شبكة إنتاج Azure
يتضمن مستخدمو شبكة إنتاج Azure كلاً من العملاء الخارجيين الذين يصلون إلى تطبيقات Azure الخاصة بهم وموظفي دعم Azure الداخليين الذين يديرون شبكة الإنتاج. تتناول هذه المقالة أساليب الوصول إلى الأمان وآليات الحماية لإنشاء اتصالات بشبكة إنتاج Azure.
توجيه الإنترنت والتسامح مع الخطأ
تعمل البنية الأساسية لخدمة Azure DNS المكررة عالمياً، إلى جانب مجموعات خادم DNS الأساسية والثانوية المتعددة على توفير التسامح مع الخطأ. في الوقت نفسه، يتم استخدام عناصر تحكم أمان شبكة Azure الإضافية، مثل NetScaler، لمنع هجمات رفض الخدمة الموزعة (DDoS) وحماية تكامل خدمات Azure DNS.
توجد خوادم Azure DNS في مرافق مركز بيانات متعددة. يتضمن تنفيذ Azure DNS تدرجاً هرمياً لخوادم DNS الثانوية والأساسية لحل أسماء مجالات عملاء Azure بشكل عام. عادة ما يتم حل أسماء المجالات إلى عنوان CloudApp.net، والذي يلف عنوان IP الظاهري (VIP) لخدمة العميل. يتم إجراء VIP الذي يتوافق مع عنوان IP المخصص الداخلي (DIP) بشكل خاص في Azure لترجمة المستأجر بواسطة موازنات التحميل من Microsoft المسؤولة عن VIP هذا.
تتم استضافة Azure في مراكز بيانات Azure الموزعة جغرافياً داخل الولايات المتحدة، وهي مبنية على أحدث الأنظمة الأساسية للتوجيه التي تنفذ معايير معمارية قوية وقابلة للتطوير. ومن بين الميزات البارزة ما يلي:
- هندسة نسبة استخدام الشبكة المستندة إلى تبديل التسميات متعددة البروتوكولات (MPLS)، والتي توفر استخداماً فعالاً للارتباطات وانخفاضاً آمناً للخدمة إذا كان هناك انقطاع.
- يتم تنفيذ الشبكات مع بنيات التكرار "need plus one" (N+1) أو أفضل.
- يتم تقديم مراكز البيانات خارجياً من خلال دوائر شبكة مخصصة ذات نطاق ترددي عال تربط الخصائص بشكل متكرر بأكثر من 1200 موفّر خدمة إنترنت على مستوى العالم في نقاط نظير متعددة. يوفر هذا الاتصال ما يزيد عن 2000 GB في الثانية (GBps) من سعة الحافة.
نظراً إلى أن Microsoft تمتلك دوائر الشبكة الخاصة بها بين مراكز البيانات، فإن هذه السمات تساعد عرض Azure على تحقيق توفّر شبكة بنسبة 99.9+ في المئة دون الحاجة إلى موفّري خدمة الإنترنت التقليديين التابعين لجهات خارجية.
الاتصال بشبكة الإنتاج وجدران الحماية المرتبطة بها
يوجه نهج نسبة استخدام الشبكة لإنترنت شبكة Azure نسبة استخدام الشبكة إلى شبكة إنتاج Azure الموجودة في أقرب مركز بيانات إقليمي داخل الولايات المتحدة. نظراً إلى أن مراكز بيانات إنتاج Azure تحتفظ ببنية شبكة وأجهزة متسقة، فإن وصف تدفق نسبة استخدام الشبكة الذي يلي ينطبق باستمرار على جميع مراكز البيانات.
بعد توجيه نسبة استخدام شبكة الإنترنت لـ Azure إلى أقرب مركز بيانات، يتم إنشاء اتصال بأجهزة توجيه الوصول. تعمل أجهزة توجيه الوصول هذه على عزل نسبة استخدام الشبكة بين عقد Azure والأجهزة الظاهرية التي تم إنشاء مثيل لها من قبل العميل. أجهزة البنية الأساسية للشبكة في مواقع الوصول والحافة هي نقاط الحدود التي يتم فيها تطبيق عوامل تصفية الدخول والخروج. يتم تكوين أجهزة التوجيه هذه من خلال قائمة التحكم بالوصول (ACL) المتدرجة لتصفية نسبة استخدام الشبكة غير المرغوب فيها وتطبيق حدود معدل نسبة استخدام الشبكة، إذا لزم الأمر. يتم توجيه حركة المرور المسموح بها بواسطة ACL إلى موازنات التحميل. تم تصميم أجهزة توجيه التوزيع للسماح فقط بعناوين IP المعتمدة من Microsoft، وتوفير مكافحة تزييف الهوية، وإنشاء اتصالات TCP التي تستخدم قوائم ACL.
توجد أجهزة موازنة التحميل الخارجية خلف أجهزة توجيه الوصول لإجراء ترجمة عناوين الشبكة (NAT) من عناوين IP القابلة للتوجيه عبر الإنترنت إلى عناوين IP الداخلية لـ Azure. تقوم الأجهزة أيضاً بتوجيه حزم البيانات إلى عناوين IP ومنافذ الإنتاج الداخلية الصالحة، وتعمل كآلية حماية للحد من عرض مساحة عنوان شبكة الإنتاج الداخلية.
بشكل افتراضي، تفرض Microsoft أمان بروتوكول نقل النص التشعبي (HTTPS) لجميع نسبة استخدام الشبكة التي يتم إرسالها إلى متصفحات الويب الخاصة بالعملاء، بما في ذلك تسجيل الدخول ونسبة استخدام الشبكة بالكامل بعد ذلك. يتيح استخدام TLS v1.2 نفقاً آمناً لنسبة استخدام الشبكة للتدفق عبره. تضمن قوائم التحكم في الوصول على أجهزة التوجيه الأساسية والوصول أن مصدر نسبة استخدام الشبكة متسق مع ما هو متوقع.
من الاختلافات المهمة في هذه البنية، عند مقارنتها بهندسة الأمان التقليدية، أنه لا توجد جدران حماية للأجهزة أو أجهزة متخصصة للكشف عن التسلل أو منعه أو أجهزة أمان أخرى متوقعة عادةً قبل إجراء الاتصالات ببيئة تشغيل Azure. يتوقع العملاء عادةً أجهزة جدار حماية الأجهزة هذه في شبكة Azure؛ ومع ذلك لا يتم توظيف أي منها داخل Azure. يتم تضمين ميزات الأمان هذه بشكل حصري تقريباً في البرنامج الذي يقوم بتشغيل بيئة Azure لتوفير آليات أمان قوية ومتعددة الطبقات، بما في ذلك إمكانات جدار الحماية. بالإضافة إلى ذلك، فإن نطاق الحدود والامتداد المرتبط بأجهزة الأمان الهامة أسهل في الإدارة والمخزون، كما هو موضح في الرسم التوضيحي السابق، لأنه تتم إدارته بواسطة البرنامج الذي يقوم بتشغيل Azure.
ميزات الأمان وجدار الحماية الأساسية
ينفذ Azure ميزات قوية لأمان البرامج وجدار الحماية على مستويات مختلفة لفرض ميزات الأمان المتوقعة عادةً في بيئة تقليدية لحماية حدود مصادقة الأمان الأساسية.
ميزات أمان Azure
يقوم Azure بتنفيذ جدران حماية البرامج المستندة إلى المضيف داخل شبكة الإنتاج. توجد العديد من ميزات الأمان وجدار الحماية الأساسية داخل بيئة Azure الأساسية. تعكس ميزات الأمان هذه استراتيجية دفاعية متعمقة داخل بيئة Azure. بيانات العملاء في Azure محمية بواسطة جدران الحماية التالية:
جدار حماية Hypervisor (عامل تصفية حزمة البيانات): يتم تنفيذ جدار الحماية هذا في برنامج Hypervisor وتكوينه بواسطة عامل وحدة تحكم الهيكل (FC). يحمي جدار الحماية هذا المستأجر الذي يعمل داخل الجهاز الظاهري من الوصول غير المصرح به. بشكل افتراضي، عند إنشاء جهاز ظاهري، يتم منع نسبة استخدام الشبكة بالكامل ثم يضيف عامل FC القواعد والاستثناءات في عامل التصفية للسماح بنسبة استخدام الشبكة المصرح بها.
هناك فئتان من القواعد مبرمجتان هنا:
- تكوين الجهاز أو قواعد البنية الأساسية: يتم منع جميع الاتصالات بشكل افتراضي. توجد استثناءات تسمح للجهاز الظاهري بإرسال وتلقي اتصالات بروتوكول التكوين الديناميكي للمضيف (DHCP) ومعلومات DNS، وإرسال نسبة استخدام الشبكة إلى الإنترنت "العام" الصادر إلى الأجهزة الظاهرية الأخرى داخل نظام مجموعة FC وخادم تنشيط نظام التشغيل. نظرا لأن قائمة الوجهات الصادرة المسموح بها للأجهزة الظاهرية لا تتضمن الشبكات الفرعية لموجه Azure وخصائص Microsoft الأخرى، فإن القواعد تعمل كطبقة دفاعية لها.
- قواعد ملف تكوين الدور: تحدد قوائم التحكم في الوصول الواردة استنادا إلى نموذج خدمة المستأجرين. على سبيل المثال، إذا كانت للمستأجر واجهة ويب أمامية على المنفذ 80 على جهاز ظاهري معين، يتم فتح المنفذ 80 لجميع عناوين IP. إذا كان للجهاز الظاهري دور عامل قيد التشغيل، فسيتم فتح دور العامل فقط إلى الجهاز الظاهري داخل نفس المستأجر.
جدار حماية المضيف الأصلي: يتم تشغيل Azure Service Fabric وAzure Storage على نظام تشغيل أصلي، لا يحتوي على برنامج Hypervisor، ومن ثم، تم تكوين جدار حماية Windows باستخدام مجموعتي القواعد السابقتين.
جدار حماية المضيف: يحمي جدار حماية المضيف قسم المضيف، الذي يقوم بتشغيل برنامج Hypervisor. تتم برمجة القواعد للسماح فقط لمربعات FC وJump بالتحدث إلى قسم المضيف على منفذ معين. الاستثناءات الأخرى هي السماح باستجابة DHCP وردود DNS. يستخدم Azure ملف تكوين جهاز، والذي يحتوي على قالب من قواعد جدار الحماية لقسم المضيف. يوجد أيضاً استثناء جدار حماية مضيف يسمح للأجهزة الظاهرية بالاتصال بمكونات المضيف وخادم الأسلاك وخادم البيانات الوصفية، من خلال بروتوكول/منافذ محددة.
جدار حماية الضيف: جزء جدار حماية Windows من نظام التشغيل الضيف، والذي يمكن تكوينه من قبل العملاء على الأجهزة الظاهرية للعميل والتخزين.
تتضمن ميزات الأمان الإضافية المضمنة في قدرات Azure ما يلي:
مكونات البنية الأساسية التي تم تعيين عناوين IP لها من عناوين DIP. لا يمكن للمهاجم على الإنترنت توجيه نسبة استخدام الشبكة إلى تلك العناوين لأنها لن تصل إلى Microsoft. تقوم أجهزة توجيه بوابة الإنترنت بتصفية حزم البيانات الموجهة فقط إلى العناوين الداخلية، حتى لا تدخل شبكة الإنتاج. المكونات الوحيدة التي تقبل نسبة استخدام الشبكة الموجهة إلى عناوين VIP هي موازنات التحميل.
جدران الحماية التي يتم تنفيذها على جميع العقد الداخلية لها ثلاثة اعتبارات أساسية لبنية الأمان لأي سيناريو معين:
- يتم وضع جدران الحماية خلف موازن التحميل وقبول حزم البيانات من أي مكان. تهدف حزم البيانات هذه إلى أن تكون مكشوفة خارجياً وتتوافق مع المنافذ المفتوحة في جدار حماية محيط تقليدي.
- تقبل جدران الحماية حزم البيانات فقط من مجموعة محدودة من العناوين. هذا الاعتبار هو جزء من الاستراتيجية الدفاعية المتعمقة ضد الهجمات الموزعة لحجب الخدمة. تتم مصادقة مثل هذه الاتصالات بشكل مشفر.
- يمكن الوصول إلى جدران الحماية فقط من العقد الداخلية المحددة. وهي تقبل حزم البيانات فقط من قائمة تعداد عناوين IP المصدر، وكلها من عناوين DIP داخل شبكة Azure. على سبيل المثال، قد يؤدي الهجوم على شبكة الشركة إلى توجيه الطلبات إلى هذه العناوين، ولكن سيتم حظر الهجمات ما لم يكن عنوان مصدر حزمة البيانات واحداً في القائمة التي تم تعدادها داخل شبكة Azure.
- يمنع جهاز توجيه الوصول في المحيط حزم البيانات الصادرة التي يتم توجيهها إلى عنوان موجود داخل شبكة Azure بسبب مساراته الثابتة المكونة.
الخطوات التالية
لمعرفة المزيد حول ما تفعله Microsoft لتأمين البنية الأساسية لـ Azure، راجع: