الأذونات والأمان في Azure Chaos Studio
يمكنك Azure Chaos Studio من تحسين مرونة الخدمة عن طريق إدخال الأخطاء بشكل منهجي في موارد Azure. يعد إدخال الخطأ طريقة قوية لتحسين مرونة الخدمة، ولكنه يمكن أن يكون خطيرا أيضا. يمكن أن يكون للتسبب في حالات الفشل في التطبيق الخاص بك تأثير أكبر من الفرص المقصودة والمفتوحة أصلا للجهات الضارة للتسلل إلى تطبيقاتك.
يحتوي Chaos Studio على نموذج إذن قوي يمنع تشغيل الأخطاء عن غير قصد أو من قبل ممثل سيئ. في هذه المقالة، ستتعلم كيف يمكنك تأمين الموارد المستهدفة لحقن الخطأ باستخدام Chaos Studio.
كيف يمكنني تقييد القدرة على حقن الأخطاء باستخدام Chaos Studio؟
يحتوي Chaos Studio على ثلاثة مستويات من الأمان لمساعدتك في التحكم في كيفية حدوث إدخال الخطأ ومتى يحدث ضد مورد:
أولا، تجربة الفوضى هي مورد Azure يتم نشره في منطقة ومجموعة موارد واشتراك. يجب أن يكون لدى المستخدمين أذونات Azure Resource Manager المناسبة لإنشاء تجربة أو تحديثها أو بدء تشغيلها أو إلغائها أو حذفها أو عرضها.
كل إذن هو عملية Resource Manager يمكن تعيينها بشكل دقيق إلى هوية أو تعيينها كجزء من دور مع أذونات حرف البدل. على سبيل المثال، دور المساهم في Azure لديه
*/write
إذن في النطاق المعين، والذي يتضمنMicrosoft.Chaos/experiments/write
الإذن.عند محاولة التحكم في القدرة على إدخال أخطاء ضد مورد، فإن أهم عملية لتقييدها هي
Microsoft.Chaos/experiments/start/action
. تبدأ هذه العملية تجربة فوضى تقوم بحقن الأخطاء.ثانيا، تحتوي تجربة الفوضى على هوية مدارة معينة من قبل النظام أو هوية مدارة يعينها المستخدم تنفذ أخطاء على مورد. إذا اخترت استخدام هوية مدارة معينة من قبل النظام للتجربة، يتم إنشاء الهوية في وقت إنشاء التجربة في مستأجر Microsoft Entra. يمكن استخدام الهويات المدارة المعينة من قبل المستخدم عبر أي عدد من التجارب.
ضمن تجربة الفوضى، يمكنك اختيار تمكين تعيين دور مخصص على تحديد الهوية المدارة المعينة من قبل النظام أو المعينة من قبل المستخدم. يتيح تمكين هذه الوظيفة ل Chaos Studio إنشاء دور مخصص وتعيينه يحتوي على أي قدرات إجراء تجربة ضرورية لهوية تجربتك (غير موجودة بالفعل في تحديد هويتك). إذا كانت تجربة الفوضى تستخدم هوية مدارة يعينها المستخدم، فستستمر أي أدوار مخصصة تم تعيينها لهوية التجربة بواسطة Chaos Studio بعد حذف التجربة.
إذا اخترت منح أذونات التجربة يدويا، يجب منح هويتها الأذونات المناسبة لجميع الموارد المستهدفة. إذا لم يكن لدى هوية التجربة الإذن المناسب لمورد، فلا يمكنها تنفيذ خطأ ضد هذا المورد.
ثالثا، يجب إلحاق كل مورد ب Chaos Studio كهدف مع تمكين الإمكانات المقابلة. إذا لم يكن الهدف أو القدرة على تنفيذ الخطأ موجودا، تفشل التجربة دون التأثير على المورد.
الهوية المُدارة التي يُعيّنها المستخدم
يمكن لتجربة الفوضى الاستفادة من هوية مدارة معينة من قبل المستخدم للحصول على أذونات كافية لإدخال أخطاء على الموارد المستهدفة للتجربة. بالإضافة إلى ذلك، يمكن استخدام الهويات المدارة المعينة من قبل المستخدم عبر أي عدد من التجارب في Chaos Studio. للاستفادة من هذه الوظيفة، يجب عليك:
- أولا، قم بإنشاء هوية مدارة معينة من قبل المستخدم داخل خدمة الهويات المدارة . يمكنك تعيين الهوية المدارة المعينة من قبل المستخدم للأذونات المطلوبة لتشغيل تجربة (تجارب) الفوضى الخاصة بك في هذه المرحلة.
- ثانيا، عند إنشاء تجربة الفوضى الخاصة بك، حدد هوية مدارة معينة من قبل المستخدم من اشتراكك. يمكنك اختيار تمكين تعيين الدور المخصص في هذه الخطوة. قد يمنح تمكين هذه الوظيفة تحديد هويتك أي أذونات مطلوبة قد تحتاجها استنادا إلى الأخطاء الواردة في تجربتك.
- ثالثا، بعد إضافة جميع الأخطاء الخاصة بك إلى تجربة الفوضى الخاصة بك، راجع ما إذا كان تكوين الهوية يحتوي على جميع الإجراءات اللازمة لتشغيل تجربة الفوضى بنجاح. إذا لم يحدث ذلك، فاتصل بمسؤول النظام للوصول إلى تحديدات أخطاء تجربتك أو تحريرها.
مصادقة العامل
عند تشغيل أخطاء تستند إلى عامل، يجب تثبيت عامل Chaos Studio على الجهاز الظاهري (VM) أو مجموعة مقياس الجهاز الظاهري. يستخدم العامل هوية مدارة معينة من قبل المستخدم للمصادقة على Chaos Studio وملف تعريف عامل لإنشاء علاقة بمورد جهاز ظاهري معين.
عند إلحاق جهاز ظاهري أو مجموعة مقياس جهاز ظاهري للأخطاء المستندة إلى العامل، يمكنك أولا إنشاء هدف عامل. يجب أن يكون لهدف العامل مرجع إلى الهوية المدارة المعينة من قبل المستخدم المستخدمة للمصادقة. يحتوي هدف العامل على معرف ملف تعريف عامل، والذي يتم توفيره كتكوين عند تثبيت العامل. ملفات تعريف العامل فريدة لكل هدف والأهداف فريدة لكل مورد.
عمليات Azure Resource Manager وأدواره
يحتوي Chaos Studio على العمليات التالية:
العملية | الوصف |
---|---|
Microsoft.Chaos/targets/[Read,Write,Delete] | الحصول على هدف أو إنشائه أو تحديثه أو حذفه. |
Microsoft.Chaos/targets/capabilities/[Read,Write,Delete] | الحصول على إمكانية أو إنشائها أو تحديثها أو حذفها. |
Microsoft.Chaos/locations/targetTypes/Read | الحصول على جميع أنواع الأهداف. |
Microsoft.Chaos/locations/targetTypes/capabilityTypes/Read | الحصول على جميع أنواع الإمكانات. |
Microsoft.Chaos/experiments/[Read,Write,Delete] | الحصول على تجربة فوضى أو إنشائها أو تحديثها أو حذفها. |
Microsoft.Chaos/experiments/start/action | ابدأ تجربة الفوضى. |
Microsoft.Chaos/experiments/cancel/action | أوقف تجربة الفوضى. |
Microsoft.Chaos/experiments/executions/Read | احصل على حالة التنفيذ لتشغيل تجربة الفوضى. |
Microsoft.Chaos/experiments/executions/getExecutionDetails/action | احصل على تفاصيل التنفيذ (الحالة والأخطاء لكل إجراء) لتشغيل تجربة الفوضى. |
لتعيين هذه الأذونات بشكل دقيق، يمكنك إنشاء دور مخصص.
أمن الشبكة
تحدث جميع تفاعلات المستخدم مع Chaos Studio من خلال Azure Resource Manager. إذا بدأ مستخدم تجربة، فقد تتفاعل التجربة مع نقاط نهاية أخرى غير Resource Manager، اعتمادا على الخطأ:
- أخطاء الخدمة المباشرة: يتم تنفيذ معظم الأخطاء المباشرة للخدمة من خلال Azure Resource Manager ولا تتطلب أي نقاط نهاية للشبكة المدرجة في القائمة المسموح بها.
- أخطاء AKS Chaos Mesh المباشرة للخدمة: تتطلب أخطاء الخدمة المباشرة لخدمة Azure Kubernetes التي تستخدم Chaos Mesh الوصول إلى خادم Kubernetes API لمجموعة AKS.
- تعرف على كيفية الحد من وصول شبكة AKS إلى مجموعة من نطاقات IP هنا. يمكنك الحصول على نطاقات IP الخاصة ب Chaos Studio عن طريق الاستعلام عن
ChaosStudio
علامة الخدمة باستخدام واجهة برمجة تطبيقات اكتشاف علامة الخدمة أو ملفات JSON القابلة للتنزيل. - حاليا، لا يمكن ل Chaos Studio تنفيذ أخطاء Chaos Mesh إذا تم تعطيل حسابات محلية في نظام مجموعة AKS.
- تعرف على كيفية الحد من وصول شبكة AKS إلى مجموعة من نطاقات IP هنا. يمكنك الحصول على نطاقات IP الخاصة ب Chaos Studio عن طريق الاستعلام عن
- الأخطاء المستندة إلى العامل: لاستخدام الأخطاء المستندة إلى العامل، يحتاج العامل إلى الوصول إلى خدمة عامل Chaos Studio. يجب أن يكون للجهاز الظاهري أو مجموعة مقياس الجهاز الظاهري حق الوصول الصادر إلى نقطة نهاية خدمة العامل للعامل للاتصال بنجاح. نقطة نهاية خدمة العامل هي
https://acs-prod-<region>.chaosagent.trafficmanager.net
. يجب استبدال<region>
العنصر النائب بالمنطقة التي يتم فيها نشر الجهاز الظاهري الخاص بك. مثال على ذلك هوhttps://acs-prod-eastus.chaosagent.trafficmanager.net
لجهاز ظاهري في شرق الولايات المتحدة. - الشبكات الخاصة المستندة إلى العامل: يدعم عامل Chaos Studio الآن الشبكات الخاصة. يرجى الاطلاع على الشبكات الخاصة ل Chaos Agent.
علامات الخدمة
علامة الخدمة هي مجموعة من بادئات عناوين IP التي يمكن تعيينها إلى القواعد الواردة والصادرة لمجموعات أمان الشبكة. يعالج تلقائيا التحديثات لمجموعة بادئات عناوين IP دون أي تدخل. نظرا لأن علامات الخدمة تمكن في المقام الأول تصفية عنوان IP، فإن علامات الخدمة وحدها ليست كافية لتأمين حركة المرور.
يمكنك استخدام علامات الخدمة للسماح صراحة بنسبة استخدام الشبكة الواردة من Chaos Studio دون الحاجة إلى معرفة عناوين IP للنظام الأساسي. علامة خدمة Chaos Studio هي ChaosStudio
.
يتمثل أحد قيود علامات الخدمة في أنه لا يمكن استخدامها إلا مع التطبيقات التي تحتوي على عنوان IP عام. إذا كان المورد يحتوي على عنوان IP خاص فقط، فلا يمكن لعلامات الخدمة توجيه نسبة استخدام الشبكة إليه.
حالات الاستخدام
يستخدم Chaos Studio علامات الخدمة للعديد من حالات الاستخدام.
- لاستخدام الأخطاء المستندة إلى العامل، يجب أن يتواصل عامل Chaos Studio الذي يعمل داخل الأجهزة الظاهرية للعميل مع خدمة الواجهة الخلفية Chaos Studio. تتيح علامة الخدمة للعملاء السماح بإدراج نسبة استخدام الشبكة من الجهاز الظاهري إلى خدمة Chaos Studio.
- لاستخدام أخطاء معينة تتطلب الاتصال خارج
management.azure.com
مساحة الاسم، مثل أخطاء Chaos Mesh لخدمة Azure Kubernetes، تأتي نسبة استخدام الشبكة من خدمة Chaos Studio إلى مورد العميل. تتيح علامة الخدمة للعملاء السماح بإدراج نسبة استخدام الشبكة من خدمة Chaos Studio إلى المورد المستهدف. - يمكن للعملاء استخدام علامات الخدمة الأخرى كجزء من خطأ قواعد مجموعة أمان الشبكة للتأثير على نسبة استخدام الشبكة من/إلى خدمات Azure معينة.
من خلال تحديد ChaosStudio
علامة الخدمة في قواعد الأمان، يمكن السماح بنسبة استخدام الشبكة أو رفضها لخدمة Chaos Studio دون الحاجة إلى تحديد عناوين IP الفردية.
اعتبارات الأمان
عند تقييم علامات الخدمة واستخدامها، من المهم ملاحظة أنها لا توفر تحكما دقيقا في عناوين IP الفردية ولا ينبغي الاعتماد عليها كطريقة وحيدة لتأمين الشبكة. فهي ليست بديلا عن التدابير الأمنية المناسبة للشبكة.
تشفير البيانات
تشفر Chaos Studio جميع البيانات بشكل افتراضي. يقبل Chaos Studio الإدخال فقط لخصائص النظام مثل معرفات كائن الهوية المدارة وأسماء التجربة/الخطوة/الفرع ومعلمات الخطأ. مثال على ذلك هو نطاق منفذ الشبكة المراد حظره في خطأ قطع اتصال الشبكة.
لا ينبغي استخدام هذه الخصائص لتخزين البيانات الحساسة، مثل معلومات الدفع أو كلمات المرور. لمزيد من المعلومات حول كيفية حماية Chaos Studio لبياناتك، راجع حماية بيانات عملاء Azure.
صندوق تأمين العميل
يوفر لك Lockbox عنصر التحكم للموافقة على طلب مهندس Microsoft أو رفضه للوصول إلى بيانات التجربة أثناء طلب الدعم.
يمكن تمكين مربع التأمين لمعلومات تجربة الفوضى، ويتم منح إذن الوصول إلى البيانات من قبل العميل على مستوى الاشتراك إذا تم تمكين مربع التأمين.
تعرف على المزيد حول «مربع تأمين العميل» لـ Microsoft Azure
الخطوات التالية
الآن بعد أن فهمت كيفية تأمين تجربة الفوضى الخاصة بك، فأنت على استعداد ل: