أفضل ممارسات الأمان والامتثال الدفعية
توفر هذه المقالة إرشادات وأفضل الممارسات لتحسين الأمان عند استخدام Azure Batch.
بشكل افتراضي، تحتوي حسابات Azure Batch على نقطة نهاية عامة ويمكن الوصول إليها بشكل عام. عند إنشاء تجمع Azure Batch، يتم توفير التجمع في شبكة فرعية محددة من شبكة Azure الظاهرية. يتم الوصول إلى الأجهزة الظاهرية في تجمع الدفعات، بشكل افتراضي، من خلال عناوين IP العامة التي تنشئها Batch. يمكن أن تتواصل عُقد الحساب في مجموعة ما مع بعضها البعض عند الحاجة، مثل تشغيل مهام متعددة المثيلات، لكن العقد في المجموعة لا يمكنها الاتصال بالأجهزة الظاهرية خارج المجموعة.
تتوفر العديد من الميزات لمساعدتك في إنشاء نشر Azure Batch أكثر أماناً. يمكنك تقييد الوصول إلى العقد وتقليل إمكانية اكتشاف العقد من الإنترنت عن طريق توفير التجمع دون عناوين IP العامة. يمكن لعقد الحساب الاتصال بأمان مع الأجهزة الظاهرية الأخرى أو مع شبكة محلية عن طريق توفير التجمع في شبكة فرعية لشبكة Azure الظاهرية. ويمكنك تمكين الوصول الخاص من الشبكات الظاهرية من خدمة مدعومة من Azure Private Link.
أفضل الممارسات المتعلقة بالأمان العام
تكوين تجمع
يمكن تكوين التجمعات في أحد وضعي اتصال العقدة، الكلاسيكية أو المبسطة. في نموذج اتصال العقدة الكلاسيكية، تبدأ خدمة Batch الاتصال بعقد الحوسبة، وتتطلب عقد الحساب أيضا الاتصال ب Azure Storage. في نموذج اتصال العقدة المبسط، تبدأ عقد الحوسبة الاتصال بخدمة Batch. نظرا إلى انخفاض نطاق الاتصالات الواردة/الصادرة المطلوبة، وعدم الحاجة إلى الوصول الصادر لتخزين Azure لعملية الأساس، فإن التوصية هي استخدام نموذج اتصال العقدة المبسط. سيتم إيقاف نموذج اتصال العقدة الكلاسيكية في 31 مارس 2026.
مصادقة الحساب الدفعي
يدعم الوصول إلى حساب Batch طريقتين للمصادقة: المفتاح المشترك ومعرف Microsoft Entra.
نوصي بشدة باستخدام معرف Microsoft Entra لمصادقة حساب Batch. تتطلب بعض إمكانيات الدُفعات طريقة المصادقة هذه، بما في ذلك العديد من الميزات المتعلقة بالأمان التي تمت مناقشتها هنا. يمكن تقييد آلية مصادقة واجهة برمجة تطبيقات الخدمة لحساب Batch على معرف Microsoft Entra فقط باستخدام الخاصية allowedAuthenticationModes . عند تعيين هذه الخاصية، يتم رفض استدعاءات واجهة برمجة التطبيقات باستخدام مصادقة المفتاح المشترك.
وضع تخصيص مجمع الحساب الدفعي
عند إنشاء حساب Batch، يمكنك الاختيار بين وضعي تخصيص تجمع:
- خدمة الدفعة: الخيار الافتراضي، حيث يتم إنشاء موارد مجموعة مقياس الجهاز الظاهري الأساسية المستخدمة لتخصيص عقد التجمع وإدارتها على الاشتراكات المملوكة للدفعة، ولا تكون مرئية مباشرة في مدخل Microsoft Azure. تكون تجمعات وعقد الدُفعات مرئية فقط.
- اشتراك المستخدم: يتم إنشاء موارد مجموعة مقياس الجهاز الظاهري الأساسية في نفس الاشتراك مثل حساب Batch. وبالتالي، تظهر هذه الموارد في الاشتراك، بالإضافة إلى موارد الدُفعات المقابلة.
مع وضع اشتراك المستخدم، يتم إنشاء الأجهزة الظاهرية لـ Batch والموارد الأخرى مباشرة في اشتراكك عند إنشاء تجمع. يعد وضع اشتراك المستخدم مطلوبا إذا كنت ترغب في إنشاء تجمعات الدفعات باستخدام مثيلات الجهاز الظاهري المحجوزة من Azure، واستخدام نهج Azure على موارد مجموعة مقياس الجهاز الظاهري، و/أو إدارة الحصة النسبية الأساسية للاشتراك (مشتركة عبر جميع حسابات الدفعات في الاشتراك). لإنشاء حساب دفعة في وضع اشتراك المستخدم، يجب عليك أيضاً تسجيل اشتراكك في Azure Batch، وربط الحساب بـ Azure Key Vault.
تقييد الوصول إلى نقطة نهاية الشبكة
نقاط نهاية شبكة الدُفعات
تُستخدم نقاط النهاية ذات عناوين IP العامة افتراضيًا للتواصل مع حسابات Batch، وتجمعات Batch، وعقد التجمع.
واجهة برمجة تطبيقات حساب الدُفعات
عند إنشاء حساب Batch، يتم إنشاء نقطة نهاية عامة تستخدم لاستدعاء معظم العمليات للحساب باستخدام واجهة برمجة تطبيقات REST. تحتوي نقطة نهاية الحساب على عنوان URL أساسي يستخدم التنسيق https://{account-name}.{region-id}.batch.azure.com. يتم تأمين الوصول إلى حساب Batch، مع تشفير الاتصال بنقطة نهاية الحساب باستخدام HTTPS، ومصادقة كل طلب باستخدام مفتاح مشترك أو مصادقة Microsoft Entra.
Azure Resource Manager
بالإضافة إلى العمليات الخاصة بحساب Batch، تنطبق عمليات الإدارة على حسابات Batch الفردية والمتعددة. يتم الوصول إلى عمليات الإدارة هذه عبر مدير موارد Azure.
يتم تشفير عمليات إدارة الدفعات عبر Azure Resource Manager باستخدام HTTPS، ويتم مصادقة كل طلب باستخدام مصادقة Microsoft Entra.
عقد حساب تجمع الدفعات
تتواصل خدمة الدُفعات مع وكيل عقدة الدُفعات الذي يعمل على كل عقدة في التجمع. على سبيل المثال، ترشد الخدمة عامل العقدة إلى تشغيل مهمة أو إيقاف مهمة أو الحصول على الملفات لمهمة ما. يتم تمكين الاتصال بعامل العقدة بواسطة واحد أو أكثر من موازنات التحميل، يعتمد عددها على عدد العقد في التجمع. يقوم موازن التحميل بإعادة توجيه الاتصال إلى العقدة المطلوبة، مع معالجة كل عقدة بواسطة رقم منفذ فريد. بشكل افتراضي، يكون لموازن التحميل عناوين بروتوكول الإنترنت عامة مرتبطة بها. يمكنك أيضاً الوصول إلى عُقد التجمع عن بُعد عبر RDP أو SSH (يتم تمكين هذا الوصول افتراضياً، مع الاتصال عبر موازنات التحميل).
نظام تشغيل عقدة الحوسبة الدفعية
يدعم Batch كلا من أنظمة تشغيل Linux وWindows. يدعم Batch Linux مع عامل عقدة محاذا لمجموعة فرعية من توزيعات نظام التشغيل Linux. يوصى بالاحتفاظ بنظام التشغيل محدثا بأحدث التصحيحات التي يوفرها ناشر نظام التشغيل.
يوصى بتمكين ترقية نظام التشغيل التلقائي لتجمعات الدفعات، ما يسمح للبنية الأساسية ل Azure بتنسيق التحديثات عبر التجمع. يمكن تكوين هذا الخيار ليكون غير منقطع لتنفيذ المهمة. لا تدعم الترقية التلقائية لنظام التشغيل جميع أنظمة التشغيل التي يدعمها Batch. لمزيد من المعلومات، راجع مصفوفة دعم ترقية نظام التشغيل التلقائي لمجموعات مقياس الجهاز الظاهري.
بالنسبة لأنظمة تشغيل Windows، تأكد من عدم تمكين الخاصية virtualMachineConfiguration.windowsConfiguration.enableAutomaticUpdates عند استخدام ترقية نظام التشغيل التلقائي على تجمع الدفعات.
يتم التخلص التدريجي من دعم الدفعات للصور ووكلاء العقد بمرور الوقت، وعادة ما يتم محاذاته مع المخططات الزمنية لدعم الناشر. يوصى بتجنب استخدام الصور مع تواريخ نهاية العمر الافتراضي (EOL) أو الصور التي تجاوزت تاريخ EOL الخاص بها.
تقع على عاتقك مسؤولية تحديث عرضك بشكل دوري لتواريخ EOL ذات الصلة بتجمعاتك وترحيل أحمال العمل قبل حدوث تاريخ EOL. إذا كنت تستخدم صورة مخصصة مع وكيل عقدة محدد، فتأكد من اتباع تواريخ انتهاء صلاحية Batch للدعم للصورة التي تم اشتقاق صورتك المخصصة أو تحاذيها. تشير الصورة التي لا تحتوي على تاريخ محدد batchSupportEndOfLife إلى أن مثل هذا التاريخ لم يتم تحديده بعد بواسطة خدمة Batch. عدم وجود تاريخ لا يشير إلى أن الصورة المعنية سيتم دعمها إلى أجل غير مسمى. يمكن إضافة تاريخ EOL أو تحديثه في المستقبل في أي وقت. يمكن اكتشاف تواريخ EOL عبر ListSupportedImages واجهة برمجة التطبيقات أو PowerShell أو Azure CLI.
أمن طبقة نقل نظام التشغيل Windows (TLS)
لا يقوم عامل عقدة الدفعة بتعديل الإعدادات الافتراضية لمستوى نظام التشغيل لإصدارات SSL/TLS أو ترتيب مجموعة التشفير. في Windows، يتم التحكم في إصدارات SSL/TLS وترتيب مجموعة التشفير على مستوى نظام التشغيل، وبالتالي يعتمد عامل عقدة الدفعة الإعدادات التي تم تعيينها بواسطة الصورة المستخدمة من قبل كل عقدة حساب. على الرغم من أن عامل عقدة الدفعة يحاول استخدام الإعدادات الأكثر أمانا المتوفرة عندما يكون ذلك ممكنا، فإنه لا يزال من الممكن أن يكون محدودا بإعدادات مستوى نظام التشغيل. نوصي بمراجعة الإعدادات الافتراضية لمستوى نظام التشغيل وتعيينها بشكل مناسب لوضع الأمان الأكثر ملاءمة لسير العمل والمتطلبات التنظيمية. لمزيد من المعلومات، يرجى زيارة إدارة TLS لفرض أمر مجموعة التشفير وإعدادات تسجيل TLS للتحكم في إصدار SSL/TLS ل Schannel SSP. لاحظ أن بعض تغييرات الإعداد تتطلب إعادة التشغيل حتى يتم تفعيلها. يوصى باستخدام نظام تشغيل أحدث مع إعدادات الأمان الافتراضية الحديثة أو صورة مخصصة مع إعدادات معدلة بدلا من تطبيق مثل هذه الإعدادات مع مهمة بدء الدفعة.
تقييد الوصول إلى نقاط نهاية الدُفعات
تتوفر العديد من الإمكانات لتقييد الوصول إلى نقاط نهاية الدُفعات المختلفة، خاصةً عندما يستخدم الحل شبكة ظاهرية.
استخدم نقاط النهاية الخاصة
يتيح Azure Private Link الوصول إلى خدمات Azure PaaS والخدمات المملوكة للعميل/الشريك المستضافة من Azure عبر نقطة نهاية خاصة في شبكتك الظاهرية. يمكنك استخدام الرابط الخاص لتقييد الوصول إلى حساب دفعة من داخل الشبكة الظاهرية أو من أي شبكة ظاهرية متحدثة. يمكن أيضاً الوصول محلياً إلى الموارد التي تم تعيينها لـ Private Link عبر التناظر الخاص عبر VPN أو Azure ExpressRoute.
لاستخدام نقاط النهاية الخاصة، يجب تكوين حساب Batch على نحوٍ مناسب عند إنشائه؛ ويجب تعطيل تكوين الوصول إلى الشبكة العامة. بمجرد الإنشاء، يمكن إنشاء نقاط نهاية خاصة ومقترنة بحساب Batch. لمزيد من المعلومات، راجع استخدام نقاط النهاية الخاصة مع حسابات Azure Batch.
إنشاء تجمعات في الشبكات الظاهرية
يمكن للعقد الحسابية في تجمع الدُفعات الاتصال ببعضها البعض، مثل تشغيل مهام متعددة المثيلات، دون الحاجة إلى شبكة ظاهرية. ومع ذلك، بشكل افتراضي، لا يمكن للعقد الموجودة في التجمع الاتصال بالأجهزة الظاهرية الموجودة خارج التجمع على شبكة ظاهرية ولها عناوين بروتوكول الإنترنت خاصة، مثل خوادم الترخيص أو خوادم الملفات.
للسماح لعقد الحساب بالاتصال بأمان مع الأجهزة الظاهرية الأخرى، أو مع شبكة محلية، يمكنك تكوين تجمع ليكون في شبكة فرعية من Azure شبكة ظاهرية.
عندما تحتوي المجمعات على نقاط نهاية بروتوكول الإنترنت عامة، يجب أن تسمح الشبكة الفرعية بالاتصالات الواردة من خدمة Batch لتتمكن من جدولة المهام وتنفيذ عمليات أخرى على عقد الحوسبة، والاتصال الصادر للتواصل مع Azure Storage أو الموارد الأخرى حسب الحاجة من خلال حمل العمل الخاص بك. بالنسبة للتجمعات في تكوين الجهاز الظاهري، يضيف Batch مجموعات أمان الشبكة على مستوى واجهة الشبكة المرفقة بعقد الحساب. تمتلك مجموعات موردي المواد النووية هذه قواعد لتمكينها:
- حركة مرور بروتوكول تحكم الإرسال الواردة من عناوين بروتوكول الإنترنت للخدمة الدفعية
- حركة مرور بروتوكول تحكم الإرسال الواردة للوصول عن بعد
- حركة المرور الصادرة على أي منفذ إلى الشبكة الظاهرية (يمكن تعديلها وفقاً لقواعد مجموعات أمان الشبكة على مستوى الشبكة الفرعية)
- حركة المرور الصادرة على أي منفذ إلى الإنترنت (يمكن تعديلها وفقاً لقواعد مجموعات أمان الشبكة على مستوى الشبكة الفرعية)
لا يتعين عليك تحديد مجموعات موردي المواد النووية على مستوى الشبكة الفرعية للشبكة الظاهرية، لأن الدُفعة تُكوِّن مجموعات موردي المواد النووية الخاصة بها. إذا كانت لديك مجموعة مجموعات أمان الشبكة مرتبطة بالشبكة الفرعية حيث يتم نشر عقد الحوسبة المجمعة، أو إذا كنت ترغب في تطبيق قواعد مجموعة مجموعات أمان الشبكة المخصصة لتجاوز الإعدادات الظاهرية المطبقة، فيجب عليك تكوين مجموعة مجموعات أمان الشبكة هذه مع قواعد الأمان الواردة والصادرة على الأقل للسماح بذلك اتصالات الخدمة المجمعة إلى عُقد التجمع واتصالات عقدة التجمع بالتخزين Azure.
لمزيد من المعلومات، راجع إنشاء تجمع Azure Batch في شبكة ظاهرية.
إنشاء مجمعات بعناوين بروتوكول الإنترنت عامة ثابتة
بشكل افتراضي، تكون عناوين IP العامة المقترنة بالتجمعات ديناميكية؛ يتم إنشاؤها عند إنشاء تجمع ويمكن إضافة عناوين IP أو إزالتها عند تغيير حجم التجمع. عندما تحتاج تطبيقات المهام التي تعمل على عقد التجمع إلى الوصول إلى خدمات خارجية، فقد يلزم تقييد الوصول إلى هذه الخدمات لعناوين بروتوكول الإنترنت محددة. في هذه الحالة، لن يكون وجود عناوين IP ديناميكية قابلا للإدارة.
يمكنك إنشاء موارد عنوان بروتوكول الإنترنت عام ثابت في نفس الاشتراك مثل حساب الدُفعة قبل إنشاء التجمع. يمكنك بعد ذلك تحديد هذه العناوين عند إنشاء حمام السباحة الخاص بك.
لمزيد من المعلومات، راجع إنشاء تجمع Azure Batch بعناوين IP عامة محددة.
إنشاء مجمعات دون عناوين بروتوكول الإنترنت عامة
بشكل افتراضي، يتم تعيين كل عقد الحساب في تجمع تكوين الجهاز الظاهري Azure Batch واحداً أو أكثر من عناوين بروتوكول الإنترنت العامة. يتم استخدام نقاط النهاية هذه بواسطة خدمة Batch لجدولة المهام وللتواصل مع عقد الحوسبة، بما في ذلك الوصول الخارجي إلى الإنترنت.
لتقييد الوصول إلى هذه العقد وتقليل إمكانية اكتشاف هذه العقد من الإنترنت، يمكنك تزويد المجموعة دون عناوين IP العامة.
لمزيد من المعلومات، راجع إنشاء تجمع بدون عناوين IP عامة.
تقييد الوصول عن بعد إلى عقد التجمع
بشكل افتراضي، يسمح Batch لمستخدم العقدة الذي لديه اتصال بالشبكة بالاتصال خارجياً بعقدة حسابية في تجمع الدُفعات باستخدام RDP أو SSH.
لتقييد الوصول عن بُعد إلى العقد، استخدم إحدى الطرق التالية:
- تكوين PoolEndpointConfiguration لرفض الوصول. سيتم ربط مجموعة أمان الشبكة المناسبة (مجموعات أمان الشبكة) بالمجمع.
- أنشئ تجمعك بدون عناوين IP عامة. بشكل افتراضي، لا يمكن الوصول إلى هذه التجمعات خارج شبكة ظاهرية.
- قم بربط مجموعات أمان الشبكة بشبكة شبكة ظاهرية لمنع الوصول إلى منافذ RDP أو SSH.
- لا تقم بإنشاء أي مستخدمين على العقدة. دون أي مستخدمين للعقدة، لن يكون الوصول عن بعد ممكناً.
تشفير البيانات
تشفير البيانات عند النقل
يجب أن تستخدم كل الاتصالات بنقطة نهاية حساب الدُفعة (أو عبر مدير موارد Azure) بروتوكولات نقل نص تشعبي. يجب استخدام https:// في عناوين URL لحساب Batch المحددة في واجهات برمجة التطبيقات عند الاتصال بخدمة Batch.
يجب تكوين العملاء الذين يتواصلون مع خدمة الدُفعات لاستخدام بروتوكول أمان طبقة النقل (TLS) 1.2.
تشفير بيانات الدُفعات في حالة السكون
يتم تشفير بعض المعلومات المحددة في واجهة برمجة التطبيقات Batch، مثل شهادات الحساب، وبيانات تعريف المهام والمهام، وأسطر أوامر المهام، تلقائياً عند تخزينها بواسطة خدمة الدُفعات. بشكل افتراضي، يتم تشفير هذه البيانات باستخدام مفاتيح Azure Batch المُدارة للنظام الأساسي الفريدة لكل حساب دفعة.
يمكنك أيضا تشفير هذه البيانات باستخدام مفاتيح يديرها العميل. يتم استخدام Azure Key Vault لإنشاء المفتاح وتخزينه، مع معرف المفتاح المسجل في حساب Batch الخاص بك.
تشفير أقراص عقدة الحساب
تحتوي عقد الحوسبة الدفعية على قرصين افتراضياً: قرص OS وSSD المحلي المؤقت. توجد الملفات والدلائل التي تديرها Batch على SSD المؤقت، وهو الموقع الافتراضي لملفات مثل ملفات إخراج المهام. يمكن لتطبيقات المهام الدفعية استخدام الموقع الافتراضي على قرص SSD أو قرص نظام التشغيل.
لمزيد من الأمان، قم بتشفير هذه الأقراص باستخدام إحدى إمكانيات تشفير قرص Azure هذه:
- تشفير القرص المُدار سارياً باستخدام المفاتيح المُدارة في النظام الأساسي
- التشفير في المضيف باستخدام مفتاح مدار بواسطة النظام الأساسي
- تشفير قرص Azure
الوصول الآمن إلى الخدمات من عقد الحساب
استخدم الهويات المدارة للمجموعة مع أذونات الوصول المناسبة المكونة للهوية المدارة المعينة من قبل المستخدم للوصول إلى خدمات Azure التي تدعم الهوية المدارة، بما في ذلك Azure Key Vault. إذا كنت بحاجة إلى توفير الشهادات على عقد Batch، فاستخدم ملحق Azure Key Vault VM المتوفر مع تجمع الهوية المدارة لتثبيت الشهادات وإدارتها على تجمع الدفعات الخاص بك. لمزيد من المعلومات حول نشر الشهادات من Azure Key Vault مع الهوية المدارة على تجمعات الدفعات، راجع تمكين التدوير التلقائي للشهادات في تجمع Batch.
التحكموالتوافق
التوافق
لمساعدة العملاء على الوفاء بالتزامات الامتثال الخاصة بهم عبر الصناعات والأسواق المنظمة في جميع أنحاء العالم، تحتفظ Azure بمجموعة كبيرة من عروض التوافق.
تستند هذه العروض إلى أنواع مختلفة من التأكيدات، بما في ذلك الشهادات الرسمية والشهادات وعمليات التحقق من الصحة والتراخيص والتقييمات الصادرة عن شركات تدقيق مستقلة تابعة لجهات خارجية، بالإضافة إلى التعديلات التعاقدية والتقييمات الذاتية ووثائق توجيه العملاء التي تنتجها Microsoft. راجع النظرة العامة الشاملة لعروض التوافق لتحديد العروض التي قد تكون ذات صلة بحلول Batch الخاصة بك.
نهج Azure
نهج Azure يساعد على فرض المعايير التنظيمية وتقييم التوافق على نطاق واسع. تتضمن حالات الاستخدام الشائعة لـ Azure Policy تطبيق التحكم لاتساق الموارد والتوافق التنظيمي والأمان والتكلفة والإدارة.
اعتماداً على وضع تخصيص التجمع الخاص بك والموارد التي يجب أن تنطبق عليها السياسة، استخدم Azure Policy مع Batch بإحدى الطرق التالية:
- مباشرة، باستخدام مورد Microsoft.Batch / batchAccounts. يمكن استخدام مجموعة فرعية من الخصائص لحساب دفعة. على سبيل المثال، يمكن أن تتضمن سياستك مناطق حساب دفعة صالحة، ووضع تخصيص التجمع المسموح به، وما إذا كانت الشبكة العامة ممكّنة للحسابات أم لا.
- بشكل غير مباشر، باستخدام مورد Microsoft.Compute / virtualMachineScaleSets. يمكن أن تحتوي حسابات الدفعات مع وضع تخصيص تجمع اشتراك المستخدم على نهج معين على موارد مجموعة مقياس الجهاز الظاهري التي تم إنشاؤها في اشتراك حساب الدفعة. على سبيل المثال، يتيح معرفة أحجام الجهاز الظاهري والتأكد من تشغيل امتدادات معينة على كل عقدة تجمع.
الخطوات التالية
- راجع أساس أمان Azure للدفعة.
- اقرأ المزيد من أفضل الممارسات ل Azure Batch.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ