Oprávnění a zabezpečení ve službě Azure Chaos Studio Preview
Azure Chaos Studio Preview umožňuje zlepšit odolnost služeb tím, že do prostředků Azure systematicky vnáší chyby. Injektáž chyb představuje účinný způsob, jak zlepšit odolnost služby, ale může být také nebezpečné. Příčiny selhání ve vaší aplikaci mohou mít větší dopad, než bylo původně zamýšleno, a otevřít příležitosti pro aktéry se zlými úmysly infiltrovat vaše aplikace.
Chaos Studio má robustní model oprávnění, který zabraňuje neúmyslnému spuštění chyb nebo chybným aktérem. V tomto článku se dozvíte, jak pomocí nástroje Chaos Studio zabezpečit prostředky cílené na injektáž chyb.
Jak můžu omezit možnost vkládání chyb pomocí nástroje Chaos Studio?
Chaos Studio má tři úrovně zabezpečení, které vám pomůžou řídit, jak a kdy může u prostředku dojít k injektáži chyby:
Za prvé, experiment s chaosem je prostředek Azure, který se nasadí do oblasti, skupiny prostředků a předplatného. Uživatelé musí mít odpovídající Resource Manager oprávnění Azure k vytvoření, aktualizaci, spuštění, zrušení, odstranění nebo zobrazení experimentu.
Každé oprávnění je operace Resource Manager, kterou lze členitě přiřadit k identitě nebo jako součást role se zástupnými oprávněními. Například role Přispěvatel v Azure má
*/writeoprávnění v přiřazeného oboru, což zahrnujeMicrosoft.Chaos/experiments/writeoprávnění.Když se pokusíte řídit schopnost injektovat chyby do prostředku, nejdůležitější operace, kterou je potřeba omezit, je
Microsoft.Chaos/experiments/start/action. Tato operace spustí experiment chaosu, který injektuje chyby.Za druhé, experiment chaosu má spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem , která provádí chyby na prostředku. Pokud se rozhodnete pro experiment použít spravovanou identitu přiřazenou systémem, vytvoří se identita při vytváření experimentu ve vašem tenantovi Azure Active Directory. Spravované identity přiřazené uživatelem je možné použít v libovolném počtu experimentů.
V rámci experimentu s chaosem můžete povolit vlastní přiřazení role pro výběr spravované identity přiřazené systémem nebo uživatelem. Povolením této funkce umožníte aplikaci Chaos Studio vytvořit a přiřadit vlastní roli obsahující všechny potřebné možnosti experimentu k identitě experimentu (které ještě ve výběru identity neexistují). Pokud experiment s chaosem používá spravovanou identitu přiřazenou uživatelem, všechny vlastní role přiřazené k identitě experimentu nástrojem Chaos Studio zachovají i po odstranění experimentu.
Pokud se rozhodnete udělit oprávnění experimentu ručně, musíte všem cílovým prostředkům udělit odpovídající oprávnění pro jeho identitu. Pokud identita experimentu nemá odpovídající oprávnění k prostředku, nemůže u něj spustit chybu.
Za třetí musí být každý prostředek onboardován do aplikace Chaos Studio jako cíl s povolenými odpovídajícími funkcemi. Pokud cíl nebo schopnost spouštěné chyby neexistuje, experiment selže, aniž by to mělo vliv na prostředek.
Spravovaná identita přiřazená uživatelem
Experiment s chaosem může využít spravovanou identitu přiřazenou uživatelem k získání dostatečných oprávnění k vložení chyb do cílových prostředků experimentu. Kromě toho se spravované identity přiřazené uživatelem můžou používat v libovolném počtu experimentů v aplikaci Chaos Studio. Abyste mohli tuto funkci využívat, musíte:
- Nejprve ve službě Spravované identity vytvořte spravovanou identitu přiřazenou uživatelem. Spravované identitě přiřazené uživatelem můžete v tuto chvíli přiřadit potřebná oprávnění ke spuštění experimentů s chaosem.
- Za druhé, při vytváření experimentu s chaosem vyberte spravovanou identitu přiřazenou uživatelem z vašeho předplatného. V tomto kroku můžete povolit vlastní přiřazení role. Povolení této funkce by vaší identitě udělilo všechna potřebná oprávnění na základě chyb obsažených v experimentu.
- Za třetí– po přidání všech chyb do experimentu s chaosem zkontrolujte, jestli konfigurace vaší identity neobsahuje všechny potřebné akce pro úspěšné spuštění experimentu s chaosem. Pokud ne, požádejte správce systému o přístup nebo upravte výběr chyb experimentu.
Ověřování agenta
Při spouštění chyb založených na agentech musíte na virtuální počítač nebo škálovací sadu virtuálních počítačů nainstalovat agenta Chaos Studio. Agent používá spravovanou identitu přiřazenou uživatelem k ověření ve službě Chaos Studio a profil agenta k vytvoření vztahu ke konkrétnímu prostředku virtuálního počítače.
Když nasadíte virtuální počítač nebo škálovací sadu virtuálních počítačů pro chyby založené na agentech, nejprve vytvoříte cíl agenta. Cíl agenta musí mít odkaz na spravovanou identitu přiřazenou uživatelem, která se používá k ověřování. Cíl agenta obsahuje ID profilu agenta, které se poskytuje jako konfigurace při instalaci agenta. Profily agentů jsou jedinečné pro každý cíl a cíle jsou jedinečné pro každý prostředek.
Operace a role Azure Resource Manager
Chaos Studio má následující operace:
| Operace | Description |
|---|---|
| Microsoft.Chaos/targets/[Read,Write,Delete] | Získání, vytvoření, aktualizace nebo odstranění cíle |
| Microsoft.Chaos/targets/capabilities/[Read,Write,Delete] | Získání, vytvoření, aktualizace nebo odstranění funkce |
| Microsoft.Chaos/locations/targetTypes/Read | Získejte všechny cílové typy. |
| Microsoft.Chaos/locations/targetTypes/capabilityTypes/Read | Získejte všechny typy schopností. |
| Microsoft.Chaos/experiments/[Read,Write,Delete] | Získání, vytvoření, aktualizace nebo odstranění experimentu s chaosem |
| Microsoft.Chaos/experiments/start/action | Spusťte experiment s chaosem. |
| Microsoft.Chaos/experiments/cancel/action | Zastavte experiment s chaosem. |
| Microsoft.Chaos/experiments/statuses/Read | Získejte stav spuštění pro spuštění experimentu s chaosem. |
| Microsoft.Chaos/experiments/executionDetails/Read | Získejte podrobnosti o spuštění (stav a chyby jednotlivých akcí) pro spuštění experimentu s chaosem. |
Pokud chcete tato oprávnění přiřadit podrobněji, můžete vytvořit vlastní roli.
Zabezpečení sítě
Všechny interakce uživatelů se službou Chaos Studio probíhají prostřednictvím Azure Resource Manager. Pokud uživatel spustí experiment, může experiment v závislosti na chybě pracovat s jinými koncovými body než Resource Manager:
- Chyby přímé služby: Většina chyb s přímým přístupem služby se spouští prostřednictvím Azure Resource Manager a nevyžadují žádné koncové body sítě, které jsou na seznamu povolených.
- Chyby služby AKS Chaos Mesh: Chyby přímé služby pro Azure Kubernetes Service, které používají Službu Chaos Mesh, vyžadují přístup k serveru rozhraní API Kubernetes clusteru AKS.
- Tady se dozvíte, jak omezit síťový přístup AKS na sadu rozsahů IP adres. Rozsahy IP adres aplikace Chaos Studio můžete získat dotazováním
ChaosStudioznačky služby pomocí rozhraní API pro zjišťování značek služeb nebo souborů JSON ke stažení. - Chaos Studio v současné době nemůže spouštět chyby Chaos Mesh, pokud má cluster AKS zakázané místní účty.
- Tady se dozvíte, jak omezit síťový přístup AKS na sadu rozsahů IP adres. Rozsahy IP adres aplikace Chaos Studio můžete získat dotazováním
- Chyby založené na agentech: Pokud chcete používat chyby založené na agentech, potřebuje agent přístup ke službě agenta Chaos Studio. Aby se mohl agent úspěšně připojit, musí mít virtuální počítač nebo škálovací sada virtuálních počítačů odchozí přístup ke koncovému bodu služby agenta. Koncový bod služby agenta je
https://acs-prod-<region>.chaosagent.trafficmanager.net. Zástupný symbol musíte nahradit<region>oblastí, ve které je virtuální počítač nasazený. Příkladem jehttps://acs-prod-eastus.chaosagent.trafficmanager.netvirtuální počítač v oblasti USA – východ.
Chaos Studio nepodporuje Azure Private Link pro scénáře založené na agentech.
Značky služeb
Značka služby je skupina předpon IP adres, které je možné přiřadit k příchozím a odchozím pravidlům pro skupiny zabezpečení sítě. Automaticky zpracovává aktualizace skupiny předpon IP adres bez jakéhokoli zásahu.
Značky služeb můžete použít k explicitní povolení příchozího provozu z aplikace Chaos Studio, aniž byste museli znát IP adresy platformy. Značka služby Chaos Studio je ChaosStudio.
Omezení značek služeb spočívá v tom, že je možné je použít pouze s aplikacemi, které mají veřejnou IP adresu. Pokud má prostředek jenom privátní IP adresu, značky služeb na něj nemůžou směrovat provoz.
Šifrování dat
Chaos Studio ve výchozím nastavení šifruje všechna data. Chaos Studio přijímá vstup jenom pro systémové vlastnosti, jako jsou ID objektů spravované identity, názvy experimentů, kroků a větví a parametry selhání. Příkladem je rozsah síťových portů, který se má blokovat při selhání odpojení sítě.
Tyto vlastnosti by se neměly používat k ukládání citlivých dat, jako jsou platební údaje nebo hesla. Další informace o tom, jak Chaos Studio chrání vaše data, najdete v tématu Ochrana dat zákazníků Azure.
Další kroky
Teď, když víte, jak zabezpečit experiment s chaosem, jste připraveni: