Universal security grupları genellikle birden çok etki alanındaki ilgili kaynaklara izin atamak için kullanılır. Herhangi bir etki alanından üyeler bu gruba eklenebilir.Ayrıca herhangi bir etki alanındaki kaynaklara erişim izinleri atamak için universal grup kullanabilirsiniz. Universal gruplar, herhangi bir etki alanı içerisindeki kullanıcıları, diğer universal grupları ve global grupları üye olarak kabul edebilir.

Global security grupları, genellikle benzer ağ erişim gereksinimlerini paylaşan kullanıcıları düzenlemek için kullanılır. Üyeler yalnızca global grubun oluşturulduğu etki alanından eklenebilir.

Herhangi bir etki alanındaki kaynaklara erişim izinleri atamak için global bir grup kullanılabilir. Genel kapsam, aynı etki alanındaki kullanıcı hesaplarını ve global grupları içerebilir ve herhangi bir etki alanındaki evrensel ve domain local gruplarına üye olabilir.

Domain local grupları, çoğunlukla kaynaklara erişim izinleri atamak için kullanılır. Bu izinleri yalnızca domain local grubunu oluşturduğunuz aynı etki alanında atayabilirsiniz. Herhangi bir etki alanındaki üyeler, domain local grubuna eklenebilir. Temel amacı ilgili domain içerisindeki kaynaklara yetki atamalarını kullanıcı bazlı değil grup bazlı yapmaktır.

Bu tip erişim kontrol yöntemi, ABAC ve RBAC'ın bir kombinasyonu olarak düşünülür. Politikalar, hangi rollerin, hangi niteliklerle hangi sistemlere ve verilere erişebileceğini belirlemek için kurulur.

Bu üç erişim denetimi yönteminden nitelik tabanlı erişim denetimi (ABAC), muhtemelen amaca dayalı erişim denetimine en yakın yöntemdir. Amaca dayalı erişim denetimi de RBAC ile benzerlikler paylaşır, ancak yukarıda belirtildiği gibi, RBAC artık verilerimizi yeterince korumak ve ilgili veri gizliliği yasalarına uymak için yeterince ayrıntılı olarak kabul edilmemektedir.

Sadece bu da değil, RBAC çok fazla manuel girdi gerektirir, bu da yalnızca izin verme/iptal etme sürecini yavaşlatmakla kalmaz, aynı zamanda sürekli bakım gerektirir ve hataya açıktır. Ayrıca, amaca dayalı erişim kontrolünün, gerekirse yukarıdaki yöntemlerin bazıları veya tümü ile birleştirilebileceğini belirtmekte fayda var.

ABAC, belirli bir kullanıcının belirli özelliklerine göre erişimin verildiği/iptal edildiği yerdir. Örneğin, kullanıcı bir çalışansa ve departmanı İK ise, İK/Bordro sistemine yalnızca şirketin saat dilimiyle ilgili saatlerde erişim izni verilecektir. ABAC'a bazen politika tabanlı erişim kontrolü de denir ve bu pek yardımcı olmaz.

Kaynaklara erişimin daha güvenli bir hale gelmesi için geliştirilen yeni nesil bir güvenlik anlayışıdır. Malum yetkili hesapların ele geçirilmesi sonrasında kötü niyetli kişiler ne yazık ki tüm sistemlere erişeibliyor. Bundan dolayı RBAC dediğimiz role tabanlı, yani sorumluluk tabanlı erişim kontrol sistemleri geliştirildi. Örneğin sadece kullanıcı işlemleri yapacak bir kişiye ona ait sınırlı yetkiler veren bir model gibi düşünebilirsiniz.

Peki şu anda kabul görmüş erişim kontrol mekanizmaları nelerdir?

Attribute-Based Access Control (ABAC)
Role-Based Access Control (RBAC)
Policy-Based Access Control (also known as PBAC)

Peki PBAC tam olarak ne sağlar?

Amaca dayalı erişim kontrolü, basitliği ve esnekliği nedeniyle giderek daha popüler hale geliyor. PBAC, GDPR ve HIPAA gibi veri gizliliği düzenlemelerine uyulmasına da yardımcı olabilir. Örneğin, GDPR'nin Amaç Sınırlaması İlkesi, "Kişisel veriler yalnızca meşru ve belirli bir amaç için toplanmalı ve işlenmelidir" der.

Bu nedenle, kullanıcıların ve uygulamaların belirli bir amaç için erişim talepleri gönderebilmesi, herhangi bir zamanda yalnızca ihtiyaç duydukları sistemlere ve verilere erişmelerini sağlayacaktır. PBAC, her erişim talebi ve onayı güvenlik ekibi tarafından kaydedilip gözden geçirilebildiği için denetime de yardımcı olur.

Bildiğiniz gibi Microsoft Active Directory bir Identity and Access Management ürünüdür. Yani temel olarak kimlik ve erişim altyapısı sunar. Bir kişi Microsoft sistemlerinde bir kaynağa erişmek ister ise önce kimliğini doğrular sonra ise isteğine göre eğer yetkisi var ise yetkilendirilir.

Burada bir Microsoft işletim sistemi ve üzerindeki herhangi bir kaynağa erişmek istediğiniz zaman size bu servisi sunan sunucuya veya makineye "Service Provider" denir. SP üzerinde çalışan lsass.exe karşılar ve ilgili kaynağa ulaşmak isteyen kişiye kimsin sen sorusunu sorar. Aldığı cevabı ise bir kimlik sağlayıcı olan (Identity Provider IdP) Active Directory veri tabanın sorar.

Buraya kadar her şey güzel ama malum Dünya da sadece Microsoft ekosistemi yoktur. Peki şöyle bir senaryo düşünelim? Servis sağlayıcı sunucu, uygulama veya servis ile Identity Provider olan sistem faklı platformlarda ise ne olacak? Böyle bir senaryoda bu iki platform arasındaki kimlik doğrulama ve yetkilendirme verilerinin iletilmesi için kullanılan bir standarta ihtiyaç vardır. İşte tam bu noktada OASIS Organization for the Advancement of Structured Information bu konuda SAML standartını geliştirmiştir.

Özetle kimlik sağlayıcılar ile servis sağlayıcıların ortak bir dil ile konuşması ve bu sayede günümüzde SSO olarak bilinen tekli oturum açma özelliklerinin farklı platformlarda da sorunsuz çalışmasını sağlar.

Otonom Sistem (AS), ağ veya internete açık her bir local yönetimi olan alana denir.
Tek bir idari varlık veya etki alanı adına kaydedilen, bir veya daha fazla ağ operatörünün kontrolü altındaki yönlendirilebilir İnternet Protokolü (IP) ön ekleri kümesidir ve
her AS arasinda route bilgilerini paylasabilmek icin Border Gateway Protocol (BGP) yönlendirmesinde kullanılmak üzere 16 bitlik bir numara, Ootonom Sistem Numarası (ASN) atanır.

ASN, İnternet Tahsisli Numaralar Kurumu (IANA) tarafından Yerel İnternet Kayıtlarına (LIR'ler) ve Bölgesel İnternet Kayıtlarına (RIR'ler) bloklar halinde atanır.
ASN, bilgisi kullanılarak bir IP’nin bulunduğu ISS ve ISP’lerin IP blokları tespit edilebilir. Özetle İnternete bağlanan cihaz bir ASN altındadır.

Şuan TR için 15217 adet ayrı ASN listelenmiştir. Örnek;
9095 Istanbul Teknik Universitesi
9121 Turk Telekomunikasyon Anonim Sirketi
16135 Turkcell Iletisim Hizmetleri A.S

RDMA temel olarak Kernel katmanını atlayarak doğrudan network kartlarının uygulamalar ile konuşmasını sağlayan bir protokoldür. Bu sayede bir bilgisayarın belleğinden diğer bir bilgisayarın belleğine, her iki bilgisayarın da işletim sistemlerini etkilemeden veri aktarımını sağlar. Genellikle cluster yapılarında kullanılır. Bu sayede aynı anda çalışması gereken veya birisi down olduğunda diğerinin mevcut veriler ile hizmet vermeye devam etmesi gereken iki veya daha fazla sunucunun uygun RDMA kartları ile eş zamanlı olarak bellek üzerindeki verileri kullanmasını sağlar.

görsel

S2D mimarisinde eğer cache disklerinin kapasitesi farklı ise bunu otomatik dengeleyen sistemdir. Storage Spaces Direct, IO'yu node'ların arasında eşit olarak dağıtır ve önbellek-kapasite oranına göre ayrım yapmaz.
görsel

Kurulu, mevcut veya bazen fazla, kullanılamayan kapasite anlamına gelir. Örnek 3 sunuculu bir Azure Stack HCI kümesi kuruyorsunuz, iki sunucu 10TB kapasiteye sahip iken bir tanesi 15TB kapasiteye sahip. Raid ya da bir başka adı ile koruma teknolojisi olarak 3-way mirror seçtiğiniz zaman, bir verinin toplama 3 kopyasının olması gerektiği için aşağıdaki gibi aslında bu ek 5TB kapasite cluster için bir şey ifade etmez. Yani atıl ve kullanılamayan kapasitedir.

görsel

Bir diskin kullanım ömrü boyunca kümülatif olarak ne kadar veri yazılacağının ölçü birimidir.

Örneğin, sürücünüz 365 TBW olarak derecelendirildiyse, bu, değiştirmeniz gerekmeden önce sürücünüze 365 TB yazabileceğiniz anlamına gelir.

Garanti süresi 5 yıl ise, bu 365 TB ÷ (5 yıl × 365 gün/yıl) = günde 200 GB yazma anlamına gelir. Sürücünüz 200 GB boyutundaysa, bu 1 DWPD 'ye eşdeğerdir. Buna bağlı olarak, sürücünüz 3,65 PBW = 3,650 TBW olarak derecelendirildiyse, bu, günde 2 TB yazma veya 10 DWPD'ye karşılık gelir.

Günlük Sürücü Yazma Sayısı (DWPD), kullanım ömrü boyunca her gün sürücünün tüm boyutunun üzerine kaç kez yazabileceğinizi ölçer. Örneğin, sürücünüzün 200 GB olduğunu ve garanti süresinin 5 yıl olduğunu varsayalım. DWPD'si 1 ise, bu, önümüzdeki beş yıl boyunca her gün 200 GB (boyutu, bir kez) yazabileceğiniz anlamına gelir.

Bu değer neden önemlidir? Genelde kapasite disklerinde bu değer 1 de olsa müşterilerin işini görebilir ancak bu sürücüyü cache disk olarak alacaksanız o zaman bu değerin 3 olması idealdir.

Merkezi olarak kimlik doğrulama sonrasında bir den çok platform için şifre sormadan geçiş yapma özelliği olarak özetlenebilir. Örneğin active directory için windows işletim sistemine login oldunuz, bu sırada şifrenizi sisteme verdiniz ve kimliğinizi doğruladınız. Sonra şirket portalı için www.portal gibi adrese girdiniz. Portalda bir daha kimlik doğrulama istenebilir veya SSO yani tek bir login sonrasında bu platforma da bir kez daha şifre vermeden girmek isterseniz bu platform ile AD arasında bir entegrasyon yapmanız gerekli. Veya oradan başka bir sunucuya, printer dan çıktı almak, ERP sistemine bağlanmak gibi kimlik doğrulama isteyen başka platformlar ile AD veya kullandınız Azure AD, ya da başka bir merkezi kimlik doğrulama sistemi ile bu sistemler arasında entegrasyon yaparsanız tek bir kez login işleminden sonra diğer tüm platformlara login istemeden giriş yapabilirsiniz. Bu tabi kritik sistemler için zafiyet doğurabilir ondan bu tür sistemlerde genelde SSO önerilmez.

Sunucu veya network sistemlerine bağlanmayı sağlayan yönetim araçlarına verilen isimlerdir. Örneğin Dell iDRAC, HPE ILO gibi ilgili sunucuların fiziksel portları aracılığı ile kurulan bağlantılar veya network cihazlarına serial kablo ile bağlantı gibi, ilgili cihaza fiziksel bir port aracılığı ile yazılımsal olarak bağlanarak yapılan yönetim şeklidir.

Dağınık network alt yapılarının bulut temelli merkezi yönetimine verilen isimdir. Hem network katmanı hem de güvenlik katmanını tek bir arayüzden yönetilmesi sayesinde dağınık network yapıları için iletişim ve güvenlik başlıklarını daha kolay bir şekilde yönetebiliyoruz. Tabi ki maliyet avantajı da sağlayan yeni nesil yönetim platformları SD-WAN, ZTNA ve benzeri teknolojilerin bir araya gelmesiyle oluşmaktadır.

Özellikle pandemi ile birlikte gördük ki dağınık bir network ihtiyacı pandemi sonrasında da home office veya remote workspace başlıklarında devam edecek. Yani artık şirketler kendi merkez binaları ve şubelerinin dışında çalışanları içinde her yerden erişilebilir ancak güvenlik alt yapılar sunmak zorunda. Tabi ki böyle alt yapıları kurmak ve yönetmek mevcut teknolojiler ile zor olduğu için geleceğin teknolojileri arasında sayılan SASE için pek çok üretici platform duyurularını yapmaktadır.

Üreticiye göre farklılık göstermek ile birlikte SASE içerisinde kabul edilen en temel servisler aşağıdaki gibidir;

Firewall as a service
Zero Trust Netwok Access
Secure Web Gateway
Threat Protection
SD-WAN
Centralized Management

Her ayın 3. veya 4. haftasında yayınlanan ve güvenlik yaması olmayan düzeltmelere verilen isimdir. Eğer bu yamaları yüklemezseniz bir sonraki ay düzenli yayınlanan "Salı Yama" larında bunu yükleyebilirsiniz.

Güvenlik güncelleştirmeleri dışındaki bir yama nedeni ile oluşan sorunların hızlı bir şekilde geri alınmasını sağlamak üzerine geliştirilmiş yeni bir windows hizmet iyileştirmesidir.

Daha fazla bilgi için

Makale

Acronis Universal Restore, aygıtı sürücülerini değiştirerek donanımdan bağımsız imaj oluşturma ve geri yüklemesi için kullanılabilir Acronis'in tescilli bir teknolojisidir. Etkinleştirilmesi ve bazı ürünlerde ek olarak satın alınması gereklidir.
Windows HAL değiştirmeye ve önyükleme aygıtı sürücülerini sisteme yüklemeye izin verir.
Uygulamaları ve tüm hazırlığı yapılandırılmış bir sistemin imajı oluşturulduğunda veya çalışan, açılmayan bir sistemin farklı donanıma klonlanmasında seçimli olarak kullanılır.
İmaj alım aşamasında etkinleştirilmesi etkinliğini arttırmaktadır. Piyasadaki nadir alternatiflerine göre daha yüksek başarısı ürün nesilleri ve günün işletim sistemlerine uygun olarak daha fazla sürücüyü içermesiyledir.
Klonlama ve kurtarma işleminin bir parçası olarak, işletim sisteminin önyükleme aygıtından önyükleme yapabilmesi için sisteme önyükleme aygıt sürücülerini (örn. sabit sürücü veya RAID denetleyici sürücüleri) yükler. Sürücülerin bulunduğu klasörde uygun NIC sürücüleri varsa, AUR bunları geri yüklenen sisteme kopyalayacak ve Windows açılışında kurulumlarını planlayacaktır. Diğer tak ve çalıştır sürücüleri başarılı geçişten sonra Windows'a yüklenebildikleri için AUR tarafından kapsanmaz. Sysprep, yalnızca Tak ve Kullan aygıt sürücülerini (ses, ağ, video kartları vb.) sıfırlayabilir. AUR, sysprep süreçlerini içermediğinden haricen uygulanmalıdır.
Şu uygulamalar için geçerlidir:
Arızalı bir sistemin farklı donanımlarda (Disk denetleyicileri, RAID denetleyicileri, NIC) anında kurtarılması (AUR);
İşletim sistemlerinin donanımdan bağımsız klonlanması ve dağıtımı (AUD ve AUR);
Sistem kurtarma, test etme ve diğer amaçlar için fiziksel-sanal ve sanal-fiziksel geçişi (AUR).
Desteklenmeyen sürüm veya sürümler arasında sonradan etkinleştirilemeyebilir. Özellikle RAID kontrolcülerinde mutlak başarım söz konusu olmayabilir. Aygıt yanlış algılanabilir ve doğru sürücü seçilmemiş olabilir. Bootable media bazı RAID kontrolcüleri algılayamadığından desteklemiyor, kontrol için desteğe bakılmalı.
Aşağıdaki ön koşullar önemli durumdadır;
- AUR, imaj Restore işleminden sonra uygulanır;
- AUR, tasarımları gereği en yeni Windows işletim sistemlerine (Windows 10, Windows Server 2012R2, 2016, 2019) sürücü yüklemez. Bu işletim sistemleri, Universal Restore aracılığıyla sürücülerin yüklenmesini kısıtlar ve çok sayıda önceden yüklenmiş sürücü içerir ve çoğu durumda yeni donanımda kendini önyükleyebilir.
- İmaj restore süreci ve disk boot, partition tabloları sihhati sürecinden etkilenecektir.
- UEFI/Secureboot seçimleri öncesinde planlanmalıdır.

Acronis Universal Deploy, uygulamaları ve tüm hazırlığı yapılandırılmış bir sistemin imajı oluşturulduğunda aynı ve farklı donanımlara dağıtmaya ve başlatmaya yardımcı olan Acronis'in tescilli bir teknolojisidir. Tekil uygulamalarda ki (bkz:Acronis Universal Restore (AUR))'un Deployment mimarisi denebilir.
Acronis Snap Deploy ürünü ile desteklenir, kullanılır ve güncellenmektedir. SID değişimini, sysprep uygulamayı içerir uygulanmasını gerektirmez.

Buraya kadar olan kısımda Azure Virtual Desktop servisinin ne olduğundan bahsettik. Azure Stack HCI ile gerek regülasyonlar gerekse iş yüklerimizin gerektirdiği ve bu sebeplerden dolayı On-Premise tarafımızda uygulamalarımızı ya da servislerimizi çalıştırmak durumunda kalabiliriz. İşte bu noktada Azure Virtual Desktop Servisimizi bizler Azure Stack HCI ortamımız üzerinde koşturabiliriz.
Azure Stack HCI Azure Virtual Desktop avantajlarından bahsedecek olursak ;
Kullanıcı ve uygulama verilerimizi kendi veri merkezimizde tutarak regülasyonlar, uygulama gereksinimlerini karşılayabilmek.
İş yüklerimizin bağımlılıklarından dolayı (Database,vb) aynı lokasyonda tutarak performans elde edebilmek.
Windows 10, Windows 11 Multi Session işletim sistemlerini kullanarak maliyetleri minimuma indirebilmek.
Azure Portal üzerinden Azure Virtual Desktop Servisimizi kullanarak yönetim kolaylığının sağlanması.
Azure Stack HCI üzerinde Azure Virtual Desktop servisimizi kullanabilirken aşağıda belirtilen başlıklar bu senaryomuz da şu anda desteklenmemektedir. Fakat burada geliştirmeler devam ederken yol haritasına bakılarak hangi geliştirmelerin olduğu ya da olacağını da aşağıda paylaşmış olduğum adres üzerinden takip edebiliriz.
https://azure.microsoft.com/tr-tr/updates/?query=VirtualDesktop
- Azure Monitor for Azure Virtual Desktop
- Session host scaling with Azure Automation
- Autoscale (preview)
- Start VM on connect
- Multimedia redirection (preview)
- Per-user access pricing

Azure Windows Virtual Desktop ile masaüstü ve uygulamaların dağıtımı, dağıtılan uygulamaların ölçeklendirilebilmesine olanak sağlayan bununla birlikte dakikalar içerisinde dağıtımları gerçekleştirebileceğimiz ve basitleştirilmiş yönetim seçenekleri ile çoklu oturum (Multi Session) ile Windows 10 ve Office 365 ProPlus için optimizasyonları ortaya koyabilen bir çözümdür.
Azure Windows Virtual Desktop bulut üzerinde çalışan bir masaüstü uygulaması hizmetidir. Kurumlarımız içerisinde halihazırda kullandığı bütün uygulama ve araçları kullanabilmek gibi bütün masaüstü avantajlarını sağlayabilen servistir.

Malum uzun yıllardır cluster içerisindeki farklı cpu ürünlerini sanallaştırma katmanı ürünleri uyumlu bir şekilde çalıştırmayı başarmıştır. Ancak buradaki genel kabul gören teknoloji cluster içerisindeki en yavaş cpu hangisi ise diğer sanal makineleri de buna göre ayarlamaktır. Bu durumda yeni sunucularınız ile eski sunucularınızı aynı cluster’ a almak pek anlamlı olmuyordu. Oysaki Azure gibi gen1, gen2 pek çok farklı ve büyüklükteki yapılarda bu işin daha iyi yönetilmesi gerektiği için bir makine yeni nesil cpu ile çalışan bir host’ a taşındığı zaman bu makine otomatik olarak o cpu’ nın tüm özelliklerinden yararlanacak şekilde ayarlanmaktadır. Bu özellike Azure veri merkezinde veya Azure Stack HCI işletim sisteminde sunulmaktadır.

Azure ve benzeri çok büyük veri merkezi altyapısı sunan üreticiler bu altyapıları güncel tutmak için arka planda düzenli olarak yazılım ve donanım katmanında güncelleme yapmaktadır. Cluster mimarisinde çalışan bu sistemlerdeki her bir güncelleme genellikle donanımların yeniden başlatılmasını gerektirmektedir. Sistemler cluster çalıştığı için o sırada ilgili sistemin eşleniği olan sistem taleplere cevap verirken verileri de yazma veya güncelleme işlemlerinden sorumludur. Bakım gören sistem tekrar ayağa kalktıktan sonra ise bu verilerin eşitlenmesi gerekmektedir. Sürekli olarak veril yazılan ve bu işlemin milyonlarsa sunucu, donanımda yapıldığını düşünürseniz bu yeniden başlatmak süreleri ne kadar uzarsa aslında eşitlenecek veri miktarınında o kadar artacağını düşünebilirsiniz.

Kernel Soft Reboot, işletim sistemi akışını düzene sokar, eşitlenecek veri miktarını en aza indirir ve dolayısıyla genel cluster güncelleme süresini azaltarak yeniden başlatma performansını iyileştirir.

Bu konu ile ilgili olarak aşağıdaki uygulama videosunu inceleyebilirsiniz

video

SAP SE, merkezi Walldorf, Almanya'da bulunan, Avrupa'nın en büyük yazılım şirketidir. SAP, 1972 yılında beş eski IBM çalışanı tarafından Systemanalyse und Programmentwicklung ("Systems Analysis and Program Development") adı altında Mannheim, Almanya'da kurulmuştur. 120'den fazla ülkede aktif olan SAP, şirket yazılım uygulamaları çeşitli büyüklükte firmalara sunmaktadır. Şirketin en iyi bilinen ürünleri SAP ERP (Enterprise Resources Planning) ve SAP Business Objects yazılımıdır.

Uzak çalışma, Hibrit iş modeli ve tüketicilere ulaşırken geleneksel, fiziksel yollar yerine yeni yöntemlerin kullanılması ihtiyacından doğmuş bir işletme modelidir.

Müşterilerin temas noktalarını dijitallaştiren ve müşteri deneyimini arttıran teknolojileri kullanmak üzere sanal – uzak teknolojilerine öncelik veren bir mimariye sahip olan şirketlerdir.

Çalışanlar için oluşturulan dijital workspace yani çalışma alanı olarak teams, zoom vb platformlar gösterilebilir.

Ürünlere ise en iyi örnek uzak sağlık hizmetleri verilebilir.

özetle bu şekilde hem kendi çalışanlarına esnek bir ortam sunan hem de müşterilere yine gelenesek yöntemler yerine yeni nesil yöntemler ile ulaşan şirketlere verilen genel isimdir.