مكونات ونواصر نظام معلومات Azure

توفر هذه المقالة وصفا عاما لبنية Azure وإدارتها. تتكون بيئة نظام Azure من الشبكات التالية:

• شبكة إنتاج Microsoft Azure (شبكة Azure)
• شبكة شركة Microsoft (corpnet)

فرق تكنولوجيا المعلومات المنفصلة مسؤولة عن عمليات وصيانة هذه الشبكات.

هيكل Azure

Azure هو نظام أساسي للحوسبة السحابية وبنية أساسية لبناء التطبيقات والخدمات ونشرها وإدارتها من خلال شبكة من مراكز البيانات. تدير Microsoft مراكز البيانات هذه. استنادا إلى عدد الموارد التي تحددها، ينشئ Azure الأجهزة الظاهرية (VMs) بناء على الحاجة إلى الموارد. تعمل هذه الأجهزة الظاهرية على برنامج تشغيل الآلة الافتراضية ل Azure، والذي تم تصميمه للاستخدام في السحابة ولا يمكن للجمهور الوصول إليه.

في كل عقدة خادم فعلي ل Azure، هناك برنامج تشغيل الآلة الافتراضية الذي يعمل مباشرة عبر الأجهزة. يقسم برنامج تشغيل الآلة الافتراضية عقدة إلى عدد متغير من الأجهزة الظاهرية الضيف. تحتوي كل عقدة أيضا على جهاز ظاهري جذر واحد، والذي يقوم بتشغيل نظام التشغيل المضيف. يتم تمكين جدار حماية Windows على كل جهاز ظاهري. يمكنك تحديد المنافذ التي يمكن معالجتها عن طريق تكوين ملف تعريف الخدمة. هذه المنافذ هي الوحيدة المفتوحة والقابلة للعنوان، داخليا أو خارجيا. تتم وساطة جميع حركة المرور والوصول إلى القرص والشبكة بواسطة برنامج تشغيل الآلة الافتراضية ونظام التشغيل الجذر.

في طبقة المضيف، تقوم أجهزة Azure الظاهرية بتشغيل إصدار مخصص ومتصلب من أحدث Windows Server. يستخدم Azure إصدارا من Windows Server يتضمن فقط تلك المكونات الضرورية لاستضافة الأجهزة الظاهرية. وهذا يحسن الأداء ويقلل من سطح الهجوم. يتم فرض حدود الجهاز بواسطة برنامج تشغيل الآلة الافتراضية، والذي لا يعتمد على أمان نظام التشغيل.

إدارة Azure بواسطة وحدات تحكم النسيج

في Azure، يتم تجميع الأجهزة الظاهرية التي تعمل على الخوادم الفعلية (الشفرات/العقد) في مجموعات تبلغ حوالي 1000. تتم إدارة الأجهزة الظاهرية بشكل مستقل بواسطة مكون برنامج نظام أساسي موسع ومكرر يسمى وحدة تحكم النسيج (FC).

تدير كل FC دورة حياة التطبيقات التي تعمل في مجموعتها، وتتولى توفير ومراقبة صحة الأجهزة الخاضعة لسيطرتها. يقوم بتشغيل عمليات غير ذات استقلالية، مثل إعادة إنشاء مثيلات الجهاز الظاهري على خوادم سليمة عندما يحدد فشل الخادم. ينفذ FC أيضا عمليات إدارة التطبيقات، مثل نشر التطبيقات وتحديثها وتوسيع نطاقها.

يتم تقسيم مركز البيانات إلى مجموعات. تعزل المجموعات الأخطاء على مستوى FC، وتمنع فئات معينة من الأخطاء من التأثير على الخوادم خارج المجموعة التي تحدث فيها. يتم تجميع FCs التي تخدم مجموعة Azure معينة في مجموعة FC.

مخزون الأجهزة

يقوم FC بإعداد مخزون من أجهزة Azure وأجهزة الشبكة أثناء عملية تكوين bootstrap. يجب أن تتبع أي مكونات جديدة للأجهزة والشبكة تدخل بيئة إنتاج Azure عملية تكوين bootstrap. FC مسؤول عن إدارة المخزون بأكمله المدرج في ملف تكوين datacenter.xml.

صور نظام التشغيل المدار بواسطة FC

يوفر فريق نظام التشغيل الصور، في شكل أقراص ثابتة ظاهرية، يتم نشرها على جميع الأجهزة الظاهرية المضيفة والضيف في بيئة إنتاج Azure. يقوم الفريق بإنشاء هذه الصور الأساسية من خلال عملية بناء تلقائية دون اتصال. الصورة الأساسية هي إصدار من نظام التشغيل الذي تم فيه تعديل النواة والمكونات الأساسية الأخرى وتحسينها لدعم بيئة Azure.

هناك ثلاثة أنواع من صور نظام التشغيل المدارة بواسطة النسيج:

• المضيف: نظام تشغيل مخصص يعمل على الأجهزة الظاهرية المضيفة.
• Native: نظام تشغيل أصلي يعمل على المستأجرين (على سبيل المثال، Azure Storage). لا يحتوي نظام التشغيل هذا على أي برنامج hypervisor.
• الضيف: نظام تشغيل ضيف يعمل على الأجهزة الظاهرية للضيف.

تم تصميم أنظمة التشغيل المضيفة والأصلية المدارة بواسطة FC للاستخدام في السحابة، ولا يمكن الوصول إليها بشكل عام.

أنظمة التشغيل المضيفة والأصلية

المضيف والأصلي هما صور نظام التشغيل المتصلبة التي تستضيف عوامل النسيج، وتعمل على عقدة حساب (تعمل كأول جهاز ظاهري على العقدة) وعقد التخزين. تتمثل فائدة استخدام الصور الأساسية المحسنة للمضيف والأصلي في أنه يقلل من مساحة السطح التي تعرضها واجهات برمجة التطبيقات أو المكونات غير المستخدمة. يمكن أن تمثل هذه مخاطر أمنية عالية وتزيد من بصمة نظام التشغيل. تتضمن أنظمة التشغيل ذات البصمة المنخفضة فقط المكونات الضرورية ل Azure.

نظام التشغيل الضيف

لا توجد فرصة لمكونات Azure الداخلية التي تعمل على الأجهزة الظاهرية لنظام التشغيل الضيف لتشغيل بروتوكول سطح المكتب البعيد. يجب أن تمر أي تغييرات على إعدادات تكوين الأساس بعملية إدارة التغيير والإصدار.

مراكز بيانات Azure

يدير فريق البنية التحتية والعمليات السحابية من Microsoft (MCIO) البنية التحتية المادية ومرافق مراكز البيانات لجميع خدمات Microsoft عبر الإنترنت. MCIO هو المسؤول بشكل أساسي عن إدارة عناصر التحكم المادية والبيئية داخل مراكز البيانات، بالإضافة إلى إدارة ودعم أجهزة الشبكة الخارجية المحيطة (مثل أجهزة التوجيه الطرفية وأجهزة توجيه مراكز البيانات). MCIO هو أيضا مسؤول عن إعداد الحد الأدنى من أجهزة الخادم على الرفوف في مركز البيانات. ليس لدى العملاء تفاعل مباشر مع Azure.

فرق إدارة الخدمة والخدمة

تدير مجموعات هندسية مختلفة، تعرف باسم فرق الخدمة، دعم خدمة Azure. كل فريق خدمة مسؤول عن مجال دعم Azure. يجب على كل فريق خدمة توفير مهندس على مدار الساعة و7 مرات للتحقيق في حالات الفشل في الخدمة وحلها. لا تتمتع فرق الخدمة، بشكل افتراضي، بالوصول الفعلي إلى الأجهزة التي تعمل في Azure.

فرق الخدمة هي:

• النظَام الأسَاسي للتطبيق
• معرف Microsoft Entra
• الحساب في Azure
• Azure Net
• خدمات هندسة السحابة
• ISSD: الأمان
• المصادقة متعددة العوامل
• قاعدة بيانات SQL
• خزن

أنواع المستخدمين

يعتبر الموظفون (أو المتعاقدون) من Microsoft مستخدمين داخليين. يعتبر جميع المستخدمين الآخرين مستخدمين خارجيين. جميع مستخدمي Azure الداخليين لديهم حالة الموظف الخاصة بهم مصنفة بمستوى حساسية يحدد وصولهم إلى بيانات العميل (الوصول أو عدم الوصول). يتم وصف امتيازات المستخدم ل Azure (إذن التخويل بعد إجراء المصادقة) في الجدول التالي:

دور	داخلي أو خارجي	مستوى الحساسية	الامتيازات والوظائف المعتمدة التي يتم تنفيذها	نوع الوصول
مهندس مركز بيانات Azure	‏‏داخلي	لا يوجد وصول إلى بيانات العميل	إدارة الأمان المادي للأماكن. القيام بدوريات داخل وخارج مركز البيانات، ومراقبة جميع نقاط الدخول. مرافقة داخل وخارج مركز البيانات بعض الموظفين غير مسح الذين يقدمون خدمات عامة (مثل تناول الطعام أو التنظيف) أو تكنولوجيا المعلومات العمل داخل مركز البيانات. إجراء مراقبة وصيانة روتينية لأجهزة الشبكة. تنفيذ إدارة الحوادث وإصلاح العمل باستخدام أدوات مختلفة. إجراء مراقبة وصيانة روتينية للأجهزة المادية في مراكز البيانات. الوصول إلى البيئة عند الطلب من مالكي العقارات. قادر على إجراء تحقيقات الطب الشرعي، وتسجيل تقارير الحوادث، وتتطلب التدريب الأمني الإلزامي ومتطلبات السياسة. الملكية التشغيلية وصيانة أدوات الأمان الهامة، مثل الماسحات الضوئية وجمع السجلات.	الوصول المستمر إلى البيئة.
فرز حوادث Azure (مهندسو الاستجابة السريعة)	‏‏داخلي	الوصول إلى بيانات العملاء	إدارة الاتصالات بين MCIO والدعم والفرق الهندسية. فرز حوادث النظام الأساسي ومشكلات التوزيع وطلبات الخدمة.	الوصول في الوقت المناسب إلى البيئة، مع وصول مستمر محدود إلى أنظمة غير العملاء.
مهندسو توزيع Azure	‏‏داخلي	الوصول إلى بيانات العملاء	نشر مكونات النظام الأساسي والبرامج وتغييرات التكوين المجدولة وترقيتها لدعم Azure.	الوصول في الوقت المناسب إلى البيئة، مع وصول مستمر محدود إلى أنظمة غير العملاء.
دعم انقطاع خدمة عملاء Azure (المستأجر)	‏‏داخلي	الوصول إلى بيانات العملاء	تصحيح أخطاء النظام الأساسي وتشخيصها لمستأجري الحوسبة الفردية وحسابات Azure. تحليل الأخطاء. دفع الإصلاحات الهامة إلى النظام الأساسي أو العميل، ودفع التحسينات التقنية عبر الدعم.	الوصول في الوقت المناسب إلى البيئة، مع وصول مستمر محدود إلى أنظمة غير العملاء.
مهندسو موقع Azure المباشر (مهندسو المراقبة) والحادث	‏‏داخلي	الوصول إلى بيانات العملاء	تشخيص حالة النظام الأساسي والتخفيف من حدتها باستخدام أدوات التشخيص. إصلاحات محرك الأقراص لبرامج تشغيل وحدة التخزين، وإصلاح العناصر الناتجة عن الانقطاعات، ومساعدة إجراءات استعادة الانقطاع.	الوصول في الوقت المناسب إلى البيئة، مع وصول مستمر محدود إلى أنظمة غير العملاء.
عملاء Azure	خارجي	‏‫غير متوفر‬	‏‫غير متوفر‬	‏‫غير متوفر‬

يستخدم Azure معرفات فريدة لمصادقة المستخدمين والعملاء التنظيميين (أو العمليات التي تعمل نيابة عن المستخدمين التنظيميين). ينطبق هذا على جميع الأصول والأجهزة التي تعد جزءا من بيئة Azure.

مصادقة Azure الداخلية

الاتصالات بين مكونات Azure الداخلية محمية بتشفير TLS. في معظم الحالات، تكون شهادات X.509 موقعة ذاتيا. تعد الشهادات ذات الاتصالات التي يمكن الوصول إليها من خارج شبكة Azure استثناء، كما هي شهادات ل FCs. تحتوي FCs على شهادات صادرة عن شهادة مرجع Microsoft (CA) مدعومة من قبل مرجع مصدق جذري موثوق به. يسمح هذا بتدحرج المفاتيح العامة ل FC بسهولة. بالإضافة إلى ذلك، تستخدم أدوات مطور Microsoft المفاتيح العامة ل FC. عندما يقدم المطورون صور تطبيق جديدة، يتم تشفير الصور باستخدام مفتاح عام FC من أجل حماية أي أسرار مضمنة.

مصادقة جهاز Azure

يحتفظ FC بمجموعة من بيانات الاعتماد (المفاتيح و/أو كلمات المرور) المستخدمة لمصادقة نفسها على أجهزة مختلفة تحت سيطرتها. تستخدم Microsoft نظاما لمنع الوصول إلى بيانات الاعتماد هذه. على وجه التحديد، تم تصميم نقل بيانات الاعتماد هذه واستمرارها واستخدامها لمنع مطوري Azure والمسؤولين وخدمات النسخ الاحتياطي ووصول الموظفين إلى المعلومات الحساسة أو السرية أو الخاصة.

تستخدم Microsoft التشفير استنادا إلى المفتاح العام للهوية الرئيسية ل FC. يحدث هذا في أوقات إعداد FC وإعادة تكوين FC، لنقل بيانات الاعتماد المستخدمة للوصول إلى أجهزة الشبكات. عندما يحتاج FC إلى بيانات الاعتماد، يقوم FC باستردادها وفك تشفيرها.

أجهزة الشبكة

يقوم فريق شبكة Azure بتكوين حسابات خدمة الشبكة لتمكين عميل Azure من المصادقة على أجهزة الشبكة (أجهزة التوجيه ومفاتيح التبديل وموازنات التحميل).

إدارة الخدمة الآمنة

مطلوب من موظفي عمليات Azure استخدام محطات عمل المسؤول الآمنة (SAWs). يمكن للعملاء تنفيذ عناصر تحكم مماثلة باستخدام محطات عمل الوصول المتميزة. باستخدام SAWs، يستخدم الموظفون الإداريون حسابا إداريا معينا بشكل فردي منفصل عن حساب المستخدم القياسي للمستخدم. يعتمد SAW على ممارسة فصل الحساب هذه من خلال توفير محطة عمل جديرة بالثقة لتلك الحسابات الحساسة.

الخطوات التالية

لمعرفة المزيد حول ما تفعله Microsoft للمساعدة في تأمين البنية الأساسية لـ Azure، راجع:

• مرافق Azure والمباني والأمان المادي
• توفر البنية الأساسية ل Azure
• بنية شبكة Azure
• شبكة إنتاج Azure
• ميزات أمان قاعدة بيانات Azure SQL
• عمليات الإنتاج والإدارة في Azure
• مراقبة البنية الأساسية ل Azure
• تكامل البنية الأساسية ل Azure
• حماية بيانات عملاء Azure