri testleri gerceklestirebilirler. Uygulamalar icin olusturulan bu guvenlik anahtalari uygulama disinda ayri bir vault icerisinde saklanir ve URI ile tetiklenebilir. Ayri bir vault icerisinde tutulan bu anahtarlar ise varsayilanda uygulama ile ayni Azure veri merkezinde saklanir ve verimlilik/performans artisi saglanir.

Arka tarafta Azure Key Vault destegi ile birlikte artik Azure izerinde bulunan sanal makinelerinizi, galeri icerisinden olsuturdugunuz sanal makineleri ve hali hazirda calistirdiginiz sanal makineleri sifreleyebilirsiniz. SU anki Public Preview surumu ile birlikte:

  • Azure Key Vault destegi yukarida bahsettigimiz gibi bulunuyor
  • A,D ve G serisi sanal makine destegi bulunuyor
  • Azure Resource Manager ile sifreleme tetikleneniliyor
  • Bu surum ile birlikte ozellikle tum Azure bolgerinde kullanilabilir durumda

Ozellikle Azire Resource Manager destegi oldukca onemli. Bu sayede PowerShell yada Azure CLI kullanarak sifreleme gorevlerini gerceklestirebilirsiniz.

Azure Premium Storage

Azure gun geçtikçe daha yeni ozelliklerle karsimiza cikiyor ve bu sayede daha fazla organizasyon kritik kaynaklarini buluta taşıyabiliyor.

Uzun zamandir beklediğim ozelliklerden birisi de artik Azure üzerinde kullanılabilir. Premium Storage.

Bilindigi gibi daha önceden Azure üzerinde sanal makinelerimiz için kullandigimiz disklerde cok fazla yapilandirma gerçekleştiremiyorduk. Ancak gerçek dünyada bulunan uygulamalarimizin cok spesifik kaynak kullanim ihtiyaclari olabiliyor. Eger daha hizli veri transferi gereksinimi duyan uygulamalari buluta tasimayi dusunuyorsaniz artik Premium Storage içerisinde gelen Shared SSD diskleri kullanabilme sansiniz var. Premium Storage su an için yalnızca DS ve GS serisi sanal makineler içerisinde kullanılabilir.

Premium Storage ile ilgili önemli noktalar:

  • Premium Storage kullanmak için bir Premium Storage hesabi olusturmaniz gerekiyor.
  • Premium Storage Azure Portal disinda PowerShell ve SDK ile ulaşılabilir durumda.
  • Su an için yalnızca page blobs desteği bulunuyor. Page blob bildiğiniz gibi sanal makinelerin disklerinin barindirildigi storage hizmeti
  • Otomatik olarak Premium Storage LRS ile 3 kopya tutacaktır.
  • Yalnizca DS ve GS serilerinde kullanılabilir.
  • Isterseniz bu seri sunucularda normal diskleri de kullanabilirsiniz.
  • Premium Storage hesabi farkli bir custom domain name üzerinde maplenemez.
  • Storage Analytics su an için desteklenmiyor.

Kullanim öncesi asagidaki Scability ve Performance detaylarini goz onunde bulundurmaniz önemli.

5 6

EMS ile kolay Microsoft Destegi!

Microsoft cozumlerini kullanan organizasyonlarin onemli bir kismi daha once Microsoft Support ile iletisime gecmistir. Herhangi bir sorun aninda partner eger sorunu cozemiyor ise eskale edilebilecek son adim Microsoft Support oluyor.

On-premise yapilarda Microsoft Support muhendisinin gerceklesen sorun ile ilgili cozum uretebilmesi icin oncelikle var olan altyapinin detaylarini bilmesi ardindan sorun ile ilgili kapsamli bir log/trace dosyasini incelemesi gerekmektedir.

Ancak yavas yavas bulut hizmetlerini kullanmaya basliyoruz ve teknolojiyi hizmet olarak almaya basladigimiz icin bunun nimetlerinden faydalanmak da hakkimiz.

Yeni nesil Hibrit tabanli yonetim cozumu olan Microsoft Operations Management Suite ile Microsoft destegi almak oldukca kolay.

Oncelikle hizmet zaten tamami ile bir Microsoft hizmeti oldugu icin bircok on gereksinimden yada sorun cikarabilecek sizin veri merkezinizdeki bilesenlerden muaf durumda. Bu yuzden geleneksek on-premise cozumlere kiyasla cok daha az sorun cikaracagi asikar. Ancak herhangi bir sorun aninda da sizin mudahele sansiniz cok fazla bulunmuyor. Bu durumda Microsoft destek muhendisinin OMS icerisindeki veriyi ve hatayi gormesi gerekli.

OMS ekibi bu konuda cok efektif bir ozellik sundu. Artik OMS icerisindeki hesaplar bolumune Microsoft destek personelinin mail adresini ekleyebilir ve bu kisiye read-only OMS verisine erisim yetkisi verebilirsiniz. Bu sayede sorun cozumlenene kadar Microsoft personeli rahatlikla sorunu goruntuleyebilir ve aksiyon alabilir.

Bunun icin yapilmasi gereken asagidaki ekrani kullanarak ilgili mail adresinin eklenmesidir.

SupportWithOMS1.png-550x0

Azure Network Limits

Azure uzerinde network bilesenlerini yapilandirirken asagidaki limitlere dikkat edilmesi onemlidir.

Resource Default limit Maximum limit
Virtual networks per subscription 50 100
Local network sites per virtual network 20 contact support
DNS Servers per virtual network 20 100
Virtual machines and role instances per virtual network 2048 2048
Concurrent TCP connections for a virtual machine or role instance 500K 500K
Network Security Groups (NSG) 100 200
NSG rules per NSG 200 400
User defined route tables 100 200
User defined routes per route table 100 500
Public IP addresses (dynamic) 5 contact support
Reserved public IP addresses 20 contact support
Public VIP per deployment 5 contact support
Private VIP (ILB) per deployment 1 1
Endpoint Access Control Lists (ACLs) 50 50

Azure RBAC – GA – Kullanilabilir Durumda

RBAC (Role Based Access Control) yani rol tabanli erisim denetimi bilindigi gibi Microsoft’un son donemde cikardigi neredeyse tum hizmet ve cozumlerde destekleniyordu. Bu sayede rahatlikla kullanici bazli yetkilendirmeler tek bir konsol uzerinden hizlica gerceklestirilebiliyordu.

Birkac gun once duyurulan bir guncelleme ile artik Azure icin de RBAC destegi genel kullanima sunuldu.

Ozellikle Azure gibi icerisinde tonlarca servisin bulundugu ve cok fazla kullanici/yoneticinin erisiminin gerektigi yapilar icin RBAC hayatimizi onemli olcude kolaylastiracak gibi duruyor.

RBAC oncesinde yetkilendirme icin en cok kullanilan yontemlerden birisi Azure Active Directory idi. Var olan local Active Directory yapinizi Azure uzerine extend ederek single sign-on senaryolarini aktif edebilirdiniz. Ayni zamanda yerel AD uzerindeki kullanicilariniz otomatik olarak Azure hizmetleri icin kullanilabilir durumda oluyordu.

Azure RBAC ile birlikte ayni zamanda self-service yonetimini de aktif edebileceksiniz.

 

Azure VNet Nedir?

Nasil ki yerel veri merkezimizde sunucular uzerinde hizmet verebilmek icin bir network agina, bilesenlerine, guvenlik ilkelerine, sanal aglara ihtiyacimiz var ise, bulut hizmetlerinde de benzer bir network altyapisina ihtiyac duyariz. Belirli sunucularin yada sunucu gruplarinin birbirleri ile yada dis dunya ile iletisime gecebilmeleri icin en azindan bulut uzerinde bir IP adresine sahip olmalari, bir network agina dahil olmalari ve bilindik protokolleri kullanmalari gerekmektedir.

Eger Azure uzerinde var olan sunucularimizin network uzerinden haberlesmesini istiyorsak bu konuda VNet kavrami ile tanismamiz gerekiyor. VNetler sizin bulut uzerindeki networkunuzun bir yansimasidir.

Aynen gercek bir networkte oldugu gibi VNet uzerinde de IP adres bloklarina sahip olabilirsiniz, isterseniz guvenlik kurallari uygulayabilirsiniz, isim cozumleme icin DNS sunuculari yapilandirabilirsiniz hatta ve hatta routing table kayitlari giyebilirsiniz.

En buyuk fark ise siz tum bu yapilandirmalari aslinda Software Defined Networking uzerinde gerceklestirmenizdir. Yani gerceklestirdiginiz bu ayarlar Microsoft veri merkezlerindeki fiziksel network cihazlarina aninda islenmiyor. Siz Microsoft tarafindan belirlenmis kurallar cevresinde, yine Microsoft’un dizayn ettigi sanal bir network uzerinde bu yapilandirmalari gerceklestiriyorsunuz. Eger Microsoft bu sekilde bir Software Defined yaklasimi kullanmiyor olsaydi, milyonlarca farkli network, IP adresi ve yapilandirmayi yonetebilme sansi imkansiz olurdu.

Asagidaki cizimde VNetin ne olduguna dair daha fazla fikir edinebilirsiniz.

Azure virtual network

Goruldugu gibi Azure altyapisi geneneksel bir network altyapisinda bulunan network cihazlarinin yerini almis ve erisim imkani vermistir. Vnet icerisindeki onemli bilesenleri hizlica inceleyelim:

Subnet: Subnet bildiginiz gibi belirli IP adreslerini iceren bir araliktir. VNet icerisinde de farkli IP bloklari icin subnetler olusturabilirsiniz. Geleneksel veri merkezinde oldugu gibi ayni subnet icerisindeki hizmetler birbirleri ile haberlesebilirler. Ayni zamanda cross subnet erisimleri de yapilandirma sansiniz bulunuyor.

IP Adresi: Azure icerisinde kullanabileceginiz iki IP adresi tipi bulunuyor. Public yada Private. Adindan da anlasilabilecegi uzere Public IP adresleri genelde dis dunya ile iletisime gecmesi gereken servisler icin kullanilir. Private IP adresleri ise bir VNet icerisindeki kaynaklarin birbirleri ile iletisime gecmeleri icin yapilandirilir.

Azure Load Balancer: Azure uzerinde bir uygulama yada sanal makine dis yada ic dunyaya hizmet verirken Azure tarafindan saglanan yazilimsal bir Load Balancer arkasinda konumlandirilabilir. Bu sayede bu kaynaklar uzerine gelen talepler Azure LB ile dengelendikten sonra arka tarafta bulunan sunucu yada uygulamalara dagitilirlar.

Network Security Group: NGS sayesinde belirli VM yada subnetlere erisimde iletilen trafige izin verebilir yada yasaklayabilirsiniz. Bu yasaklama kaynak yada hedef IP adresine gore yapilandirilabilecegi gibi port numarasina gore de ayarlanabilir.

 

 

 

Azure File Storage

Gectigimiz gunlerde sonunda Azure File Storage genel kullanima sunuldu. Azure File Storage sayesinde artik bulut üzerinde tam anlamiyla dosya paylasimini kullanmaya başlayabiliriz.

Azure File Storage arka planda SMB 3.0 protokolunu kullanarak uygulamalar için dosya paylasimi ile dosyalara erişimi mumkun kilar.

Ayni zamanda desteklediği REST API sayesinde modern uygulama geliştirme süreçlerinde de erişim desteği sunar.

Uzun zamandir beta surumunu test ediyorduk ancak GA surumu ile birlikte asagidaki ozellikler de eklenmiş durumda:

  • SMB 3.0 destegi
  • Encryption desteği
  • Browser tabanli dosya yöneticisi
  • Azure Storage Metrics destegi
  • Azure File Storage üzerinde bulunan dosya paylasimlarini on-premise mount edebilme
  • Gelistirilmis API destegi

Peki Azure File Storage ile ne tarz senaryolari hayata geçirebiliriz.

Bana gore en önemlisi artik kolaylıkla on-premise bulunan verilerimizi bulut ile paylaşabiliriz. Ornegin log dosyalari yada yedekler cok daha efektif barindirma imkani sunan Azure üzerinde kolaylıkla tutulabilir.

REST API destegi ve SMB 3.0 protokolu ile birlikte artik standard uygulamalar ile modern uygulamalari kolaylıkla entegre edebiliriz.

Bana gore bu destek cok fazla senaryoyu da beraberinde getirecek.

Istemci tarafında kullanilan SMB sürümlerini asagidaki tablodan kontrol etmeyi unutmayin.

4

 

Azure Public Reserved IP kullanilmasi

Bilindigi gibi Azure uzerindeki sanal makineleriniz icin statik yada dinamik IP adresi yapilandirmasi gerceklestirebiliyorsunuz. Ayni sekilde dis dunyaya hizmet veren servisleriniz uzerindeki IP adreslerini de rezerve edebilme sansiniz bulunuyor. Bu sayede ilgili servisiniz durdurulsa bile uzerine atanmis olan IP adresini tutmaya devam edecektir.

Azure icerisinde suanda toplamda subscription bazina 20 adet IP rezerve edebilirsiniz. Eger daha fazla ihtiyaciniz var ise Microsoft’a bu konuda bir case acmaniz gerekiyor.

Bir servis icin public IP rezerve edebilmeniz icin oncelikle bu IP’yi subscription icerisine eklemeniz gerekiyor.

New-AzureReservedIP ReservedIPName MyReservedIP Location "Central US"

Ardindan hangi IP adresinin rezerve edildigini Get-AzureReservedIP komutu ile gorebilirsiniz.

Ardindan ilgili IPyi cloud service ile iliskilendirmeniz gerekiyor. Bunun icin de asagidaki komutu kullanabilirsiniz.

New-AzureReservedIP ReservedIPName MyReservedIP Location "Central US"
$image = Get-AzureVMImage|?{$_.ImageName -like "*RightImage-Windows-2012R2-x64*"}
New-AzureVMConfig -Name TestVM -InstanceSize Small -ImageName $image.ImageName `
| Add-AzureProvisioningConfig -Windows -AdminUsername adminuser -Password MyP@ssw0rd!! `
| New-AzureVM -ServiceName TestService -ReservedIPName MyReservedIP -Location "Central US"