Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлено общее описание архитектуры и управления Azure. Системная среда Azure состоит из следующих сетей:
- Рабочая сеть Microsoft Azure (сеть Azure)
- Корпоративная сеть Майкрософт (corpnet)
Отдельные ИТ-группы отвечают за операции и обслуживание этих сетей.
Архитектура Azure
Azure — это платформа облачных вычислений и инфраструктура для создания, развертывания и управления приложениями и службами через сеть центров обработки данных. Корпорация Майкрософт управляет этими центрами обработки данных. На основе указанного количества ресурсов Azure создает виртуальные машины (ВМ) в зависимости от потребности в ресурсах. Эти виртуальные машины выполняются в гипервизоре Azure, который предназначен для использования в облаке и недоступен для общественности.
На каждом узле физического сервера Azure есть гипервизор, который работает непосредственно над оборудованием. Гипервизор делит узел на переменное количество гостевых виртуальных машин. Каждый узел также имеет одну корневую виртуальную машину, которая запускает операционную систему узла. Брандмауэр Windows включен на каждой виртуальной машине. Вы определяете, какие порты могут быть адресованы, настраивая файл определения службы. Эти порты являются единственными открытыми и адресируемыми, внутренними или внешними. Весь трафик и доступ к диску и сети передается гипервизором и корневой операционной системой.
На уровне узлов виртуальные машины Azure выполняют настраиваемую и завершенную версию последней версии Windows Server. Azure использует версию Windows Server, которая включает только эти компоненты, необходимые для размещения виртуальных машин. Это повышает производительность и уменьшает область атак. Границы компьютера применяются гипервизором, который не зависит от безопасности операционной системы.
Управление Azure с помощью фабричных контроллеров
В Azure виртуальные машины, работающие на физических серверах (колонках или узлах), группируются в кластеры около 1000. Виртуальные машины независимо управляются масштабируемым и избыточным программным компонентом платформы, называемым контроллером структуры (FC).
Каждый ФК управляет жизненным циклом приложений, работающих в своем кластере, и подготавливает и отслеживает работоспособность оборудования под его контролем. Он выполняет автономные операции, например реинкарнацию экземпляров виртуальных машин на работоспособных серверах при определении сбоя сервера. ФК также выполняет операции управления приложениями, такие как развертывание, обновление и масштабирование приложений.
Центр обработки данных делится на кластеры. Кластеры изолируют ошибки на уровне FC и препятствуют определенным классам ошибок влиять на серверы за пределами кластера, в котором они происходят. FCs, обслуживающие определенный кластер Azure, группируются в кластер FC.
Инвентаризация оборудования
ФК подготавливает учет аппаратных и сетевых устройств Azure во время процесса начальной конфигурации. Все новые аппаратные и сетевые компоненты, поступающие в рабочую среду Azure, должны соответствовать процессу настройки начальной загрузки. ФК отвечает за управление всей инвентаризацией, указанной в файле конфигурации datacenter.xml.
Образы операционной системы, управляемые FC
Команда операционной системы предоставляет образы в виде виртуальных жестких дисков, развернутых на всех узлах и гостевых виртуальных машинах в рабочей среде Azure. Команда создает эти базовые образы с помощью автоматизированного процесса автономной сборки. Базовый образ — это версия операционной системы, в которой ядро и другие основные компоненты были изменены и оптимизированы для поддержки среды Azure.
Существует три типа образов операционной системы, управляемых структурой:
- Хост: настраиваемая операционная система, которая работает на виртуальных машинах хоста.
- Native: собственная операционная система, которая работает на арендаторах (например, Azure Storage). Эта операционная система не имеет гипервизора.
- Гость: гостевая операционная система, которая работает на гостевых виртуальных машинах.
Операционные системы, управляемые хостом и собственные системы, управляемые FC, предназначены для использования в облаке и не являются общедоступными.
Хостовые и родные операционные системы
Образы операционных систем под названием Host и Native, которые обслуживают фабричных агентов, выполняются на вычислительном узле (запускаются как первая виртуальная машина на узле) и на узлах хранения. Преимущество использования оптимизированных базовых образов хоста и нативных систем заключается в том, что это уменьшает область поверхности, открываемую API или неиспользуемыми компонентами. Они могут представлять высокий риск безопасности и увеличить объем операционной системы. Операционные системы с уменьшенным объемом ресурсов включают только компоненты, необходимые для Azure.
Операционная система гостя
Внутренние компоненты Azure, работающие на виртуальных машинах гостевой операционной системы, не имеют возможности запускать протокол удаленного рабочего стола. Любые изменения в базовых параметрах конфигурации должны пройти через процесс управления изменениями и выпусками.
Центры обработки данных Azure
Команда Microsoft Cloud Infrastructure and Operations (MCIO) управляет физической инфраструктурой и центра обработки данных для всех веб-служб Майкрософт. MCIO в первую очередь отвечает за управление физическими и экологическими элементами управления в центрах обработки данных, а также управление и поддержка внешних сетевых устройств периметра (таких как пограничные маршрутизаторы и маршрутизаторы центра обработки данных). MCIO также отвечает за настройку минимально необходимого оборудования сервера на стойках в центре обработки данных. У клиентов нет прямого взаимодействия с Azure.
Команды по управлению службами и службам
Различные инженерные группы, известные как команды служб, управляют поддержкой службы Azure. Каждая группа служб отвечает за область поддержки Azure. Каждая команда службы должна предоставить инженера, доступного 24/7, для исследования и устранения сбоев в работе службы. Команды служб по умолчанию не имеют физического доступа к оборудованию, работающему в Azure.
Команды служб:
- Платформа приложения
- Майкрософт Ентра айди
- Вычислительные услуги Azure
- Azure Net
- Облачные инженерные службы
- ISSD: безопасность
- Многофакторная проверка подлинности
- База данных SQL
- Хранение
Типы пользователей
Сотрудники (или подрядчики) корпорации Майкрософт считаются внутренними пользователями. Все остальные пользователи считаются внешними пользователями. Все внутренние пользователи Azure имеют свой статус сотрудника, разделенный на уровень конфиденциальности, определяющий доступ к данным клиента (доступ или нет доступа). Привилегии пользователей в Azure (разрешение авторизации после проверки подлинности) описаны в следующей таблице:
| Должность | Внутренний или внешний | Уровень чувствительности | Авторизованные привилегии и функции, выполняемые | Тип доступа |
|---|---|---|---|---|
| Инженер центра обработки данных Azure | Внутреннее | Нет доступа к данным клиента | Управление физической безопасностью локальной среды. Проводите патрулирование и выход из центра обработки данных и отслеживайте все точки входа. Сопровождать в центр обработки данных и из него некоторых сотрудников без допуска, которые предоставляют общие услуги (такие как питание или уборка) или выполняют IT-работы в центре обработки данных. Проводите обычный мониторинг и обслуживание сетевого оборудования. Выполнение работы по управлению инцидентами и устранению неисправностей с помощью различных средств. Проводите обычный мониторинг и обслуживание физического оборудования в центрах обработки данных. Доступ к окружающей обстановке по запросу со стороны владельцев недвижимости. Способен выполнять криминалистические расследования, вести журналы инцидентов и требовать обязательное обучение по безопасности и соблюдение политики. Оперативное владение и обслуживание критически важных средств безопасности, таких как сканеры и сбор журналов. | Постоянный доступ к среде. |
| Тридж инцидентов Azure (инженеры быстрого реагирования) | Внутреннее | Доступ к данным клиента | Управление взаимодействием между MCIO, поддержкой и инженерными командами. Инциденты платформы triage, проблемы развертывания и запросы на обслуживание. | Доступ к информационной среде в режиме «точно вовремя» с ограниченным постоянным доступом к системам, не являющимся клиентами. |
| Инженеры по развертыванию Azure | Внутреннее | Доступ к данным клиента | Развертывание и обновление компонентов платформы, программного обеспечения и запланированных изменений конфигурации в поддержке Azure. | Доступ к информационной среде в режиме «точно вовремя» с ограниченным постоянным доступом к системам, не являющимся клиентами. |
| Поддержка при сбое обслуживания для арендаторов Azure | Внутреннее | Доступ к данным клиента | Отладка и диагностика сбоев и неисправностей платформы для отдельных вычислительных арендаторов и учетных записей Azure. Анализ ошибок. Внедрение критически важных исправлений на платформе или для клиента и продвижение технических улучшений в поддержке. | Доступ к информационной среде в режиме «точно вовремя» с ограниченным постоянным доступом к системам, не являющимся клиентами. |
| Инженеры динамических сайтов Azure (инженеры мониторинга) и инциденты | Внутреннее | Доступ к данным клиента | Диагностика и устранение неполадок работоспособности платформы с помощью средств диагностики. Организация исправлений для драйверов хранения, восстановление элементов, вызванных сбоями, а также содействие в действиях по устранению сбоев. | Доступ к информационной среде в режиме «точно вовремя» с ограниченным постоянным доступом к системам, не являющимся клиентами. |
| Клиенты Azure | Внешнее | Не применимо | Не применимо | Не применимо |
Azure использует уникальные идентификаторы для проверки подлинности пользователей и клиентов организации (или процессов, действующих от имени пользователей организации). Это относится ко всем ресурсам и устройствам, которые являются частью среды Azure.
Внутренняя проверка подлинности Azure
Обмен данными между внутренними компонентами Azure защищается с помощью шифрования TLS. В большинстве случаев сертификаты X.509 самозаверяются. Сертификаты с подключениями, к которым можно получить доступ за пределами сети Azure, являются исключением, как и сертификаты для FCs. FCs имеют сертификаты, выданные Центром Сертификации Microsoft, который поддерживается доверенным корневым Центром Сертификации. Это позволяет легко обновлять открытые ключи FC. Кроме того, средства разработчика Майкрософт используют открытые ключи FC. Когда разработчики отправляют новые образы приложений, образы шифруются с открытым ключом FC, чтобы защитить все внедренные секреты.
Проверка подлинности аппаратного устройства Azure
FC поддерживает набор учетных данных (ключей и /или паролей), используемых для проверки подлинности на различных аппаратных устройствах под его контролем. Корпорация Майкрософт использует систему для предотвращения доступа к этим учетным данным. В частности, транспорт, сохраняемость и использование этих учетных данных предназначены для предотвращения доступа разработчиков, администраторов, служб резервного копирования и персонала к чувствительной, конфиденциальной или частной информации.
Корпорация Майкрософт использует шифрование на основе открытого ключа главного удостоверения FC. Это происходит во время настройки FC и перенастройки FC, чтобы передать учетные данные, используемые для доступа к сетевым устройствам. Когда FC нужны учетные данные, он извлекает и расшифровывает их.
Сетевые устройства
Группа сетей Azure настраивает учетные записи службы сети, чтобы клиент Azure мог проходить проверку подлинности на сетевых устройствах (маршрутизаторы, коммутаторы и подсистемы балансировки нагрузки).
Администрирование безопасной службы
Персонал, работающий с Azure, должен использовать защищенные рабочие станции администрирования (SAW). Клиенты могут реализовать аналогичные элементы управления с помощью рабочих станций привилегированного доступа. При использовании SAW администраторы используют отдельную учетную запись администратора, отдельную от стандартной учетной записи пользователя. SAW основывается на этой практике разделения учетных записей, предоставляя надежную рабочую станцию для этих конфиденциальных учетных записей.
Дальнейшие шаги
Дополнительные сведения о действиях корпорации Майкрософт для защиты инфраструктуры Azure приведены в следующих статьях:
- Объекты Azure, локальные и физические средства безопасности
- Доступность инфраструктуры Azure
- Архитектура сети Azure
- Рабочая сеть Azure
- Функции безопасности базы данных SQL Azure
- Рабочие операции и управление Azure
- Мониторинг инфраструктуры Azure
- Целостность инфраструктуры Azure
- Защита данных клиентов Azure