Udostępnij przez

Izolacja w chmurze publicznej platformy Azure

Platforma Azure umożliwia uruchamianie aplikacji i maszyn wirtualnych w udostępnionej infrastrukturze fizycznej. Jedną z głównych korzyści ekonomicznych związanych z uruchamianiem aplikacji w środowisku chmury jest możliwość rozłożenia kosztów udostępnionych zasobów między wielu klientów. Ta praktyka wielodostępności zwiększa wydajność poprzez multipleksowanie zasobów wśród różnych klientów przy niskich kosztach. Niestety, wprowadza również ryzyko udostępniania serwerów fizycznych i innych zasobów infrastruktury do uruchamiania poufnych aplikacji i maszyn wirtualnych, które mogą należeć do dowolnego i potencjalnie złośliwego użytkownika.

W tym artykule opisano, w jaki sposób platforma Azure zapewnia izolację zarówno wobec złośliwych, jak i niezwiązanych ze złośliwymi użytkownikami. Służy jako przewodnik dla tworzenia architektury rozwiązań w chmurze, oferując różne opcje izolacji dla architektów.

Izolacja na poziomie dzierżawy

Jedną z głównych zalet przetwarzania w chmurze jest koncepcja wspólnej infrastruktury dla wielu klientów jednocześnie, co prowadzi do korzyści skali. Ta koncepcja jest nazywana wielodostępnością. Firma Microsoft stale pracuje, aby zapewnić, że wielodostępna architektura platformy Microsoft Cloud Azure obsługuje standardy zabezpieczeń, poufności, prywatności, integralności i dostępności.

W środowisku pracy z obsługą chmury dzierżawca jest klientem lub organizacją, która jest właścicielem i zarządza określonym wystąpieniem tej usługi chmurowej. Korzystając z platformy tożsamości udostępnianej przez platformę Microsoft Azure, dzierżawa jest dedykowanym wystąpieniem identyfikatora Entra firmy Microsoft, które organizacja otrzymuje i jest właścicielem podczas rejestracji w usłudze w chmurze firmy Microsoft.

Każdy katalog Microsoft Entra jest odrębny i oddzielony od innych katalogów firmy Microsoft Entra. Podobnie jak w przypadku firmowego budynku biurowego jest bezpiecznym zasobem specyficznym tylko dla Twojej organizacji, katalog Firmy Microsoft Entra jest bezpiecznym zasobem do użytku tylko przez Twoją organizację. Architektura firmy Microsoft Entra izoluje dane klientów i informacje o tożsamości od współmierzenia. Ten projekt oznacza, że użytkownicy i administratorzy jednego katalogu firmy Microsoft Entra nie mogą przypadkowo ani złośliwie uzyskać dostępu do danych w innym katalogu.

Dzierżawa platformy Azure

Dzierżawa platformy Azure (subskrypcja platformy Azure) odnosi się do relacji klienta i rozliczeń oraz unikatowego dzierżawcy w Microsoft Entra ID. Microsoft Entra ID i jego kontrola dostępu oparta na rolach platformy Azure zapewniają izolację na poziomie dzierżawy na platformie Microsoft Azure. Każda subskrypcja platformy Azure jest skojarzona z jednym katalogiem microsoft Entra.

Użytkownicy, grupy i aplikacje z tego katalogu mogą zarządzać zasobami w subskrypcji platformy Azure. Te prawa dostępu można przypisać przy użyciu witryny Azure Portal, narzędzi wiersza polecenia platformy Azure i interfejsów API usługi Azure Management. Zabezpieczenia logicznie izolują dzierżawę firmy Microsoft Entra, tak aby żaden klient nie mógł uzyskać dostępu do dzierżawców współdzielonych ani naruszyć ich, złośliwie lub przypadkowo. Identyfikator Entra firmy Microsoft działa na serwerach bez systemu operacyjnego izolowanych w segregowanym segmencie sieci, gdzie filtrowanie pakietów na poziomie hosta i Zapora systemu Windows blokują niechciane połączenia i ruch.

Diagram przedstawiający dzierżawę platformy Azure.

  • Dostęp do danych w usłudze Microsoft Entra ID wymaga uwierzytelniania użytkownika za pośrednictwem usługi tokenu zabezpieczającego (STS). System autoryzacji używa informacji na temat istnienia użytkownika, statusu aktywności i roli, aby określić, czy żądany dostęp do wskazanej dzierżawy jest autoryzowany dla tego użytkownika w tej sesji.

  • Dzierżawy są odrębnymi kontenerami i nie ma relacji między tymi kontenerami.

  • Brak dostępu pomiędzy dzierżawami, chyba że administrator dzierżawy udzieli go za pośrednictwem federacji lub utworzenia kont użytkowników z innych dzierżaw.

  • Fizyczny dostęp do serwerów składających się na usługę Microsoft Entra oraz bezpośredni dostęp do systemów zaplecza firmy Microsoft Entra ID jest ograniczony.

  • Użytkownicy firmy Microsoft Entra nie mają dostępu do zasobów fizycznych ani lokalizacji, dlatego nie mogą pominąć logicznych kontroli RBAC platformy Azure wymienionych poniżej.

W przypadku potrzeb diagnostycznych i konserwacyjnych należy użyć modelu operacyjnego, który korzysta z systemu podnoszenia uprawnień w trybie just-in-time. Firma Microsoft Entra Privileged Identity Management (PIM) wprowadza koncepcję uprawnionego administratora. Uprawnieni administratorzy to użytkownicy, którzy potrzebują teraz i teraz uprzywilejowanego dostępu, ale nie każdego dnia. Rola pozostaje nieaktywna, a gdy użytkownik potrzebuje dostępu, przechodzi proces aktywacji i staje się aktywnym administratorem na określony z góry czas.

Microsoft Entra Privileged Identity Management

Identyfikator Entra firmy Microsoft hostuje każdą dzierżawę we własnym kontenerze chronionym, z zasadami i uprawnieniami do kontenera wyłącznie własnością i zarządzaniem przez dzierżawę.

Koncepcja kontenerów dzierżawy jest głęboko zakorzeniona w usłudze katalogowej we wszystkich warstwach— od portali aż po magazyn trwały.

Nawet jeśli metadane z wielu dzierżaw Microsoft Entra są przechowywane na tym samym dysku fizycznym, nie ma między kontenerami innych relacji niż te zdefiniowane przez usługę katalogową, która z kolei jest określana przez administratora dzierżawy.

Kontrola dostępu na podstawie ról na platformie Azure (Azure RBAC)

Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure ułatwia udostępnianie różnych składników dostępnych w ramach subskrypcji platformy Azure, zapewniając szczegółowe zarządzanie dostępem dla platformy Azure. Kontrola dostępu oparta na rolach platformy Azure umożliwia segregowanie obowiązków w organizacji i udzielanie dostępu w oparciu o to, co użytkownicy muszą wykonywać swoje zadania. Zamiast przydzielać wszystkim nieograniczone uprawnienia w subskrypcji lub zasobach platformy Azure, możesz zezwolić tylko na określone akcje.

Kontrola dostępu oparta na rolach platformy Azure ma trzy podstawowe role, które mają zastosowanie do wszystkich typów zasobów:

  • Właściciel ma pełny dostęp do wszystkich zasobów, w tym prawa do delegowania dostępu do innych osób.

  • Współautor może tworzyć wszystkie typy zasobów platformy Azure i zarządzać nimi, ale nie może udzielić dostępu innym osobom.

  • Czytelnik może wyświetlać istniejące zasoby platformy Azure.

Kontrola dostępu na podstawie ról na platformie Azure (Azure RBAC)

Pozostałe role platformy Azure na platformie Azure umożliwiają zarządzanie określonymi zasobami platformy Azure. Na przykład rola współautora maszyny wirtualnej pozwala użytkownikom na tworzenie maszyn wirtualnych i zarządzanie nimi. Nie zapewnia im dostępu do sieci wirtualnej platformy Azure ani podsieci, z którą łączy się maszyna wirtualna.

Wbudowane role platformy Azure zawierają listę ról dostępnych na platformie Azure. Określają one operacje i zakres, które każda wbudowana rola przyznaje użytkownikom. Jeśli chcesz zdefiniować własne role, aby uzyskać jeszcze większą kontrolę, zobacz, jak tworzyć role niestandardowe w kontroli dostępu opartej na rolach platformy Azure.

Niektóre inne możliwości identyfikatora Entra firmy Microsoft obejmują:

  • Identyfikator Entra firmy Microsoft umożliwia logowanie jednokrotne do aplikacji SaaS, niezależnie od tego, gdzie są hostowane. Niektóre aplikacje są sfederowane z identyfikatorem Microsoft Entra ID, a inne używają logowania jednokrotnego haseł. Aplikacje federacyjne mogą również obsługiwać aprowizowanie użytkowników i przechowywanie haseł.

  • Identyfikator entra firmy Microsoft udostępnia tożsamość jako usługę za pośrednictwem federacji przy użyciu usług Federacyjnych Active Directory, synchronizacji i replikacji z katalogami lokalnymi.

  • Uwierzytelnianie wieloskładnikowe firmy Microsoft wymaga, aby użytkownicy weryfikowali logowania przy użyciu aplikacji mobilnej, rozmowy telefonicznej lub wiadomości SMS. Można go używać z identyfikatorem Entra firmy Microsoft, aby ułatwić zabezpieczanie zasobów lokalnych przy użyciu serwera Multi-Factor Authentication, a także z niestandardowymi aplikacjami i katalogami przy użyciu zestawu SDK.

  • Usługi Microsoft Entra Domain Services umożliwiają dołączanie maszyn wirtualnych platformy Azure do domeny usługi Active Directory bez wdrażania kontrolerów domeny. Możesz zalogować się do tych maszyn wirtualnych przy użyciu poświadczeń firmowej usługi Active Directory i administrować maszynami wirtualnymi przyłączonym do domeny przy użyciu zasad grupy w celu wymuszenia punktów odniesienia zabezpieczeń na wszystkich maszynach wirtualnych platformy Azure.

  • Microsoft Entra External ID udostępnia usługę zarządzania tożsamościami globalną o wysokiej dostępności dla aplikacji przeznaczonych dla konsumentów, które są skalowane do setek milionów tożsamości. Można ją łatwo integrować z platformami mobilnymi i platformami sieci Web. Użytkownicy mogą logować się do wszystkich Twoich aplikacji za pomocą dostosowywalnych środowisk przy użyciu istniejących kont społecznościowych lub przez utworzenie poświadczeń.

Izolacja od administratorów firmy Microsoft i usuwanie danych

Firma Microsoft podejmuje silne środki w celu ochrony danych przed niewłaściwym dostępem lub użyciem przez nieautoryzowane osoby. Postanowienia dotyczące usług online oferują zobowiązania umowne, które regulują dostęp do Twoich danych i umożliwiają wykonywanie tych procesów operacyjnych i mechanizmów kontroli.

  • Inżynierowie firmy Microsoft nie mają domyślnego dostępu do danych w chmurze. Zamiast tego otrzymują one dostęp w ramach nadzoru nad zarządzaniem tylko wtedy, gdy jest to konieczne. Ten dostęp jest dokładnie kontrolowany i rejestrowany i odwołyany, gdy nie jest już potrzebny.
  • Firma Microsoft może zatrudnić inne firmy do świadczenia ograniczonych usług w swoim imieniu. Podwykonawcy mogą uzyskiwać dostęp do danych klientów tylko w celu świadczenia usług, dla których firma Microsoft je zatrudniła, i nie mogą korzystać z nich w żadnym innym celu. Ponadto są umownie zobowiązani do zachowania poufności informacji klientów.

Firmy Microsoft i akredytowane firmy inspekcji regularnie weryfikują usługi biznesowe z certyfikatami inspekcji, takimi jak ISO/IEC 27001. Ci audytorzy przeprowadzają przykładowe inspekcje, aby potwierdzić, że dostęp jest tylko w uzasadnionych celach biznesowych. Zawsze możesz uzyskiwać dostęp do własnych danych klientów w dowolnym momencie i z jakiegokolwiek powodu.

Jeśli usuniesz jakiekolwiek dane, platforma Microsoft Azure usunie dane, w tym wszelkie kopie z pamięci podręcznej lub kopii zapasowej. W odniesieniu do usług objętych zakresem, usunięcie następuje w ciągu 90 dni po zakończeniu okresu przechowywania. (Klauzula dotycząca przetwarzania danych w Postanowieniach dotyczących usług online definiuje zakres objętych usług).

W przypadku awarii sprzętowej dysku używanego do magazynowania, Microsoft bezpiecznie wymazuje lub niszczy dysk, zanim zwróci go do producenta w celu wymiany lub naprawy. Dane na dysku są zastępowane w celu zapewnienia, że nie można odzyskać danych w żaden sposób.

Izolacja środowiska obliczeniowego

Platforma Microsoft Azure udostępnia różne usługi obliczeniowe oparte na chmurze, które obejmują szeroką gamę wystąpień obliczeniowych i usług, które mogą automatycznie skalować w górę i w dół, aby spełnić potrzeby aplikacji lub przedsiębiorstwa. Te instancje obliczeniowe i usługi oferują izolację na wielu poziomach, aby zabezpieczyć dane bez poświęcania elastyczności konfiguracji, jakiej oczekują klienci.

Rozmiary izolowanych maszyn wirtualnych

Usługa Azure Compute oferuje różne rozmiary maszyn wirtualnych, które są izolowane pod kątem konkretnego rodzaju sprzętu i przeznaczone dla jednego klienta. Rozmiary izolowane działają na żywo i działają w określonej generacji sprzętu i zostaną wycofane, gdy generacja sprzętu zostanie wycofana lub będzie dostępna nowa generacja sprzętu.

Izolowane rozmiary maszyn wirtualnych najlepiej nadają się do obciążeń wymagających wysokiego stopnia izolacji od obciążeń innych klientów. Czasami jest to wymagane, aby spełnić wymagania dotyczące zgodności i przepisów. Użycie izolowanego rozmiaru gwarantuje, że maszyna wirtualna jest jedyną uruchomioną na tym konkretnym wystąpieniu serwera.

Ponadto, ponieważ maszyny wirtualne o izolowanym rozmiarze są duże, klienci mogą zdecydować się na podzielenie zasobów tych maszyn wirtualnych przy użyciu pomoc techniczna platformy Azure dla zagnieżdżonych maszyn wirtualnych.

Bieżące oferty izolowanej maszyny wirtualnej obejmują:

  • Standard_E80ids_v4
  • Standard_E80is_v4
  • Standard_E104i_v5
  • Standard_E104is_v5
  • Standard_E104id_v5
  • Standard_E104ids_v5
  • Standard M192is v2
  • Standard_M192ims_v2
  • Standard_M192ids_v2
  • Standard_M192idms_v2
  • Standardowa specyfikacja F72s v2
  • Standard_M832ids_16_v3
  • Standard_M832is_16_v3
  • Standard_M896ixds_24_v3
  • Standard_M896ixds_32_v3
  • Standard_M1792ixds_32_v3

Uwaga

Rozmiary izolowanych maszyn wirtualnych mają ograniczoną żywotność ze względu na wycofanie sprzętu.

Wycofanie izolowanych rozmiarów maszyn wirtualnych

Izolowane rozmiary maszyn wirtualnych mają ograniczony okres eksploatacji sprzętu. Problemy z platformą Azure przypominają 12 miesięcy przed oficjalną datą wycofania rozmiarów i udostępnia zaktualizowaną izolowana ofertę do rozważenia. Ogłoszono wycofanie następujących rozmiarów.

Rozmiar Data wycofania izolacji
Standard_DS15_v2 sobota, 15 maja 2021 r.
Standard_D15_v2 sobota, 15 maja 2021 r.
Standard_G5 wtorek, 15 lutego 2022 r.
Standardowa_GS5 wtorek, 15 lutego 2022 r.
Standard_E64i_v3 wtorek, 15 lutego 2022 r.
Standard_E64is_v3 wtorek, 15 lutego 2022 r.
Standard M192is v2 31 marca 2027 r.
Standard_M192ims_v2 31 marca 2027 r.
Standard_M192ids_v2 31 marca 2027 r.
Standard_M192idms_v2 31 marca 2027 r.

Klienci mogą również dalej dzielić zasoby tych izolowanych maszyn wirtualnych przy użyciu pomoc techniczna platformy Azure dla zagnieżdżonych maszyn wirtualnych.

Dedykowane hosty

Oprócz izolowanych hostów opisanych w poprzedniej sekcji platforma Azure oferuje również dedykowane hosty. Dedykowane hosty na platformie Azure to usługa, która udostępnia serwery fizyczne, które mogą hostować co najmniej jedną maszynę wirtualną i które są przeznaczone dla jednej subskrypcji platformy Azure. Dedykowane hosty zapewniają izolację sprzętu na poziomie serwera fizycznego. Na hostach nie są umieszczane żadne inne maszyny wirtualne. Dedykowane hosty są wdrażane w tych samych centrach danych i współużytkują tę samą sieć oraz podstawową infrastrukturę przechowywania z innymi, nieizolowanymi hostami. Aby uzyskać więcej informacji, zobacz szczegółowe omówienie hostów dedykowanych platformy Azure.

Hyper-V i izolacja głównego systemu operacyjnego między maszyną wirtualną głównego systemu a maszynami wirtualnymi gości

Platforma obliczeniowa platformy Azure jest oparta na wirtualizacji maszyn. Cały kod klienta jest uruchamiany na maszynie wirtualnej Hyper-V. Na każdym węźle platformy Azure (lub punkcie końcowym sieci) hiperwizor działa bezpośrednio na sprzęcie i dzieli węzeł na różną liczbę maszyn wirtualnych (VM).

Izolacja systemu operacyjnego funkcji Hyper-V i głównego systemu operacyjnego między główną maszyną wirtualną i maszynami wirtualnymi gościa

Każdy węzeł ma również jedną specjalną główną maszynę wirtualną, na której działa system operacyjny hosta. Hypervisor i główny system operacyjny zarządzają izolacją maszyny wirtualnej głównej od maszyn wirtualnych gości oraz izolacją maszyn wirtualnych gości między sobą. Ta współpraca hypervisora i głównego systemu operacyjnego wykorzystuje wieloletnie doświadczenia firmy Microsoft w zakresie bezpieczeństwa systemów operacyjnych oraz nowsze doświadczenia związane z Hyper-V firmy Microsoft, aby zapewnić silną izolację maszyn wirtualnych gości.

Platforma Azure korzysta ze środowiska zwirtualizowanego. Wystąpienia użytkowników działają jako autonomiczne maszyny wirtualne, które nie mają dostępu do fizycznego serwera hosta.

Funkcja hypervisor platformy Azure działa jak mikrokernel. Przekazuje wszystkie żądania dostępu sprzętowego z maszyn wirtualnych gościa do hosta do przetwarzania przy użyciu interfejsu pamięci udostępnionej o nazwie VM Bus. Ta architektura uniemożliwia użytkownikom uzyskiwanie dostępu do nieprzetworzonego odczytu, zapisu lub wykonywania w systemie oraz zmniejsza ryzyko udostępniania zasobów systemowych.

Zaawansowany algorytm umieszczania maszyn wirtualnych i ochrona przed atakami kanału bocznego

Każdy atak między maszynami wirtualnymi obejmuje dwa kroki: umieszczenie maszyny wirtualnej kontrolowanej przez przeciwnika na tym samym hoście co jedna z maszyn wirtualnych ofiary, a następnie naruszenie granicy izolacji w celu kradzieży poufnych informacji ofiary lub wpływania na jej wydajność dla chciwości lub wandalizmu. Platforma Microsoft Azure zapewnia ochronę w obu krokach przy użyciu zaawansowanego algorytmu umieszczania maszyn wirtualnych i ochrony przed wszystkimi znanymi atakami kanału bocznego, w tym hałaśliwymi maszynami wirtualnymi sąsiadów.

Kontroler sieci szkieletowej platformy Azure

Kontroler Azure Fabric przydziela zasoby infrastruktury do obciążeń tenantów i zarządza komunikacją jednokierunkową z hosta do maszyn wirtualnych. Algorytm umieszczania maszyny wirtualnej jest wysoce zaawansowany i prawie niemożliwy do przewidzenia na poziomie hosta fizycznego.

Kontroler sieci szkieletowej platformy Azure

Na platformie Azure główna maszyna wirtualna uruchamia wzmocniony system operacyjny o nazwie główny system operacyjny hostujący agenta sieci szkieletowej (FA). FAs zarządzają agentami gościa (GA) w systemach operacyjnych gości na maszynach wirtualnych klienta, a także zarządzają węzłami pamięci masowej.

Kolekcja funkcji hypervisor platformy Azure, głównego systemu operacyjnego/fa i maszyn wirtualnych klienta/GAs składa się z węzła obliczeniowego. Kontroler fabric (FC) zarządza agentami fabric (FA). Instancja FC istnieje poza węzłami obliczeniowymi i pamięci masowej. Oddzielne kontrolery domeny zarządzają klastrami obliczeniowymi i magazynowymi. Jeśli klient aktualizuje plik konfiguracji aplikacji podczas działania, FC komunikuje się z FA. Fa kontaktuje się z GAs, które powiadamiają o zastosowaniu zmiany konfiguracji. W przypadku awarii sprzętu FC automatycznie znajduje dostępny sprzęt i ponownie uruchamia maszynę wirtualną.

Kontroler sieci szkieletowej platformy Azure

Komunikacja z kontrolera sieci szkieletowej do agenta jest jednokierunkowa. Agent implementuje usługę chronioną protokołem SSL, która odpowiada tylko na żądania od kontrolera. Nie może inicjować połączeń z kontrolerem ani z innymi uprzywilejowanych węzłów wewnętrznych. Fc traktuje wszystkie odpowiedzi tak, jakby były niezaufane.

Kontroler sieci szkieletowej

Izolacja rozciąga się od głównej maszyny wirtualnej do maszyn wirtualnych gościa i z jednej maszyny wirtualnej gościa do innej. Węzły obliczeniowe są również odizolowane od węzłów magazynu w celu zwiększenia ochrony.

Funkcja hypervisor i system operacyjny hosta zapewniają filtry pakietów sieciowych. Te filtry pomagają zagwarantować, że niezaufane maszyny wirtualne nie będą mogły wygenerować sfałszowanego ruchu ani nie odbierać ruchu, który nie jest do nich kierowany. Kierują ruch do chronionych punktów końcowych infrastruktury i uniemożliwiają wysyłanie lub odbieranie nieodpowiedniego ruchu rozgłaszanego.

Dodatkowe reguły skonfigurowane przez agenta kontrolera sieci szkieletowej w celu odizolowania maszyny wirtualnej

Domyślnie cały ruch jest blokowany podczas tworzenia maszyny wirtualnej. Następnie agent kontrolera sieci szkieletowej konfiguruje filtr pakietów w celu dodania reguł i wyjątków w celu zezwolenia na autoryzowany ruch.

Oprogramuj dwie kategorie reguł

  • Konfiguracja maszyny lub reguły infrastruktury: domyślnie cała komunikacja jest blokowana. Dodaj wyjątki umożliwiające maszynie wirtualnej wysyłanie i odbieranie ruchu DHCP i DNS. Maszyny wirtualne mogą również wysyłać ruch do "publicznego" Internetu i wysyłać ruch do innych maszyn wirtualnych w ramach tej samej sieci wirtualnej platformy Azure i serwera aktywacji systemu operacyjnego. Lista dozwolonych miejsc docelowych wychodzących maszyn wirtualnych nie obejmuje podsieci routerów platformy Azure, zarządzania platformą Azure i innych właściwości firmy Microsoft.
  • Plik konfiguracji roli: Ten plik definiuje przychodzące listy kontroli dostępu (ACL) na podstawie modelu usługi dzierżawy.

Izolacja sieci VLAN

Każdy klaster zawiera trzy sieci VLAN:

Izolacja sieci VLAN

  • Główna sieć VLAN — łączy niezaufane węzły klienta
  • Sieć VLAN fc — zawiera zaufane kontrolery domeny i systemy pomocnicze
  • Sieć VLAN urządzenia — zawiera zaufaną sieć i inne urządzenia infrastruktury

Komunikacja jest dozwolona z FC VLAN do głównej VLAN, ale nie można jej zainicjować z głównej VLAN do FC VLAN. Komunikacja jest również blokowana z głównej sieci VLAN do sieci VLAN urządzenia. Ta architektura zapewnia, że nawet jeśli węzeł z uruchomionym kodem klienta zostanie naruszony, nie może zaatakować węzłów w sieciach VLAN ani FC, ani urządzeń.

Izolacja magazynu

Izolacja logiczna między obliczeniami i pamięcią

W ramach podstawowego projektu platforma Microsoft Azure oddziela obliczenia oparte na maszynach wirtualnych od magazynu. Ta separacja umożliwia niezależne skalowanie obliczeń i magazynu, co ułatwia zapewnienie wielodostępności i izolacji.

W związku z tym usługa Azure Storage działa na oddzielnym sprzęcie bez łączności sieciowej z usługą Azure Compute z wyjątkiem łączności logicznej. Ten projekt oznacza, że podczas tworzenia dysku wirtualnego system nie przydziela miejsca na dysku dla całej pojemności. Zamiast tego system tworzy tabelę, która mapuje adresy na dysku wirtualnym na obszary na dysku fizycznym. Ta tabela jest początkowo pusta. Przy pierwszym zapisie danych na dysku wirtualnym system przydziela miejsce na dysku fizycznym i umieszcza wskaźnik w tabeli.

Izolacja przy użyciu kontroli dostępu do magazynu

Kontrola dostępu w usłudze Azure Storage korzysta z prostego modelu kontroli dostępu. Każda subskrypcja platformy Azure może utworzyć jedno lub więcej kont magazynowych. Każde konto magazynu ma jeden klucz tajny używany do kontrolowania dostępu do wszystkich danych na tym koncie magazynu.

Izolacja przy użyciu kontroli dostępu do magazynu

Dostęp do danych usługi Azure Storage (w tym tabel) można kontrolować za pomocą tokenu sygnatury dostępu współdzielonego, który udziela ograniczonego dostępu. Tworzysz SAS za pomocą szablonu zapytania (adresu URL) i podpisujesz go przy użyciu klucza konta magazynu (SAK). Możesz nadać podpisany adres URL innemu procesowi (czyli delegowanemu). Proces delegowany może następnie wypełnić szczegóły zapytań i wysłać żądanie usługi przechowywania. Za pomocą sygnatury dostępu współdzielonego (SAS) można zapewnić klientom dostęp czasowy bez ujawniania klucza tajnego konta magazynu.

Za pomocą sygnatury dostępu współdzielonego można udzielić klientowi ograniczonych uprawnień do obiektów na koncie magazynu przez określony okres i z określonym zestawem uprawnień. Przyznasz te ograniczone uprawnienia bez konieczności udostępniania kluczy dostępu do konta.

Izolacja przechowywania na poziomie IP

Zapory można ustanowić i zdefiniować zakres adresów IP dla zaufanych klientów. Korzystając z zakresu adresów IP, tylko klienci, którzy mają adres IP w zdefiniowanym zakresie, mogą łączyć się z usługą Azure Storage.

Dane magazynu IP można chronić przed nieautoryzowanymi użytkownikami przy użyciu mechanizmu sieciowego, który przydziela dedykowany tunel ruchu do magazynu adresów IP.

Szyfrowanie

Platforma Azure oferuje następujące typy szyfrowania w celu ochrony danych:

  • Szyfrowanie podczas transferu
  • Szyfrowanie w spoczynku

Szyfrowanie podczas transferu

Szyfrowanie podczas przesyłania chroni dane podczas ich przesyłania między sieciami. Za pomocą usługi Azure Storage można zabezpieczyć dane przy użyciu:

  • Szyfrowanie na poziomie transportu, takie jak HTTPS podczas transferu danych do lub z usługi Azure Storage.
  • Szyfrowanie przewodowe, takie jak szyfrowanie SMB 3.0 dla udziałów plików platformy Azure.
  • Szyfrowanie po stronie klienta w celu zaszyfrowania danych przed ich przesłaniem do magazynu i odszyfrowywanie danych po ich przeniesieniu z magazynu.

Szyfrowanie w spoczynku

W przypadku wielu organizacji szyfrowanie danych magazynowanych jest obowiązkowym krokiem w kierunku prywatności, zgodności i niezależności danych. Funkcje platformy Azure zapewniające szyfrowanie danych nieaktywnych obejmują:

Szyfrowanie na hoście

Ważne

Usługa Azure Disk Encryption ma zostać wycofana 15 września 2028 r. Do tej pory można nadal korzystać z usługi Azure Disk Encryption bez zakłóceń. 15 września 2028 r. obciążenia z obsługą programu ADE będą nadal działać, ale zaszyfrowane dyski nie będą mogły zostać odblokowane po ponownym uruchomieniu maszyny wirtualnej, co spowoduje przerwy w działaniu usługi.

Użyj szyfrowania na hoście dla nowych maszyn wirtualnych. Wszystkie maszyny wirtualne z obsługą programu ADE (w tym kopie zapasowe) muszą migrować do szyfrowania na hoście przed datą wycofania, aby uniknąć przerw w działaniu usługi. Aby uzyskać szczegółowe informacje, zobacz Migrowanie z usługi Azure Disk Encryption do szyfrowania na hoście .

Szyfrowanie na hoście zapewnia kompleksowe szyfrowanie danych maszyny wirtualnej przez szyfrowanie danych na poziomie hosta maszyny wirtualnej. Domyślnie używa ona kluczy zarządzanych przez platformę, ale opcjonalnie można używać kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault lub zarządzanym module HSM usługi Azure Key Vault , gdy potrzebujesz większej kontroli.

Szyfrowanie na hoście zapewnia szyfrowanie po stronie serwera na poziomie hosta maszyny wirtualnej przy użyciu szyfrowania AES 256, które jest zgodne ze standardem FIPS 140-2. To szyfrowanie odbywa się bez korzystania z zasobów procesora CPU maszyny wirtualnej i zapewnia kompleksowe szyfrowanie dla:

  • Dyski tymczasowe
  • Pamięć podręczna systemu operacyjnego i dysków danych
  • Przepływy danych do usługi Azure Storage

Najważniejsze korzyści z szyfrowania na hoście:

  • Brak wpływu na wydajność: szyfrowanie odbywa się na poziomie hosta bez korzystania z zasobów procesora CPU maszyny wirtualnej
  • Obsługa szerokiej maszyny wirtualnej: obsługiwana w przypadku większości serii i rozmiarów maszyn wirtualnych
  • Klucze zarządzane przez klienta: opcjonalna integracja z usługą Azure Key Vault lub zarządzanym modułem HSM na potrzeby kontroli kluczy
  • Klucze zarządzane przez platformę domyślnie: brak dodatkowej konfiguracji wymaganej do szyfrowania

Aby uzyskać więcej informacji, zobacz Szyfrowanie na hoście i Omówienie opcji szyfrowania dysków zarządzanych.

Izolacja usługi SQL Database

Microsoft SQL Database to usługa relacyjnej bazy danych bazująca na chmurze, zbudowana na silniku Microsoft SQL Server. Zapewnia wysoce dostępną, skalowalną usługę bazy danych dla wielu najemców, oferując przewidywalną izolację danych na poziomie konta, lokalizację opartą o geografię/region oraz sieć — wszystko to z niemal zerowym nakładem administracyjnym.

Model aplikacji usługi SQL Database

Z punktu widzenia aplikacji usługa SQL Database zapewnia następującą hierarchię, w której każdy poziom zawiera jeden do wielu poziomów poniżej.

Model aplikacji usługi SQL Database

Konto i subskrypcja to pojęcia związane z platformą Microsoft Azure do kojarzenia rozliczeń i zarządzania.

Logiczne serwery SQL i bazy danych to pojęcia specyficzne dla usługi SQL Database i są zarządzane przy użyciu usługi SQL Database, udostępnionych interfejsów OData i TSQL lub za pośrednictwem witryny Azure Portal.

Serwery w usłudze SQL Database nie są wystąpieniami fizycznymi ani wirtualnymi, a nie kolekcjami baz danych, udostępnianiem zasad zarządzania i zabezpieczeń, które są przechowywane w tak zwanej bazie danych "logicznej master".

SQL Database

Logiczne główne bazy danych obejmują:

  • Identyfikatory logowania SQL używane do nawiązywania połączenia z serwerem
  • Reguły zapory

Informacje dotyczące rozliczeń i użycia baz danych z tego samego serwera nie mają gwarancji, że znajdują się w tym samym wystąpieniu fizycznym w klastrze, zamiast tego aplikacje muszą podać docelową nazwę bazy danych podczas nawiązywania połączenia.

Z perspektywy klienta serwer jest tworzony w regionie geograficznym, podczas gdy rzeczywiste tworzenie serwera odbywa się w jednym z klastrów w regionie.

Izolacja za pośrednictwem topologii sieci

Podczas tworzenia serwera i rejestrowania jego nazwy DNS, nazwa DNS wskazuje na tzw. adres VIP bramy w określonym centrum danych, w którym umieszczono serwer.

Za wirtualnym adresem IP (adres IP) znajduje się zbiór bezstanowych usług bramy. Ogólnie rzecz biorąc, bramki uaktywniają się, gdy konieczna jest koordynacja między wieloma źródłami danych (główna baza danych, baza danych użytkowników itd.). Usługi bramkowe implementują następujące funkcje:

  • Serwer proxy połączeń TDS. Ta funkcja obejmuje lokalizowanie bazy danych użytkownika w klastrze zaplecza, implementowanie sekwencji uwierzytelniania, a następnie przekazywanie pakietów TDS do zaplecza i z powrotem.
  • Zarządzanie bazami danych. Ta funkcja obejmuje implementowanie kolekcji przepływów pracy do obsługi operacji TWORZENIA, ALTER i DROP bazy danych. Operacje bazy danych mogą być wywoływane przez wąchanie pakietów TDS lub jawnych interfejsów API OData.
  • OPERACJE TWORZENIA, ALTER i DROP uwierzytelniania i użytkownika
  • Operacje zarządzania serwerem za pośrednictwem interfejsu API OData

Izolacja za pośrednictwem topologii sieci

Warstwa za bramami jest nazywana zapleczem. Ta warstwa przechowuje wszystkie dane w sposób o wysokiej dostępności. Każdy element danych należy do partycji lub jednostki trybu failover, a każda partycja ma co najmniej trzy repliki. Aparat programu SQL Server przechowuje i replikuje repliki, a system failover, często nazywany siecią szkieletową, zarządza nimi.

Ogólnie rzecz biorąc, system zaplecza nie komunikuje się wychodząco do innych systemów jako środek ostrożności. Ta komunikacja jest zarezerwowana dla systemów w warstwie frontonu (bramy). Maszyny w warstwie bramy mają ograniczone uprawnienia na maszynach zaplecza, aby zminimalizować obszar ataków jako mechanizm ochrony w głębi systemu.

Izolacja według funkcji maszyny i dostępu

Usługa SQL Database składa się z usług działających na różnych funkcjach maszyny. Usługa SQL Database jest podzielona na środowiska bazy danych zaplecza w chmurze i front-endu (brama/zarządzanie), z ogólną zasadą, że ruch odbywa się tylko do zaplecza, a nie na zewnątrz. Środowisko front-endu może komunikować się ze światem zewnętrznym innych usług i zazwyczaj ma tylko ograniczone uprawnienia w zapleczu (wystarczające do wywołania punktów wejścia, które musi wywołać).

Izolacja sieci

Wdrożenie platformy Azure ma wiele warstw izolacji sieciowej. Na poniższym diagramie przedstawiono różne warstwy izolacji sieci platformy Azure zapewnia klientom. Te warstwy obejmują zarówno funkcje natywne w samej platformie Azure, jak i funkcje zdefiniowane przez klienta. Ruch przychodzący z Internetu jest chroniony przez usługę Azure DDoS Protection, która zapewnia izolację przed atakami na dużą skalę na platformę Azure. Kolejną warstwą izolacji są zdefiniowane przez klienta publiczne adresy IP (punkty końcowe), których używasz do określenia, który ruch może przechodzić przez usługę w chmurze do sieci wirtualnej. Natywna izolacja sieci wirtualnej platformy Azure zapewnia pełną izolację ze wszystkich innych sieci oraz że ruch przepływa tylko przez ścieżki i metody skonfigurowane przez użytkownika. Te ścieżki i metody są kolejną warstwą, w której sieciowe grupy zabezpieczeń, trasy zdefiniowane przez użytkownika i wirtualne urządzenia sieciowe mogą służyć do tworzenia granic izolacji w celu ochrony wdrożeń aplikacji w chronionej sieci.

Izolacja sieci

Izolacja ruchu: sieć wirtualna jest granicą izolacji ruchu na platformie Azure. Maszyny wirtualne w jednej sieci wirtualnej nie mogą komunikować się bezpośrednio z maszynami wirtualnymi w innej sieci wirtualnej, nawet jeśli obie sieci wirtualne są tworzone przez tego samego klienta. Izolacja to właściwość krytyczna, która zapewnia, że maszyny wirtualne klienta i komunikacja pozostają prywatne w sieci wirtualnej.

Podsieć oferuje dodatkową warstwę izolacji w sieci wirtualnej na podstawie zakresu adresów IP. Sieć wirtualną można podzielić na wiele podsieci dla organizacji i zabezpieczeń. Maszyny wirtualne i wystąpienia ról PaaS wdrożone w podsieciach (tych samych lub różnych) w sieci wirtualnej mogą się komunikować bez żadnej dodatkowej konfiguracji. Można również skonfigurować grupy zabezpieczeń sieciowych (NSG), aby pozwalać lub blokować ruch sieciowy do instancji maszyny wirtualnej na podstawie reguł zabezpieczeń. Sieciowe grupy zabezpieczeń można skojarzyć z podsieciami lub poszczególnymi interfejsami sieciowymi dołączonymi do maszyn wirtualnych. Kiedy skojarzysz grupę zabezpieczeń sieci (NSG) z podsiecią, reguły zabezpieczeń mają zastosowanie do wszystkich maszyn wirtualnych w tej podsieci.

Dalsze kroki

  • Dowiedz się więcej o sieciowych grupach zabezpieczeń. Grupy zabezpieczeń sieci filtrują ruch sieciowy między zasobami Azure w sieci wirtualnej. Ruch można ograniczyć do podsieci lub maszyn wirtualnych na podstawie źródła, miejsca docelowego, portu i protokołu przy użyciu reguł zabezpieczeń.

  • Dowiedz się więcej o izolacji maszyn wirtualnych na platformie Azure. Usługa Azure Compute oferuje rozmiary maszyn wirtualnych, które są izolowane do określonego typu sprzętu i przeznaczone dla jednego klienta.

  • Last updated on