Bulut güvenliği, modern BT altyapılarının en kritik bileşenlerinden biri haline gelmiştir. platformunda sanal makinelerin (VM) disk seviyesinde korunmasını sağlayan Azure Disk Encryption (ADE), uzun yıllardır veri güvenliği için kullanılan temel çözümlerden biridir. Ancak yayımlanan son Azure Updates duyurusu ile birlikte bu teknolojinin kullanım ömrünün sonuna yaklaştığı açıklanmıştır.
Bu makalede, ilgili güncellemenin kapsamı, teknik arka planı, etkileri ve yapılması gereken aksiyonlar sade bir dille ele alınmaktadır.
Azure Disk Encryption (ADE) Nedir? Ne İşe Yarar?
Azure Disk Encryption, Azure sanal makinelerinde bulunan işletim sistemi ve veri disklerini şifrelemek için kullanılan bir güvenlik çözümüdür. Windows sistemlerde BitLocker, Linux sistemlerde ise dm-crypt teknolojisini kullanarak disk üzerindeki verileri koruma altına alır.
Bu çözüm, özellikle aşağıdaki ihtiyaçlara yanıt verir:
- Hassas verilerin yetkisiz erişime karşı korunması
- Regülasyon ve uyumluluk gereksinimlerinin karşılanması
- Disk seviyesinde veri güvenliği sağlanması
- Azure Key Vault entegrasyonu ile anahtar yönetimi
Kısacası ADE, verinin “disk üzerinde” şifrelenmesini sağlayarak güvenlik katmanını güçlendirir.
Azure Updates ile Gelen Değişiklik Nedir?
Microsoft tarafından yayımlanan güncellemeye göre:
- Azure Disk Encryption 15 Eylül 2028 tarihinde tamamen kullanımdan kaldırılacaktır (retirement)
- Bu tarihe kadar mevcut sistemler çalışmaya devam edecektir
- Ancak kritik bir detay olarak:
- Bu tarihten sonra ADE kullanılan diskler, VM yeniden başlatıldığında kilidi açılamayacak ve servis kesintisine neden olacaktır
Bu durum, ADE’nin sadece “destek dışı kalması” değil, aynı zamanda aktif sistemlerde doğrudan çalışma kesintisi riski oluşturduğu anlamına gelir.
Microsoft bu nedenle açık şekilde şu öneriyi sunmaktadır:
Yeni ve mevcut tüm sistemler için Encryption at Host (EAH) kullanılmalıdır.
Yeni Yaklaşım: Encryption at Host Nedir?
Encryption at Host (EAH), ADE’den farklı olarak şifreleme işlemini sanal makinenin içinde değil, Azure altyapısının host (fiziksel sunucu) katmanında gerçekleştirir.
Bu yaklaşımın öne çıkan avantajları:
- VM CPU kaynaklarını kullanmaz
- Temp diskler ve cache dahil tüm veri akışlarını kapsar
- Compute ile storage arasındaki veri trafiğini de şifreler
- Daha modern ve performans odaklıdır
Bu nedenle Microsoft, ADE yerine EAH kullanımını yeni standart olarak konumlandırmaktadır.
Güncellemenin Etkileri (Impact Analysis)
Bu değişiklik, Azure üzerinde çalışan birçok sistemi doğrudan etkilemektedir:
- Mevcut ADE Kullanan Tüm VM’ler
- ADE kullanılan tüm sanal makineler bu değişiklikten etkilenir
- Sadece üretim sistemleri değil, backup ve snapshot’lar da kapsama dahildir
- Otomasyon ve Deployment Süreçleri
- ARM template, Terraform veya script’lerde ADE kullanımı varsa güncellenmelidir
- Yeni kurulumlarda ADE tercih edilmemelidir
- Güvenlik ve Uyum Süreçleri
- Kurumların compliance politikaları ADE’ye bağlıysa yeniden değerlendirilmelidir
- Yeni güvenlik mimarisi EAH üzerine kurulmalıdır
- Operasyonel Süreçler
- Restart sonrası disk unlock problemi nedeniyle sistem sürekliliği riske girer
- Bu nedenle migration yapılmadan ADE ile devam etmek kritik risk taşır
En Kritik Nokta: Migration Zorunluluğu
Bu güncellemenin en önemli teknik sonucu şudur:
ADE’den Encryption at Host’a doğrudan (in-place) geçiş mümkün değildir.
Migration süreci şu şekilde özetlenebilir:
- Mevcut diskler doğrudan dönüştürülemez
- Yeni diskler oluşturulmalıdır
- Yeni VM’ler deploy edilmelidir
- Veri kopyalama işlemi yapılmalıdır
- Eski sistem devre dışı bırakılmalıdır
Ek olarak dikkat edilmesi gereken noktalar:
- Migration sırasında downtime gereklidir
- Linux OS disklerinde ADE kaldırma desteklenmez → doğrudan yeni VM gerekir
- Disk metadata (UDE flag) nedeniyle basit kopyalama yeterli değildir
Bu durum migration sürecini teknik olarak karmaşık ve planlama gerektiren bir proje haline getirir.
Kurumlar Ne Yapmalı? (Önerilen Aksiyonlar)
Bu güncelleme sonrasında organizasyonların aşağıdaki adımları atması önerilir:
- Mevcut Durum Analizi
- Hangi VM’lerde ADE kullanıldığı tespit edilmeli
- Kritik sistemler önceliklendirilmeli
- Yeni Kurulum Politikası
- ADE kullanımı tamamen durdurulmalı
- Yeni sistemlerde sadece Encryption at Host tercih edilmeli
- Migration Planı Oluşturma
- Aşamalı geçiş planı hazırlanmalı
- Test ortamında migration senaryoları denenmeli
- Downtime planlaması yapılmalı
- Otomasyon Güncellemeleri
- CI/CD pipeline’ları
- Infrastructure as Code (IaC) şablonları
- Güvenlik politikaları
yeniden düzenlenmelidir.
- Erken Hareket Etme
2028 tarihi uzak gibi görünse de:
- Migration işlemleri manuel ve zahmetlidir
- Büyük ortamlarda yüzlerce VM olabilir
- Operasyonel riskler yüksektir
Bu nedenle geçiş sürecine erken başlanması kritik önem taşır.
Azure Disk Encryption’ın kaldırılması, Azure güvenlik mimarisinde önemli bir dönüşümü temsil etmektedir. Microsoft’un bu kararı, daha modern ve performanslı bir yaklaşım olan Encryption at Host’a geçişi hızlandırmayı amaçlamaktadır.
Ancak bu değişiklik, yalnızca bir teknoloji güncellemesi değil; aynı zamanda:
- Mimari değişiklik
- Operasyonel dönüşüm
- Planlı migration süreci
gerektiren kapsamlı bir geçiştir.
Özetlemek gerekirse, ADE kullanan sistemler için hiçbir aksiyon alınmazsa, 2028 sonrası ciddi servis kesintileri yaşanacaktır. Bu nedenle tüm kurumların bugünden itibaren migration planlarını oluşturması gerekmektedir.
Bir sonraki Azure makalesinde görüşmek üzere.
Referanslar
https://azure.microsoft.com/en-us/updates?id=493779
https://learn.microsoft.com/en-us/azure/virtual-machines/disk-encryption-migrate
TAGs: azure, azure disk, azure disk encryption
