Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona una descripción general de la arquitectura y administración de Azure. El entorno del sistema de Azure se compone de las siguientes redes:
- Red de producción de Microsoft Azure (red de Azure)
- Red corporativa de Microsoft (corpnet)
Los equipos de TI independientes son responsables de las operaciones y el mantenimiento de estas redes.
Arquitectura de Azure
Azure es una plataforma e infraestructura de informática en la nube para crear, implementar y administrar aplicaciones y servicios a través de una red de centros de datos. Microsoft administra estos centros de datos. En función del número de recursos que especifique, Azure crea máquinas virtuales (VM) en función de la necesidad de recursos. Estas máquinas virtuales se ejecutan en un hipervisor de Azure, que está diseñado para su uso en la nube y no es accesible para el público.
En cada nodo de servidor físico de Azure, hay un hipervisor que se ejecuta directamente sobre el hardware. El hipervisor divide un nodo en un número variable de máquinas virtuales invitadas. Cada nodo también tiene una máquina virtual raíz, que ejecuta el sistema operativo host. Firewall de Windows está habilitado en cada máquina virtual. Para definir qué puertos se pueden direccionar, configure el archivo de definición de servicio. Estos puertos son los únicos abiertos y direccionables, interna o externamente. Todo el tráfico y el acceso al disco y la red están mediados por el hipervisor y el sistema operativo raíz.
En la capa de host, las máquinas virtuales de Azure ejecutan una versión personalizada y protegida de la versión más reciente de Windows Server. Azure usa una versión de Windows Server que incluye solo los componentes necesarios para hospedar máquinas virtuales. Esto mejora el rendimiento y reduce la superficie expuesta a ataques. El hipervisor aplica los límites de la máquina, y no dependen de la seguridad del sistema operativo.
Administración de Azure con los controladores de tejido
En Azure, las máquinas virtuales que se ejecutan en servidores físicos (hojas o nodos) se agrupan en clústeres de aproximadamente 1000. Las máquinas virtuales son administradas de forma independiente mediante un componente de software de plataforma redundante y escalada, denominado como 'controlador de malla' (FC).
Cada FC administra el ciclo de vida de las aplicaciones que se ejecutan en su clúster y aprovisiona y supervisa el estado del hardware bajo su control. Ejecuta operaciones autónomas, como reincarnar instancias de máquina virtual en servidores correctos cuando determina que se ha producido un error en un servidor. El FC también realiza operaciones de administración de aplicaciones, como la implementación, actualización y escalamiento de aplicaciones.
El centro de datos se divide en clústeres. Los clústeres aíslan los errores en el nivel de FC y evitan que determinadas clases de errores afecten a los servidores más allá del clúster en el que se producen. Los controladores de tejido que atienden a un clúster de Azure determinado se agrupan en un clúster de controlador de tejido.
Inventario de hardware
FC prepara un inventario de dispositivos de red y hardware de Azure durante el proceso de configuración inicial. Cualquier nuevo componente de hardware y red que ingrese al entorno de producción de Azure debe seguir el proceso de configuración de arranque. El FC es responsable de administrar todo el inventario enumerado en el archivo de configuración de datacenter.xml.
Imágenes de sistema operativo administradas por FC
El equipo del sistema operativo proporciona imágenes, en forma de discos duros virtuales, desplegadas en todas las máquinas virtuales host e invitadas en el entorno de producción de Azure. El equipo construye estas imágenes base a través de un proceso de compilación sin conexión automatizado. La imagen base es una versión del sistema operativo en el que se han modificado y optimizado el kernel y otros componentes principales para admitir el entorno de Azure.
Hay tres tipos de imágenes de sistema operativo administrado por tejido:
- Host: sistema operativo personalizado que se ejecuta en máquinas virtuales host.
- Nativo: es un sistema operativo nativo que se ejecuta en inquilinos (por ejemplo, Azure Storage). Este sistema operativo no tiene ningún hipervisor.
- Invitado: sistema operativo invitado que se ejecuta en máquinas virtuales invitadas.
Los sistemas operativos host y nativos administrados por FC están diseñados para utilizarse en la nube y no son accesibles al público.
Sistemas operativos host y nativos
Los sistemas operativos host y nativo son imágenes reforzadas de sistemas operativos que hospedan a los agentes de tejido, y se ejecutan en un nodo de proceso (se ejecuta como la primera máquina virtual en el nodo) y en los nodos de almacenamiento. La ventaja de utilizar imágenes base optimizadas de host y nativo es que se reduce la superficie expuesta por las API o los componentes no utilizados. Estos pueden presentar riesgos de seguridad elevados y aumentar la huella del sistema operativo. Los sistemas operativos de superficie reducida solo incluyen los componentes necesarios para Azure.
Sistema operativo invitado
Los componentes internos de Azure que se ejecutan en máquinas virtuales del sistema operativo invitado no tienen la oportunidad de ejecutar el protocolo de escritorio remoto. Los cambios realizados en las opciones de configuración de línea base deben pasar por el proceso de administración de cambios y versiones.
Centros de datos de Azure
El equipo de infraestructura y operaciones en la nube (MCIO) de Microsoft administra la infraestructura física y las instalaciones del centro de datos para todos los servicios en línea de Microsoft. MCIO es principalmente responsable de administrar los controles físicos y ambientales dentro de los centros de datos, así como administrar y admitir dispositivos de red perimetral externa (como enrutadores perimetrales y enrutadores del centro de datos). MCIO también es responsable de configurar el hardware mínimo imprescindible de servidor en racks del centro de datos. Los clientes no tienen ninguna interacción directa con Azure.
Administración de servicios y equipos de servicio
Varios grupos de ingeniería, conocidos como equipos de servicio, administran el soporte técnico del servicio de Azure. Cada equipo de servicio es responsable de un área de soporte técnico para Azure. Cada equipo de servicio debe hacer que un ingeniero esté disponible en 24x7 para investigar y resolver errores en el servicio. Los equipos de servicio no tienen, de forma predeterminada, acceso físico al hardware que funciona en Azure.
Los equipos de servicio son:
- Plataforma de aplicaciones
- Microsoft Entra ID
- Servicios de Computación de Azure
- Red de Azure
- Servicios de ingeniería en la nube
- ISSD: Seguridad
- Autenticación multifactor
- Base de datos SQL
- Almacenamiento
Tipos de usuarios
Los empleados (o contratistas) de Microsoft se consideran usuarios internos. Todos los demás usuarios se consideran usuarios externos. Todos los usuarios internos de Azure tienen su estado de empleado categorizado con un nivel de confidencialidad que define su acceso a los datos del cliente (acceso o sin acceso). Los privilegios de usuario para Azure (permiso de autorización después de que tenga lugar la autenticación) se describen en la tabla siguiente:
| Rol | Interno o externo | Nivel de sensibilidad | Privilegios y funciones autorizados realizados | Tipo de acceso |
|---|---|---|---|---|
| Ingeniero de centro de datos de Azure | Interno | Sin acceso a los datos del cliente | Administre la seguridad física del entorno local. Realice patrullas dentro y fuera del centro de datos y supervise todos los puntos de entrada. Acompañar dentro y fuera del centro de datos a cierto personal no autorizado que proporciona servicios generales (como restauración o limpieza) o trabajo de TI dentro del centro de datos. Realice la supervisión rutinaria y el mantenimiento del hardware de red. Realice la gestión de incidentes y la solución de fallos utilizando varias herramientas. Realice la supervisión y el mantenimiento rutinarios del hardware físico en los centros de datos. Acceder al entorno a petición de los propietarios de las instalaciones. Capaz de realizar investigaciones forenses, registrar informes de incidentes y requerir requisitos obligatorios de entrenamiento y directiva de seguridad. Propiedad operativa y mantenimiento de herramientas de seguridad críticas, como escáneres y recopilación de registros. | Acceso persistente al entorno. |
| Evaluación de prioridades de incidentes de Azure (ingenieros de respuesta rápida) | Interno | Acceso a los datos del cliente | Administre las comunicaciones entre los equipos de MCIO, soporte técnico e ingeniería. Evaluar los incidentes de la plataforma, los problemas de implementación y las solicitudes de servicio. | Acceso justo a tiempo al entorno, con acceso persistente limitado a sistemas ajenos al cliente. |
| Ingenieros de implementación de Azure | Interno | Acceso a los datos del cliente | Implemente y actualice los componentes de la plataforma, el software y los cambios de configuración programados en compatibilidad con Azure. | Acceso justo a tiempo al entorno, con acceso persistente limitado a sistemas ajenos al cliente. |
| Soporte técnico de interrupción de clientes de Azure (inquilino) | Interno | Acceso a los datos del cliente | Soluciona y diagnostica interrupciones y fallos de plataforma para clientes individuales de computación y cuentas de Azure. Analice los errores. Impulsar correcciones críticas para la plataforma o el cliente e impulsar mejoras técnicas en todo el soporte técnico. | Acceso justo a tiempo al entorno, con acceso persistente limitado a sistemas ajenos al cliente. |
| Ingenieros de sitio activo de Azure (ingenieros de supervisión) e incidente | Interno | Acceso a los datos del cliente | Diagnostique y mitigue el estado de la plataforma mediante herramientas de diagnóstico. Impulsar correcciones para los controladores de volumen, reparar elementos que son resultado de las interrupciones y ayudar en las acciones de restauración de interrupciones. | Acceso justo a tiempo al entorno, con acceso persistente limitado a sistemas ajenos al cliente. |
| Clientes de Azure | Externo | No disponible | No disponible | No disponible |
Azure usa identificadores únicos para autenticar a los usuarios y clientes de la organización (o procesos que actúan en nombre de los usuarios de la organización). Esto se aplica a todos los recursos y dispositivos que forman parte del entorno de Azure.
Autenticación interna de Azure
Las comunicaciones entre los componentes internos de Azure están protegidas con cifrado TLS. En la mayoría de los casos, los certificados X.509 son autofirmados. Los certificados con conexiones a las que se puede acceder desde fuera de la red de Azure son una excepción, al igual que los certificados para los FCs. Una entidad emisora (CA) de Microsoft, respaldada por una CA raíz de confianza, emite los certificados de los FC. Esto permite que las claves públicas de FC se sustituyan fácilmente. Además, las herramientas de desarrollo de Microsoft usan claves públicas de FC. Cuando los desarrolladores envían nuevas imágenes de aplicación, las imágenes se cifran con una clave pública fc para proteger los secretos incrustados.
Autenticación de dispositivos de hardware de Azure
El FC mantiene un conjunto de credenciales (claves o contraseñas) que se usan para autenticarse en varios dispositivos de hardware bajo su control. Microsoft usa un sistema para evitar el acceso a estas credenciales. En concreto, el transporte, la persistencia y el uso de estas credenciales está diseñado para evitar que los desarrolladores, administradores y servicios de copia de seguridad de Azure y el personal accedan a información confidencial, confidencial o privada.
Microsoft usa el cifrado basado en la clave pública de identidad maestra de FC. Esto ocurre durante la configuración y reconfiguración de FC, para transferir las credenciales usadas para acceder a los dispositivos de hardware de red. Cuando el FC necesita las credenciales, el FC los recupera y descifra.
Dispositivos de red
El equipo de redes de Azure configura las cuentas de servicio de red para permitir que un cliente de Azure se autentique en dispositivos de red (enrutadores, conmutadores y equilibradores de carga).
Administración de servicios seguros
Se requiere personal de operaciones de Azure para usar estaciones de trabajo de administración seguras (SAW). Los clientes pueden implementar controles similares mediante estaciones de trabajo de acceso con privilegios. Con SAW, el personal administrativo usa una cuenta administrativa asignada individualmente que es independiente de la cuenta de usuario estándar del usuario. Saw se basa en esa práctica de separación de cuentas al proporcionar una estación de trabajo de confianza para esas cuentas confidenciales.
Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la infraestructura de Azure, consulte:
- Azure Instalaciones, locales y seguridad física
- Disponibilidad de la infraestructura de Azure
- Arquitectura de red de Azure
- Red de producción de Azure
- Características de seguridad de Azure SQL Database
- Operaciones de producción y administración de Azure
- Supervisión de la infraestructura de Azure
- Integridad de la infraestructura de Azure
- Protección de datos de cliente de Azure