AZ-900 notlarına modül 3 ile devam ediyoruz. Henüz modül 1'i ve 2'yi okumadıysanız burayı tıklayarak modül 1'i buraya tıklayarak da modül 2'yi okuyabilirsiniz. Modül 3'ün temel içeriği Security, Privacy, Compliance and Trust.

Bu modülde önce Securing Network Connectivity'yi inceleyeceğiz. Daha sonra Core Azure Idendity Services'ı inceledikten sonra Security Tools and Features konusunu inceleyeceğiz. Son olarak sırasıyla Azure Governance Methodologies, Monitoring and Reporting in Azure ve Privacy, Compliance and Data Protection Standarts konuları ile modülü bitireceğiz.

Securing Network Connectivity

Defense in Depth

Defense in Depth, datalara erişmeye çalışan bir saldırının ilerlemesini yavaşlatmak için kurulmuş bir dizi mekanizma kullanan stratejidir. Temel amaç, dataya erişim yetkisi olmayan kişilerin dataları çalmasını engellemektir. Bunun için de kısaca CIA olarak bilinen bir yaklaşım kullanılmaktadır. Confidentialy (Gizlilik), Integrity (Bütünlük), Availability (Kullanılabilirlik).

Confidentialy: Temel amacı bilgi güvenliğini sağlamaktır. Bunun yanı sıra yetkisiz erişim, yetkisiz değişiklikler ve yetkisiz olarak hizmetin aksatılmasını engellemeyi amaçlar. Korunması amaçlanan bilgiler içerisinde kullanıcı parolaları, remote access sertifikaları ve e-posta içerikleri gibi bilgiler de mevcuttur.

Integrity: Temel amacı bilginin bütünlüğünü sağlamaktır. Transit veya rest aşamasında bilginin yetkisiz olarak değiştirilmesini önlemeyi amaçlar. Veri iletiminde kullanılan en temel yaklaşım göndericinin one-way hashing algoritması kullanarak veriler için unique fingerprint oluşturmasıdır. Hash alıcı tarafından kontrol edilerek bir değişiklik olup olmadığı kontrol edilir.

Availability: Temel amacı bilginin kullanılabilir/erişilebilir olmasını sağlamaktır. Yetkisiz erişim ile hizmet reddi (DoS) saldrılarının olmasını engellemeyi amaçlar.

Defense in Depth, merkezde güven altına alınacak datalarla birlikte bir dizi katman olarak düşünülebilir. Her katman, ondan önceki bir katmanda ihlal olması sonucunda daha fazla ihlalin olmasını engellemek için koruma sağlar.

Depth in Defense Yaklaşımı

Physical security data center'ın ilk savunma hattıdır. Fiziki güvenlik önlemlerini içerir.

Identity & access data center'ın ikinci savunma hattıdır. Altyapıya ve değişikliklere olan erişimi kontrol eden önlemleri içerir.

Perimeter data center'ın üçüncü savunma hattıdır. Büyük ölçekli saldırıların son kullanıcılar için hizmet reddine sebep olmaması için filtreleme önlemlerini içerir. (DDoS protection vb.)

Networking data center'ın dördüncü savunma hattıdır. Segmentation ve access controls aracılığıyla network iletişimi önlemlerini içerir.

Compute data center'ın beşinci savunma hattıdır. VM'leri korumak için gereken önlemleri içerir.

Application data center'ın altıncı savunma hattıdır. Uygulamaların güvenli olmasını ve güvenlik açıklarından korunması için gereken önlemleri içerir.

Shared Security

Nasılsa bir cloud provider ile çalışıyorum, güvenlik benim sorumluluğumda değil dememelisiniz. Hali hazırda bunun için hem kendi sorumluluklarınızı hem de Azure'un sorumluluklarını bilmemiz gerekiyor. Bunu bir tablo üzerinde inceleyebiliriz.

Azure Sorumluluk Paylaşımı

Azure Firewall

Firewall, her isteğin kaynak bir IP adresine göre veya belirli koşullara göre filtrelenmesini sağlayan bir sistemdir. Azure Firewall cloud-based bir network security servisidir. Azure Firewall ile Azure Virtual Network resource'larınızı koruyabilirsiniz.

Azure Firewall'un on-premises firewall'lara göre avantajı tamamen statefull olması ve built-in high availability ve unrestricted cloud scalability sunmasıdır.

Azure Firewall ile subscription ve virtual network arasında merkezi olarak application ve network connectivity için policies oluşturabiliriz. Aynı zamanda bunların logunu tutabilir ve Azure Monitor ile takip edebiliriz.

Azure Firewall static IP ile çalışmaktadır. Inbound ve outbound birçok filtreleme kuralı yazılabilmektedir.

Ek olarak Azure Application Gateway sayesinde WAF - Web Application Firewall kullanma imkanımız oluyor.

Azure DDoS Protection

DDoS saldırıları genellikle internet üzerinde herkese açık olan ve herkes tarafından erişilebilen endpointlere yönelik gerçekleştirilir. Bu nedenle müşterilerinize açık olan ve herkesin erişebildiği endpointleriniz potansiyel olarak DDoS saldırılarına açıktır diyebiliriz. Azure DDoS Protection ile application design best preactices'ı birleştirirseniz en iyi DDoS korumalarından birine sahip olabilirsiniz.

Azure DDoS Protection 2 tier'dan oluşur:

Basic: Bu plan Azure platformunun bir parçası olarak tüm aboneliklerde ücretsiz olarak otomatik etkinleştirilir. Azure global ağını ve region gücünü kullanarak gelen saldırıları bölgeler arasında dağıtır ve etkisini azaltır.

Standart: Bu plan kullanıcı tarafından etkinleştirilerek kullanılmaktadır. Özellikle Azure Virtual Network resource'ları için ek koruma sağlar. Bu planı etkinleştirmek için ekstra uygulama değişiklikleri yapılması gerekmez. Koruma politikaları, özel trafik izleme yöntemleri ve ML algoritmaları ile gerçekleştirilir. Dilerseniz Azure Load Balancer  ve Application Gateway ile kombine ederek çalıştırabilirsiniz.

Standart planda şu ataklar için koruma alabilirsiniz:

Volumetric Saldırılar: Bu saldırının amacı ağ katmanını yüksek miktarda legimate trafik ile doldurarak hizmet aksatmasına sebep olmaktır.

Protokol Saldırıları: Bu saldırının amacı L3 ve L4 seviyesindeki protokollerin zafiyetlerinden yararlanarak hizmet aksatmasına sebep olmaktır.

Resouce (Application) Layer Saldırıları: Bu saldırının amacı ana makineler arasındaki data iletimini bozmak için web application paketlerini hedefleyerek hizmet aksatmasına sebep olmaktır.

Azure Standart DDoS Protection ile bunlardan korunabilirsiniz. (Mitigation)

DDoS konusunda daha detaylı bilgi sahibi olmak isteyenler Arka Kapı dergisinin 10. sayısında yayınlanan yazıma bu linke tıklayarak ulaşabilirler.

Network Security Groups (NSG)

Network Security Groups, Azure Virtual Network resource'larımıza gelen (inbound) ve giden (outbound) trafiği filtrelememizi sağlar. Kısaca NSG, resource'lara gelen ve giden trafiği kaynak ve hedef IP adresine, portuna ve protokolüne göre birçok güvenlik kuralı oluşturmanızı sağlar.

NSG, aboneliğinizin sınırları dahilinde istediğiniz kadar kural içerebilir. Kullanabileceğiniz kuralların listesi de aşağıdaki tabloda verilmiştir.

Kaynak: https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#network-security-groups

Bir NSG oluşturduğunuzda Azure'un varsayılan olarak bazı kuralları deploy ettiğini unutmamalısınız. Bu kuralları kaldıramazsınız ancak daha yüksek öncelikli kurallar oluşturarak bu kuralları geçersiz kılabilirsiniz.

Application Security Groups (ASG)

Kısaca ASG, bir uygulamanın doğal bir uzantısı olarak yapılandırma yapmanızı sağlayan, VM'leri gruplandırmanıza ve bu gruplara bağlı Network Security policy'leri belirlemenize imkan sağlar.

Diyelim ki benzer portlardan filtreleme yaptığınız birden fazla WebServers, AppServers ve DbServers gibi resource grouplarınız varsa hepsini gruplandırarak tek bir noktadan yönetmenize olanak sağlar.

Kaynak: https://azure.microsoft.com/en-gb/blog/applicationsecuritygroups/

Core Azure Identity Services

Authentication and Authorization

Kimlik yönetimi iki önemli kavramla anılmaktadır. Bu kavramlar ne kadar iyi anlaşılırsa kimlik yönetimi o kadar başarılı yapılabilir. Aşağıda bahsedeceğimiz olaylar birbiri ardına yani sıralı olarak gerçekleşmektedir.

Authentication, Türkçe'si ile "Doğrulama", bir kaynağa erişmek isteyen kişinin, hizmetin veya servisin kimliğinin oluşturulması işlemidir. Gerçekten olmamız gerken kişi olup olmadığımızı belirler.

Authorization, Türkçe'si ile "Yetkilendirme", kimliği yukarıdaki adım ile doğrulanmış kişinin, hizmetin veya servisin ne düzeyde erişim sağlanacağını belirler. Hangi verilere erişim izni verileceği ve bu verilerle neler yapılabileceği bu adım ile ilişkilidir.

Ayrıca Authentication, AuthN, Authorization ise AuthZ olarak da anılabilmektedir.

Azure Active Directory

Azure Active Directory, kısaltması ile Azure AD, Microsoft'un cloud-based Identity and Access Management servisidir. Azure AD, kuruluşunuzdaki personellerinizin oturum açmasına ve belirlenen resource'lara erişmesini sağlar.

Burada resource'ları ikiye ayıracağız: External Resources ve Internal Resources.

External Resources dediğimizde MS Office 365, Azure Portal veya herhangi bir SaaS uygulamasını düşünebilirsiniz.

Internal Resources dediğimizde kendi geliştirdiğiniz tüm cloud app'lerini veya şirket ağınızdaki app'leri düşünebilirsiniz.

Azure AD bize şunları sağlar:

  • Authentication: Application ve resource'lara erişilebilmesi için kimliğin doğrulanması, self servis olarak parola sıfırlanması, MFA (Multi-factor Authentication) kullanılmasını, özel yasaklı password listesi oluşturmayı ve smart lockout gibi servisleri sağlar.
  • Single-Sign-On (SSO): SSO, kullanıcıların birden fazla uygulamaya erişmek için sadece bir kimlik ve bir parola kullanmasını sağlar. Bu sayede saldırı yüzey alanı küçültülür. Diyelim ki yüksek yetkilere sahip bir personeliniz işten ayrılacak. SSO sayesinde rahatlıkla sadece bir hesabını dondurarak tüm erişimini durdurabilirsiniz.
  • Application Management: Cloud'da veya on-premises'de bulunan uygulamalarınızı Azure AD Application Proxy, SSO ve My Apps Portal (Access Panel) ile yönetebilirsiniz.
  • B2B ve B2C Identity Services: Dilerseniz kendi kurumsal verileriniz üzerinde kontrol sahibi olurken bir yandan misafir kullanıcılarınıza da çeşitli erişimler sağlayabilirsiniz.

Azure Multi-Factor Authentication

Azure Multi-Factor Authentication, Full Authentication için iki veya daha fazla öğe ile kimlikleriniz için ekstra güvenlik sağlar. Bu kategori temelde üçe ayrılır:

  • Something you know: Sizin bildiğiniz bir şeydir. Örneğin bir parola ya da güvenlik sorusunun cevabı olabilir.
  • Something you possess: Sahip olduğunuz bir şeydir. Bildirim alabilen bir mobil uygulama ya da token üreten bir cihaz olabilir.
  • Something you are: Sizin "olduğunuz" bir şeydir. Örneğin parmak iziniz veya yüzünüz olabilir.

MFA, kullanıcı adı ve parolanın çalınması durumunda erişimin güven altında tutulabilmesi için ekstra aşamalarla kimlik güvenliğini arttırır. Örneğin kuruluşunuzdaki herkesin kullanııcı adı ve parolaya ek olarak bir Authenticator uygulaması aracılığıyla altı haneli bir kod girerek login olduğu bir senaryo düşünelim. Personellerinizin kullanıcı adı ve parolaları çalınsa dahi, authenticator tarafından üretilen altı haneli kod olmadan erişim sağlanamayacaktır.

Azure MFA aşağıdaki servislere bağlı olarak kullanılabilmektedir:

  • Azure Active Directory Premium lisansı
  • Multi-Factor Authentication for Office 365
  • Azure Acrive Directory Global Administrators

Security Tools and Features

Azure Security Center

Azure Security Center, hem Azure hem on-premises sistemleriniz için tehdit koruması sağlayan bir monitoring servisidir.

Azure Security Center ile şunları yapabilirsiniz:

  • Configuration, Resources ve Networks için Security Recommendation alabilirsiniz.
  • Hem cloud hem on-premises workload'lar için security settings'i monitor edebilir, yeni servislere online oldukları anda belirlediğiniz güvenlik konfigürasyonunu uygulayabilirsiniz.
  • Continuously monitor sayesinde tüm servislerinizi izleyerek potansiyel vulnerability'ler için önceden bilgi sahibi olarak önlem alabilirsiniz.
  • Machine Learning kullanarak VM ve servislerinize zararlı yazılım yüklenmesini algılayıp engelleyebilirsiniz.
  • Olası bir ihlal sonrası incelemeker yapabilirsiniz.
  • Portlara erişim için just-in-time access control oluşuturup, ağınıza yalnızca ihtiyacınız olan trafiğin gelmesine izin vererek saldırı yüzeyini azaltabilirsiniz.

Azure Security Center iki Tier'dan oluşur:

Free: Azure aboneliğinin bir parçası olarak ücretsiz sunulan bu versiyonda sadece Azure kaynaklarının değerlendirmelerini ve önerilerini görebilirsiniz.

Standart: İsteğe bağlı olarak sunulan bu versiyonda eksiksiz olarak Azure Security Center'ın tüm özelliklerinden faydalanabilirsiniz.

Azure Security Center Genel Görünümü

Key Vault

Azure Key Vault, Türkçe'si ile Azure Anahtar Kasası, uygulamalarınıza ait secret'ları güvenli bir şekilde saklamak için sunulan bir cloud-based servistir.

Azure Key Vault sayesinde secret'lara erişimleri kontrol edebilir, erişim logları tutabilir ve dilediğiniz zaman bu erişimleri sonlandırabilirsiniz.

Peki Key Vault nerelerde kullanılmalıdır?

  • Secret Management: Key Vault ile tüm secretlarınızı veya API keylerinizi güvenli bir şekilde tutabilirsiniz.
  • Key Management: Key Vault'u encryption key'lerinizi güvenli bir şekilde tutmak için kullanabilirsiniz.
  • Certificate Management: Dilerseniz SSL/TLS tüm sertifikalarınızı (public/private secure sockets) güvenle saklayabilir be yönetebilirsiniz.
  • HSM Management: Dilerseniz HSM'ler (Hardware Security Modules) tarafından desteklenen secret'ları da güvenle saklayabilirsiniz.

Azure Information Protection (Azure AIP)

Azure Information Protection, cloud-based çalışan ve şirketlerin dokümanlarını ve e-postalarını tag'leyerek kategorilendirmesine ve isteğe bağlı olarak onları korumasına olanak sağlar.  

Tag'ler yöneticiler tarafından oluşturulup otomatik olarak kullanılabileceği gibi kullanıcılar tarafından manuel olarak da oluşturulup kullanılabilmektedir.

Azure Advanced Threat Protection (Azure ATP)

Azure ATP, şirketinize yönelik tehditleri, güvenliği ihlal edilmiş kimlikleri ve zararlı yazılımlardan, zararlı eylemlere kadar uzanan bir çok davranışı tespit eden, araştırmanıza destek olan cloud-based bir güvenlik ürünüdür. Azure ATP, bilinen zararlı yazılımları, saldırıları, teknikleri ve güvenlik sorunlarını tespit edip size bildirebilir.

Azure ATP 3 komponentten oluşmaktadır:

Azure ATP Portal: Portal, şüpheli hareketlerin etkinliklerini izleyeceğiniz, yanıtlayabileceğiniz bir portaldır. Azure ATP Portal sayesinde, ATP Sensor'den alınan verileri görüntüleyebilir, ağ ortamınızdaki tehditleri izleyebilir ve yönetebilirsiniz.

Azure ATP Sensor: Direkt olarak domain controller'ınıza yüklenir. Azure ATP Sensor, kendine özel bir sunucuya ihtiyaç duymadan veya bir mirror port oluşturmanıza gerek kalmadan domain controller trafiğinizi izleyebilir.

Azure ATP Cloud Service: Azure altyapısında çalışır ve ABD, Avrupa ve Asya'da kullanılabilmektedir. Azure ATP Cloud Service, Microsoft's Intelligent Security Graph'ına bağlı olarak çalışır.

Azure Governance Methodologies

Azure Policy

Azure Policy, Azure'da policy'ler oluşturmak, atamak ve yönetmek için kullanılan bir servistir. Oluşturduğunuz politikalar, resource'larınız üzerinde farklı kurallar uygulamanızı sağlar ve her resource veya resource grubu belirlediğiniz standart ve SLA'den ayrılmadan bu policy'leri kullanabilir.

Azure Policy, Storage, Networking, Compute, Security Center ve Monitoring gibi kategoriler altında kullanabileceğiniz bir dizi built-in policy ile birlikte gelir. Aynı zamanda Azure DevOps ile birlikte çalışması da sağlanabilir.

Azure Policy, uyumsuz olarak göreceği resource'ları ve yapılandırmaları otomatik olarak düzeltme özelliğine de sahiptir.

Implementing Azure Policy

Azure'da Policy implemente etmenin üç adımı vardır.

Create a Policy Definition > Assign the Definition to Resources > Review the Evaluation Result

Create a Policy Definition

Bir policy definition oluşturmak, hangi eylemin nasıl gerçekleştirileceğini ifade eder. Belirlediğiniz bir policy sayesinde örneğin VM'leri deploy ederken sabit diskin kullanılmasını engelleyerek maliyetten tasarruf edebilir veya Public bir IP adresine expose olmasını engelleyebilirsiniz.

Her policy, uygulandığı alana göre karşılaması gereken bazı koşullara sahiptir. Bunlar karşılanmadığı sürece o policy tanımlanamaz. Bu koşulları şu balıklar altında ifade edebiliriz:

  • Allowed Storage Account SKUs
  • Allowed Resource Type
  • Allowed Locations
  • Allowed Virtual Machine SKUs

Assign the Definition to Resources

Bu aşamada policy'yi uygulamak için resource'lara atamamız gerekiyor. Dilerseniz oluşturmuş olduğunuz bir policy'yi sadece bir resoure'a atayabilir veya dilediğiniz resource'lara toplu olarak da atayabilirsiniz.

Review the Evaluation Result

Bir durum veya eylem oluştuğunda ve bu durum veya eylem oluşturduğunuz bir policy ile uyumsuz ise non-compliant, uyumlu ise compliant olarak işaretlenir. Non-compliant olarak işaretlenen sonuçları inceleyebilir ve bu incelemeniz sonucunda policy'lerde değişiklik yapmanız gerekiyorsa yapabilirsiniz.

Policy Evaluation ortalama her saatte bir kez gerçekleşmektedir. Bu nedenle uyguladığınız bir policy'nin sonuçlarını en az bir saat sonra incelemeniz daha faydalı olacaktır.

Policy Initiatives

Initiatives, Türkçe'si ile direkt olarak anlaşılabilir: İnisiyatifler.

Bir initiative definition, daha büyük bir hedef için compliance state'inizi takip etmenize yardımcı olan bir dizi policy definition set etmektir.

Hadi birkaç örnek ile bunları somutlaştıralım:

  • Security Center üzerinde unencrypted olan SQL Database'ini izlemek için kullanılabilir. Yine aynı şekilde unencrypted server'ları da monitor etmek için kullanılabilir.
  • Security Center üzerinde OS vulnerabilities'i izlemek için yapılandırılabilir.

Initiative Assignments

Tıpkı policy assignment gibi, initiative assignment'da belirli scope'lara atanan initiative'lerdir.

Role-based Access Control (RBAC)

RBAC, bize fine-grained access management imkanı sağlar. Peki bu ne demek? Azure resource'ları için dilediğimiz kullanıcıya sadece ihtiyacımız olduğu kadar yetki vermemize olanak sağlanması demektir. RBAC tüm Azure aboneleri için ücretsiz olarak verilmektedir.

RBAC ile yapabileceklerimize birkaç örnek verelim:

  • Bir kullanıcının aboneliğimizdeki sadece VM'leri yönetmesine, başka bir kullanıcının da sadece Virtual Networkleri yönetmesine izin verebiliriz.
  • Bir Database Administrator'ına aboneliğimizdeki SQL database'leri yönetmesine izin verebiliriz.
  • Bir developer'ımıza VM'leri, web sitelerini ve tüm subnet'leri ait olduğu resource grubu içerisinde yönetmesine izin verebiliriz.
  • Bir uygulamanın bulunduğu resuorce grubu içerisindeki tüm resourcelara erişmesine izin verebiliriz.

RBAC "allow method" ile çalışır. Yani sadece izin verdiğiniz zaman kişi izne sahip olmuş olur. Örneğin size bir rol atandığında RBAC'in size read, write ve delete gibi eylemleri gerçekleştirmesine izin verdiğini anlamalısınız. Bu nedenle bir rol ataması gerçekleştirirken kime hangi izinleri vereceğimize dikkat etmeliyiz. Bir kullanıcıya bir resource için sadece read yetkisi verirken aynı kullanıcıya başka bir resource'da read & write yetkisi verebilirsiniz.

Resource Locks

Resource Locks, adından da çağrışım yapabileceği üzere resource'ları belirli eylemlere karşı lock etmemize yani kilitmemize yardımcı olur. Bir resource'un yanlışlıkla silinmesi veya değiştirilmesini bu sayede engelleyebilirsiniz.

Bir resource'u Resource Lock sekmesinden CanNotDelete veya ReadOnly olarak ayarlayabilirsiniz.

CanNotDelete olarak ayarladığınızda yetki verdiğiniz kişilerin resource üzerinde read ve write yetkisine sahip olacağı ancak resource'u delete edemeyeceği senaryoyu görürsünüz.

ReadOnly olarak ayarladığınızda yetki verdiğiniz kişilerin resource üzerinde sadece görüntüleme yapabileceğiniz ve write & delete haklarını kullanamayacağını görürsünüz.

Azure Blueprints

Azure Blueprints, cloud architect olarak çalışan personellerinizin kuruluşunuzun standartlarına ve gereksinimlerine uygun bir tekrarlanabilir Azure resources seti oluşturmasına imkan sağlar. Bu sayede tekrar tekrar aynı kurulumları yapmak ile uğraşmak yerine bu hazırlanan blueprintleri kullanabilirsiniz.

Monitoring and Reporting in Azure

Tags

Azure Tags sayesinde resourcelarımızı çeşitli etiketler ile etiketleyebiliriz. Tags bize yönetim kolaylığı sağlar ve herhangi bir ücrete tabi değildir.

Her tag, bir name ve value'dan oluşur.

Tag'lerin limitlerini bilmek bu aşamada daha faydalı olacaktır.

  • Belirli resource türleri tag'leri destekler ancak bazı resource türleri tag'leri desteklemez.
  • Her resource veya resource grubu en fazla 50 tag'e sahip olabilir. (Storage Account an itibariyle -Haziran 2020- yalnızca 15 tag destekliyor ancak gelecek güncelleme ile bu sınır 50 olacak) İzin verilenden daha fazla tag kullanmak için JSON string kullanılması mümkündür.
  • Tag name maksimum 512 karakter, value ise 256 karakter ile sınırlıdır. Aynı sınırlar storage accountlarda da şu şekildedir: name = 128, value = 256.
  • VM ve VM Sets, name ve value karakter değerlerinin toplamı 2048 karakteri geçmeyecek şekilde yapılandırılmıştır.
  • Bir resource grubuna bir tag uyguladığınızda, o gruptaki tek bir resource o tag'i miras olarak alamaz.
  • Dilerseniz Azure Policy'yi kullanarak tag'leri zorunlu hale de getirebilirsiniz.

Azure Monitor

Azure Monitor, cloud veya on-premises sistemlerden telemetri toplamak, analiz etmek ve bunlara göre hareket etmenizi sağlamak için oluşturulmuş monitoring servisidir. Uygulamalarınızın performansını anlamanıza yardımcı olur ve onları etkileyen durumları sizin için tanımlar.

Peki Azure Monitor hangi verileri toplar:

Azure Monitor, uygulamalarınızdan, işletim sistemlerinden ve onların servislerinden, platformun kendisine kadar birçok katmandan veri toplayabilir.

  • Application Monitoring Data
  • Guest OS Monitoring Data
  • Azure Resource Monitoring Data
  • Azure Subscription Monitoring Data
  • Azure Tenant Mobitoring Data

Azure Health Service

Azure Health Service, Azure'daki servislerle ilgili bir sorun olup olmadığını inceler ve size çeşitli bildirimlerde bulunur. Ayrıca Health Service ile planlı bakım veya kaynaklarınızın kullanılabilirliğini etkileyebilecek değişikliklere hazırlanmanıza da yardımcı olabilir.

Azure Health Service'i üç kategoride inceleyebiliriz:

Azure Status, Azure servislerinin health durumu hakkında size bilgi verir.

Service Health, Azure servislerini kullandığınız bölgelerdeki durumları monitor eden özelleştirebileceğiniz bir dashboard sağlar. Aytıca 90 güne kadar health geçmişini görebilirsiniz.

Resource Health, Azure servislerinden birisi resource'larınıza etki eden durumlar oluşturduğunda bunları tanılamanızı sağlar. Ayrıca bir SLA'in ihlal edilip edilmediğini buradan kontrol edebilirsiniz.

Monitoring Applications and Services

Analyze:

Application Insights, hem cloud'da hem on-premises olarak barındırdığınız web uygulamalarının availability, usage ve performance konularını monitor edebildiğiniz bir servistir. Aynı zamanda Microsoft Visual Studio ile entegrasyonu vardır.

Azure Monitor for Containers, AKS yani Azure Kubernetes servisinde barındırılan container'ların iş yüklerini ve performanslarını izlemek için tasarlanmış bir hizmettir. Kubernetes'de metrics API aracılığıyla CPU ve memory verileri controller, node ve container'lardan toplanarak performansın görünür olması sağlanır. Ayrıca container logs da toplanır.

Azure Monitor for VM, tamamen VM'leriniz için geliştirilmiş olan bu servis Windows ve Linux VM'lerinizin performanslarını, sağlıklarını analiz ederek size bir dashboard sunar. Dilerseniz on-premises olarak çalıştırdığınız uygulamalarınızı da buraya bağlayabilirsiniz.

Respond:

Alerts, Azure Monitor üzerinden oluşturduğunuz alarmları ifade eder. Kritik durumlarda müdahale edebilmeniz için alert'lar oluşturarak sorun çıkmadan veya çıkmaya yaklaşırken uyarı alarak müdahale edebilirsiniz. Neredeyse gerçek zamanlı olarak çalışır diyebilriz.

Autoscale, Azure Monitor'un uygulamanızdaki yükü etkili bir şekilde yönetmek ve doğru miktarda kaynağa sahip olduğunuzdan emin olmak için kullandığı bir servistir. Toplanan metrikler sayesinde kullanılmayan kaynakları kaldırarak Azure maliyetlerinizi minimum'a indirirken daha fazla kaynağa ihtiyacınız olduğunda otomatik olarak kaynak yaratarak sisteminizin çalışma süresinin aksamasına engel olabilirsiniz.

Visualize:

Bu servis, izleme verilerini grafikler ve tablolar kullanarak daha etkin raporlama modülleri oluşturmanızı sağlamak için vardır. Azure Monitor izleme verilerini görselleştirmek için kendi özelliklerine sahiptir ancak spesifik ayarlamalar yapmak isterseniz aşağıdaki tool'ları kullanabilirsiniz:

  • Dashboards
  • Views
  • Power BI

Privacy, Compliance and Data Protection Standarts'ın detaylarını buraya tıklayarak Microsoft'un resmi dokümanı üzerinden inceleyebilirsiniz.

3. bölümün de sonuna geldik. 4. bölümde görüşmek üzere.

Kaynak: