Hantering och drift av Azure-produktionsnätverket

Den här artikeln beskriver hur Microsoft hanterar och driver Azures produktionsnätverk för att skydda Azure-datacenter.

Övervaka, logga och rapportera

Hanteringen och driften av Azures produktionsnätverk är en samordnad insats mellan driftteamen i Azure och Azure SQL Database. Teamen använder flera verktyg för system- och programprestandaövervakning i miljön. Och de använder lämpliga verktyg för att övervaka nätverksenheter, servrar, tjänster och programprocesser.

För att säkerställa säker körning av tjänster som körs i Azure-miljön implementerar driftteamen flera nivåer av övervakning, loggning och rapportering, inklusive följande åtgärder:

• I första hand samlar Microsoft Monitoring Agent (MMA) in information om övervaknings- och diagnostikloggar från många platser, inklusive infrastrukturkontrollanten (FC) och rotoperativsystemet (OS) och skriver den till loggfiler. Agenten skickar så småningom en sammanfattad delmängd av informationen till ett förkonfigurerat Azure Storage-konto. Dessutom läser den fristående övervaknings- och diagnostiktjänsten olika övervaknings- och diagnostikloggdata och sammanfattar informationen. Övervaknings- och diagnostiktjänsten skriver informationen till en integrerad logg. Azure använder den anpassade Azure-säkerhetsövervakningen, som är ett tillägg till Azure-övervakningssystemet. Den har komponenter som observerar, analyserar och rapporterar om säkerhetsrelaterade händelser från olika platser på plattformen.

• Azure SQL Database Windows Fabric-plattformen tillhandahåller hanterings-, distributions-, utvecklings- och driftstillsynstjänster för Azure SQL Database. Plattformen erbjuder distribuerade distributionstjänster i flera steg, hälsoövervakning, automatiska reparationer och serviceversionsefterlevnad. Den tillhandahåller följande tjänster:

  • Tjänstmodelleringsfunktioner med hög återgivningsutvecklingsmiljö (datacenterkluster är dyra och knappa).
  • Arbetsflöden för distribution och uppgradering med ett klick för tjänststövlar och underhåll.
  • Hälsorapportering med automatiserade reparationsarbetsflöden för att aktivera självåterställning.
  • Övervakning, avisering och felsökning i realtid över noderna i ett distribuerat system.
  • Centraliserad insamling av driftdata och mått för distribuerad rotorsaksanalys och serviceinsikt.
  • Operativa verktyg för distribution, ändringshantering och övervakning.
  • Azure SQL Database Windows Fabric-plattformen och övervakningsskripten körs kontinuerligt och övervakas i realtid.

Om några avvikelser inträffar aktiveras incidenthanteringsprocessen följt av Azure-teamet för incidenttriage. Lämplig Azure-supportpersonal meddelas för att svara på incidenten. Problemspårning och lösning dokumenteras och hanteras i ett centraliserat biljettsystem. Systemupptidsmått är tillgängliga enligt sekretessavtalet (NDA) och på begäran.

Företagsnätverk och multifaktoråtkomst till produktion

Företagsnätverksanvändarbasen innehåller Azure-supportpersonal. Företagsnätverket stöder interna företagsfunktioner och innehåller åtkomst till interna program som används för Azure-kundsupport. Företagsnätverket är både logiskt och fysiskt separerat från Azures produktionsnätverk. Azure-personal får åtkomst till företagsnätverket med hjälp av Azure-arbetsstationer och bärbara datorer. Alla användare måste ha ett Microsoft Entra-konto, inklusive ett användarnamn och lösenord, för att få åtkomst till företagets nätverksresurser. Företagsnätverksåtkomst använder Microsoft Entra-konton, som utfärdas till all Microsoft-personal, leverantörer och leverantörer och hanteras av Microsoft Information Technology. Unika användaridentifierare särskiljer personal baserat på deras anställningsstatus på Microsoft.

Åtkomst till interna Azure-program styrs genom autentisering med Active Directory Federation Services (AD FS) (AD FS). AD FS är en tjänst som hanteras av Microsoft Information Technology och som tillhandahåller autentisering av företagsnätverksanvändare genom att tillämpa en säker token och användaranspråk. MED AD FS kan interna Azure-program autentisera användare mot Microsofts active directory-domän. För att få åtkomst till produktionsnätverket från företagsnätverksmiljön måste användarna autentisera med hjälp av multifaktorautentisering.

Nästa steg

Mer information om vad Microsoft gör för att skydda Azure-infrastrukturen finns i:

• Azure-anläggningar, lokal och fysisk säkerhet
• Tillgänglighet för Azure-infrastruktur
• Komponenter och gränser för Azure-informationssystem
• Azure-nätverksarkitektur
• Azure-produktionsnätverk
• Säkerhetsfunktioner i Azure SQL Database
• Övervakning av Azure-infrastruktur
• Azure-infrastrukturintegritet
• Azure-kunddataskydd