مشاركة عبر

Azure CycleCloud – أفضل ممارسات الأمان

  • مقالة

تتناول هذه المقالة أفضل الممارسات والنصائح المفيدة لاستخدام Azure CycleCloud بشكل أكثر أمانا وفعالية. يمكنك استخدام أفضل الممارسات المدرجة هنا كمرجع سريع عند استخدام Azure CycleCloud.

التثبيت

يستخدم التثبيت الافتراضي ل CycleCloud HTTP غير المشفر الذي يعمل على المنفذ 8080. نوصي بشدة بتكوين SSL لجميع عمليات التثبيت لمنع الوصول غير المشفرة إلى تثبيت CycleCloud. يجب ألا يمكن الوصول إلى CycleCloud من الإنترنت، ولكن إذا لزم الأمر يجب كشف المنفذ 443 فقط. إذا كنت ترغب في تقييد الوصول المباشر إلى الإنترنت، فكون لاستخدام وكيل لجميع نسبة استخدام الشبكة HTTP و/أو HTTPS المرتبطة بالإنترنت. لتعطيل الاتصالات غير المشفرة ووصول HTTP إلى CycleCloud، راجع تكوين SSL.

إذا كنت تريد أيضا تقييد الوصول إلى الإنترنت الصادر، فمن الممكن تكوين CycleCloud لاستخدام وكيل لجميع نسبة استخدام الشبكة HTTP و/أو HTTPS المرتبطة بالإنترنت. راجع التشغيل في بيئة مؤمنة للحصول على التفاصيل.

المصادقة والتخويل

يوفر Azure CycleCloud أربع طرق للمصادقة: قاعدة بيانات مضمنة مع تشفير أو Active Directory أو LDAP أو معرف Entra. سيتم تأمين أي حساب مع خمسة حالات فشل في التخويل في غضون 60 ثانية تلقائيا لمدة خمس دقائق. يمكن إلغاء تأمين الحسابات يدويا من قبل المسؤول ويتم إلغاء تأمينها تلقائيا بعد خمس دقائق.

يجب تثبيت CycleCloud على محرك أقراص مع وصول مجموعة المسؤولين فقط. سيؤدي ذلك إلى منع المستخدمين غير المسؤولين من الوصول إلى البيانات غير المشفرة. يجب عدم تضمين المستخدمين غير المسؤولين في هذه المجموعة. من الناحية المثالية، يجب أن يقتصر الوصول إلى تثبيت CycleCloud على المسؤولين فقط.

لا تشارك تثبيت CycleCloud عبر حدود الثقة. قد لا تكون عناصر تحكم التحكم في الوصول استنادا إلى الدور داخل تثبيت CycleCloud واحد كافية في بيئة حقيقية متعددة المستأجرين. استخدم عمليات تثبيت CycleCloud منفصلة ومعزولة لكل مستأجر مع بيانات هامة.

إدارة الشبكات والبيانات السرية

يجب تأمين الشبكة الظاهرية التي يتم تشغيل المجموعات فيها مع مجموعات أمان الشبكة (NSG). يتم التحكم في الوصول إلى منافذ معينة بواسطة NSG، لديك خيار تكوين حركة مرور الشبكة الواردة/الصادرة والتحكم فيها من/إلى موارد Azure داخل شبكة Azure الظاهرية. تحتوي مجموعة أمان الشبكة على قواعد أمان تسمح أو ترفض نسبة استخدام الشبكة الواردة أو نسبة استخدام الشبكة الصادرة من عدة أنواع من موارد Azure.

نوصي بشدة باستخدام شبكتين فرعيتين على الأقل. واحد للجهاز الظاهري لتثبيت CycleCloud وأي أجهزة ظاهرية أخرى بنفس نهج الوصول، والشبكات الفرعية الإضافية لمجموعات الحوسبة. ومع ذلك، ضع في اعتبارك أنه بالنسبة للمجموعات الكبيرة، قد يصبح نطاق IP للشبكة الفرعية عاملا مقيدا. لذلك، بشكل عام، يجب أن تستخدم الشبكة الفرعية CycleCloud نطاق CIDR صغير (توجيه Inter-Domain بلا فئة) ويجب أن تكون الشبكات الفرعية للحساب كبيرة.

يستخدم CycleCloud Resource Manager Azure لإدارة المجموعات. لإجراء مكالمات إلى Azure Resource Manager يتم منح أذونات معينة إلى CycleCloud عن طريق تكوين الهوية المدارة إلى CycleCloud VM. يوصى باستخدام الهوية المدارة المعينة من قبل النظام أو المعينة من قبل المستخدم. تنشئ الهوية المدارة المعينة من قبل النظام هوية في Azure AD مرتبطة لدورة حياة مثيل الخدمة هذا. عند حذف هذا المورد، يتم حذف الهوية المدارة تلقائيا. يمكن تعيين الهوية المدارة المعينة من قبل المستخدم إلى مثيل واحد أو أكثر من خدمة Azure. في هذه الحالة، تتم إدارة الهوية المدارة بشكل منفصل بواسطة الموارد المستخدمة.

بيئة مؤمنة مؤمنة

ستقوم بعض بيئات الإنتاج الآمنة بتأمين البيئة ولديها وصول محدود إلى الإنترنت. نظرا لأن Azure CycleCloud يتطلب الوصول إلى حسابات Azure Storage وخدمات Azure الأخرى المدعومة، فإن الطريقة الموصى بها لتوفير الوصول الخاص هي من خلال نقاط نهاية خدمة الشبكة الظاهرية أو الارتباط الخاص. يتيح لك تمكين نقاط نهاية الخدمة أو الارتباط الخاص تأمين موارد خدمة Azure إلى شبكتك الظاهرية. تضيف نقاط نهاية الخدمة المزيد من الأمان عن طريق تمكين عناوين IP الخاصة في الشبكة الظاهرية للوصول إلى نقاط نهاية خدمة Azure.

يمكن أن يعمل تطبيق CycleCloud وعقد نظام المجموعة في بيئات ذات وصول محدود إلى الإنترنت، على الرغم من وجود الحد الأدنى من منافذ TCP التي يجب أن تظل مفتوحة. إحدى الطرق للحد من الوصول إلى الإنترنت الصادر من الجهاز الظاهري CycleCloud دون تكوين جدار حماية Azure أو وكيل HTTPS هي تكوين مجموعة أمان شبكة Azure صارمة للشبكة الفرعية للجهاز الظاهري CycleCloud. أبسط طريقة للقيام بذلك هي استخدام علامات الخدمة في الشبكة الفرعية أو مجموعة أمان الشبكة على مستوى الجهاز الظاهري للسماح بالوصول إلى Azure الصادر المطلوب. يمكن استخدام علامات الخدمة بدلا من عنوان IP محدد عند إنشاء قواعد أمان، يمكنك السماح بنسبة استخدام الشبكة للخدمة المقابلة أو رفضها.