Komponenty a hranice informačního systému Azure
Tento článek obsahuje obecný popis architektury a správy Azure. Systémové prostředí Azure se skládá z následujících sítí:
- Produkční síť Microsoft Azure (síť Azure)
- Podniková síť Microsoftu (corpnet)
Samostatné IT týmy zodpovídají za provoz a údržbu těchto sítí.
Architektura Azure
Azure je platforma a infrastruktura cloud computingu pro vytváření, nasazování a správu aplikací a služeb prostřednictvím sítě datacenter. Microsoft spravuje tato datová centra. Na základě zadaného počtu prostředků Vytvoří Azure virtuální počítače na základě potřeb prostředků. Tyto virtuální počítače běží na hypervisoru Azure, který je navržený pro použití v cloudu a není přístupný veřejnosti.
Na každém fyzickém uzlu serveru Azure je hypervisor, který běží přímo přes hardware. Hypervisor rozdělí uzel na proměnný počet hostovaných virtuálních počítačů. Každý uzel má také jeden kořenový virtuální počítač, na kterém běží hostitelský operační systém. Na každém virtuálním počítači je povolená brána Windows Firewall. Definujete, které porty se dají adresovat konfigurací definičního souboru služby. Tyto porty jsou jediné otevřené a adresovatelné interně nebo externě. Veškerý provoz a přístup k disku a síti je mediánem hypervisoru a kořenového operačního systému.
Virtuální počítače Azure na úrovni hostitele používají přizpůsobenou a posílenou verzi nejnovějšího Windows Serveru. Azure používá verzi Windows Serveru, která zahrnuje pouze ty komponenty potřebné k hostování virtuálních počítačů. Tím se zlepší výkon a sníží se prostor pro útoky. Hranice počítačů vynucuje hypervisor, který nezávisí na zabezpečení operačního systému.
Správa Azure podle kontrolerů prostředků infrastruktury
V Azure jsou virtuální počítače spuštěné na fyzických serverech (v ostřích a uzlech) seskupené do clusterů přibližně 1 000. Virtuální počítače jsou nezávisle spravované škálovanou a redundantní softwarovou komponentou platformy označovanou jako kontroler prostředků infrastruktury (FC).
Každý FC spravuje životní cyklus aplikací spuštěných v clusteru a zřizuje a monitoruje stav hardwaru pod jeho kontrolou. Spouští autonomní operace, jako je reinkarnace instancí virtuálních počítačů na serverech, které jsou v pořádku, když zjistí, že server selhal. FC také provádí operace správy aplikací, jako je nasazení, aktualizace a horizontální navýšení kapacity aplikací.
Datacentrum je rozdělené na clustery. Clustery izolují chyby na úrovni FC a brání určitým třídám chyb, aby ovlivnily servery mimo cluster, ve kterém k nim dochází. FCS, které obsluhují konkrétní cluster Azure, jsou seskupené do clusteru FC.
Inventář hardwaru
FC připraví inventář hardwaru a síťových zařízení Azure během procesu konfigurace bootstrap. Všechny nové hardwarové a síťové komponenty vstupující do produkčního prostředí Azure musí dodržovat proces konfigurace bootstrap. FC zodpovídá za správu celého inventáře uvedeného v konfiguračním souboru datacenter.xml.
Image operačního systému spravovaného FC
Tým operačního systému poskytuje image ve formě virtuálních pevných disků nasazených na všech hostitelských a hostovaných virtuálních počítačích v produkčním prostředí Azure. Tým tyto základní image sestaví prostřednictvím automatizovaného offline procesu sestavení. Základní image je verze operačního systému, ve kterém bylo jádro a další základní komponenty upraveny a optimalizovány pro podporu prostředí Azure.
Existují tři typy imagí operačního systému spravovaných prostředky infrastruktury:
- Hostitel: Přizpůsobený operační systém, který běží na hostitelských virtuálních počítačích.
- Nativní: Nativní operační systém, který běží na tenantech (například Azure Storage). Tento operační systém nemá žádný hypervisor.
- Host: Hostovaný operační systém, který běží na hostovaném virtuálním počítači.
Hostitelské a nativní operační systémy spravované FC jsou navržené pro použití v cloudu a nejsou veřejně přístupné.
Hostování a nativní operační systémy
Hostitel a nativní jsou posílené image operačního systému, které hostují agenty prostředků infrastruktury, a běží na výpočetním uzlu (běží jako první virtuální počítač na uzlu) a uzlech úložiště. Výhodou použití optimalizovaných základních imagí hostitele a nativních je, že snižuje plochu vystavenou rozhraními API nebo nepoužívanými komponentami. To může představovat vysoká rizika zabezpečení a zvýšit nároky na operační systém. Operační systémy s nižšími nároky zahrnují pouze komponenty nezbytné pro Azure.
Hostovaný operační systém
Interní komponenty Azure spuštěné na virtuálních počítačích hostovaného operačního systému nemají možnost spustit protokol Remote Desktop Protocol. Všechny změny standardních nastavení konfigurace musí projít procesem správy změn a verzí.
datacentra Azure
Tým MCIO (Cloud Infrastructure and Operations) Microsoftu spravuje fyzickou infrastrukturu a zařízení datacenter pro všechny online služby Microsoftu. MCIO je primárně zodpovědný za správu fyzických a environmentálních kontrol v datacentrech a také za správu a podporu vnějších hraničních síťových zařízení (například hraničních směrovačů a směrovačů datacenter). MCIO také zodpovídá za nastavení holého hardwaru serveru na rackech v datacentru. Zákazníci nemají žádnou přímou interakci s Azure.
Správa služeb a servisní týmy
Různé technické skupiny, označované jako servisní týmy, spravují podporu služby Azure. Každý tým služeb zodpovídá za oblast podpory Azure. Každý tým služeb musí zpřístupnit technika 24x7, aby mohli prošetřit a vyřešit chyby ve službě. Týmy služeb ve výchozím nastavení nemají fyzický přístup k hardwaru provozovanému v Azure.
Týmy služeb jsou:
- Aplikační platforma
- Microsoft Entra ID
- Azure Compute
- Azure Net
- Cloud Engineering Services
- ISSD: Zabezpečení
- Multifactor Authentication
- Databáze SQL
- Úložiště
Typy uživatelů
Zaměstnanci (nebo dodavatelé) Microsoftu se považují za interní uživatele. Všichni ostatní uživatelé se považují za externí uživatele. Všichni interní uživatelé Azure mají kategorizovaný stav zaměstnance s úrovní citlivosti, která definuje jejich přístup k zákaznickým datům (přístup nebo žádný přístup). Uživatelská oprávnění k Azure (autorizační oprávnění po ověření) jsou popsaná v následující tabulce:
| Role | Interní nebo externí | Úroveň citlivosti | Oprávnění a prováděné funkce | Typ přístupu |
|---|---|---|---|---|
| Technik datacentra Azure | Interní | Žádný přístup k zákaznickým datům | Spravujte fyzické zabezpečení místního prostředí. Proveďte hlídky v datacentru a mimo něj a monitorujte všechny vstupní body. Doprovod do a ven z datacentra, kteří neschválí personál, který poskytuje obecné služby (například stravování nebo čištění) nebo IT pracovníky v rámci datacentra. Proveďte pravidelné monitorování a údržbu síťového hardwaru. Pomocí různých nástrojů můžete provádět správu incidentů a opravovat přerušení. Proveďte pravidelné monitorování a údržbu fyzického hardwaru v datacentrech. Přístup k prostředí na vyžádání od vlastníků nemovitostí Dokáže provádět forenzní vyšetřování, protokolovat sestavy incidentů a vyžadovat povinné požadavky na školení zabezpečení a zásady. Provozní vlastnictví a údržba důležitých nástrojů zabezpečení, jako jsou skenery a shromažďování protokolů. | Trvalý přístup k prostředí. |
| Třídění incidentů Azure (technici rychlé reakce) | Interní | Přístup k datům zákazníků | Spravujte komunikaci mezi MCIO, podporou a technickými týmy. Incidenty platformy pro třídění, problémy s nasazením a žádosti o služby | Přístup k prostředí za běhu s omezeným trvalým přístupem k systémům, které nejsou zákazníky. |
| Technici nasazení Azure | Interní | Přístup k datům zákazníků | Nasaďte a upgradujte komponenty platformy, software a plánované změny konfigurace v podpoře Azure. | Přístup k prostředí za běhu s omezeným trvalým přístupem k systémům, které nejsou zákazníky. |
| Podpora výpadku zákazníků Azure (tenant) | Interní | Přístup k datům zákazníků | Ladění a diagnostika výpadků platformy a chyb pro jednotlivé výpočetní tenanty a účty Azure Analýza chyb Provádět kritické opravy platformy nebo zákazníka a řídit technická vylepšení napříč podporou. | Přístup k prostředí za běhu s omezeným trvalým přístupem k systémům, které nejsou zákazníky. |
| Technici živého webu Azure (monitorovací technici) a incidenty | Interní | Přístup k datům zákazníků | Diagnostika a zmírnění stavu platformy pomocí diagnostických nástrojů Opravy jednotek pro ovladače svazků, položky opravy způsobené výpadky a pomoc s akcemi obnovení výpadku. | Přístup k prostředí za běhu s omezeným trvalým přístupem k systémům, které nejsou zákazníky. |
| Zákazníci Azure | Externí | – | – | N/A |
Azure používá jedinečné identifikátory k ověřování uživatelů organizace a zákazníků (nebo procesů jménem uživatelů organizace). To platí pro všechny prostředky a zařízení, která jsou součástí prostředí Azure.
Interní ověřování Azure
Komunikace mezi interními komponentami Azure je chráněná šifrováním TLS. Ve většině případů jsou certifikáty X.509 podepsané svým držitelem. Certifikáty s připojeními, ke kterým je možné přistupovat mimo síť Azure, jsou výjimkou, stejně jako certifikáty pro FCS. Řadiče domény mají certifikáty vydané certifikátem certifikační autority (CA), která je podporována důvěryhodnou kořenovou certifikační autoritou. To umožňuje snadné převrácené veřejné klíče FC. Kromě toho vývojářské nástroje Microsoftu používají veřejné klíče FC. Když vývojáři odesílají nové image aplikací, obrázky se šifrují pomocí veřejného klíče FC, aby chránili všechny vložené tajné kódy.
Ověřování hardwarových zařízení Azure
FC udržuje sadu přihlašovacích údajů (klíčů a hesel) sloužících k ověření na různých hardwarových zařízeních pod jeho kontrolou. Microsoft používá systém k zabránění přístupu k těmto přihlašovacím údajům. Konkrétně je přenos, trvalost a použití těchto přihlašovacích údajů navržen tak, aby zabránil vývojářům, správcům a službám Zálohování Azure a pracovníkům přístupu k citlivým, důvěrným nebo soukromým informacím.
Microsoft používá šifrování založené na veřejném klíči hlavní identity FC. K tomu dochází v době instalace FC a rekonfigurace FC pro přenos přihlašovacích údajů používaných pro přístup k síťovým hardwarovým zařízením. Když FC potřebuje přihlašovací údaje, FC je načte a dešifruje.
Síťová zařízení
Síťový tým Azure konfiguruje účty síťových služeb tak, aby se klient Azure mohl ověřovat na síťových zařízeních (směrovačích, přepínačích a nástrojích pro vyrovnávání zatížení).
Správa zabezpečených služeb
K používání zabezpečených pracovních stanic pro správu (SAWs) se vyžadují provozní pracovníci Azure. Zákazníci můžou implementovat podobné ovládací prvky pomocí pracovních stanic s privilegovaným přístupem. V případě SAWs správci používají individuálně přiřazený účet pro správu, který je oddělený od standardního uživatelského účtu uživatele. Služba SAW vychází z tohoto postupu oddělení účtů tím, že těmto citlivým účtům poskytuje důvěryhodnou pracovní stanici.
Další kroky
Další informace o tom, co Microsoft dělá, aby pomohl zabezpečit infrastrukturu Azure, najdete tady: