Oprávnění a zabezpečení v nástroji Azure Chaos Studio
Azure Chaos Studio umožňuje zlepšit odolnost služeb tím, že systematicky vloží chyby do prostředků Azure. Injektáž chyb je účinný způsob, jak zlepšit odolnost služeb, ale může být také nebezpečná. Příčinou selhání ve vaší aplikaci může být větší dopad než původně zamýšlený a otevřené příležitosti pro škodlivé aktéry k infiltrování vašich aplikací.
Chaos Studio má robustní model oprávnění, který brání neúmyslnému spuštění chyb nebo špatným aktérem. V tomto článku se dozvíte, jak zabezpečit prostředky cílené na injektáž chyb pomocí nástroje Chaos Studio.
Jak můžu omezit schopnost vkládat chyby pomocí nástroje Chaos Studio?
Chaos Studio má tři úrovně zabezpečení, které vám pomůžou řídit, jak a kdy může dojít k injektáži chyb u prostředku:
Za prvé, chaos experiment je prostředek Azure, který je nasazený do oblasti, skupiny prostředků a předplatného. Uživatelé musí mít příslušná oprávnění Azure Resource Manageru k vytvoření, aktualizaci, spuštění, zrušení, odstranění nebo zobrazení experimentu.
Každé oprávnění je operace Resource Manageru, která může být podrobně přiřazena k identitě nebo přiřazena jako součást role s oprávněními se zástupnými cardy. Například role Přispěvatel v Azure má
*/writeoprávnění v přiřazeném oboru, který zahrnujeMicrosoft.Chaos/experiments/writeoprávnění.Když se pokusíte řídit schopnost vkládat chyby do prostředku, je nejdůležitější operací omezit
Microsoft.Chaos/experiments/start/action. Tato operace spustí experiment chaosu, který vloží chyby.Za druhé, experiment chaosu má spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem, která provádí chyby na prostředku. Pokud se rozhodnete pro experiment použít spravovanou identitu přiřazenou systémem, vytvoří se identita v době vytvoření experimentu ve vašem tenantovi Microsoft Entra. Spravované identity přiřazené uživatelem je možné použít v jakémkoli počtu experimentů.
V rámci experimentu s chaosem můžete povolit vlastní přiřazení role u výběru spravované identity přiřazené systémem nebo přiřazené uživatelem. Povolení této funkce umožňuje aplikaci Chaos Studio vytvořit a přiřadit vlastní roli obsahující všechny nezbytné možnosti akce experimentu identitě experimentu (které ještě ve výběru identity neexistují). Pokud experiment chaosu používá spravovanou identitu přiřazenou uživatelem, všechny vlastní role přiřazené k identitě experimentu nástrojem Chaos Studio se po odstranění experimentu zachovají.
Pokud se rozhodnete udělit oprávnění experimentu ručně, musíte jeho identitě udělit příslušná oprávnění pro všechny cílové prostředky. Pokud identita experimentu nemá odpovídající oprávnění k prostředku, nemůže s tímto prostředkem provést chybu.
Za třetí musí být každý prostředek nasazený do Chaos Studia jako cíl s povolenými odpovídajícími možnostmi. Pokud cíl nebo schopnost spuštěné chyby neexistuje, experiment selže bez ovlivnění prostředku.
Spravovaná identita přiřazená uživatelem
Experiment chaosu může využít spravovanou identitu přiřazenou uživatelem k získání dostatečných oprávnění k vložení chyb do cílových prostředků experimentu. Kromě toho se spravované identity přiřazené uživatelem můžou používat napříč libovolným počtem experimentů v aplikaci Chaos Studio. Pokud chcete tuto funkci využít, musíte:
- Nejprve vytvořte spravovanou identitu přiřazenou uživatelem ve službě Spravované identity . V tuto chvíli můžete přiřadit spravovanou identitu přiřazenou uživatelem požadovaná oprávnění ke spouštění experimentů chaosu.
- Za druhé při vytváření experimentu chaosu vyberte spravovanou identitu přiřazenou uživatelem z vašeho předplatného. V tomto kroku můžete povolit vlastní přiřazení role. Povolení této funkce by vaší identitě udělilo všechna požadovaná oprávnění, která může potřebovat na základě chyb obsažených v experimentu.
- Za třetí, po přidání všech chyb do experimentu chaosu zkontrolujte, jestli konfigurace vaší identity obsahuje všechny nezbytné akce pro úspěšné spuštění experimentu chaosu. Pokud tomu tak není, požádejte správce systému o přístup nebo upravte výběry chyb experimentu.
Ověřování agenta
Při spouštění chyb založených na agentech je nutné nainstalovat agenta Chaos Studio na virtuální počítač nebo škálovací sadu virtuálních počítačů. Agent používá spravovanou identitu přiřazenou uživatelem k ověření ve službě Chaos Studio a profilu agenta k navázání vztahu ke konkrétnímu prostředku virtuálního počítače.
Když nasadíte virtuální počítač nebo škálovací sadu virtuálních počítačů pro chyby založené na agentech, nejprve vytvoříte cíl agenta. Cíl agenta musí mít odkaz na spravovanou identitu přiřazenou uživatelem, která se používá k ověřování. Cíl agenta obsahuje ID profilu agenta, které se poskytuje jako konfigurace při instalaci agenta. Profily agentů jsou jedinečné pro každý cíl a cíle jsou jedinečné pro jednotlivé prostředky.
Operace a role Azure Resource Manageru
Chaos Studio má následující operace:
| Operation | Popis |
|---|---|
| Microsoft.Chaos/targets/[Číst,Zapisovat,Odstranit] | Získejte, vytvořte, aktualizujte nebo odstraňte cíl. |
| Microsoft.Chaos/targets/capabilities/[Read,Write,Delete] | Získejte, vytvořte, aktualizujte nebo odstraňte funkci. |
| Microsoft.Chaos/locations/targetTypes/Read | Získejte všechny cílové typy. |
| Microsoft.Chaos/locations/targetTypes/capabilityTypes/Read | Získejte všechny typy schopností. |
| Microsoft.Chaos/experiments/[Číst,Zapisovat,Odstranit] | Získejte, vytvořte, aktualizujte nebo odstraňte experiment chaosu. |
| Microsoft.Chaos/experiments/start/action | Spusťte experiment chaosu. |
| Microsoft.Chaos/experiments/cancel/action | Zastavte experiment chaosu. |
| Microsoft.Chaos/experiments/executions/Read | Získejte stav spuštění pro spuštění experimentu chaosu. |
| Microsoft.Chaos/experiments/getExecutionDetails/action | Získejte podrobnosti o spuštění (stav a chyby jednotlivých akcí) pro spuštění experimentu chaosu. |
Pokud chcete tato oprávnění přiřadit podrobněji, můžete vytvořit vlastní roli.
Zabezpečení sítě
Všechny interakce uživatelů s Chaos Studio probíhají prostřednictvím Azure Resource Manageru. Pokud uživatel spustí experiment, může experiment v závislosti na chybě pracovat s jinými koncovými body než s Resource Managerem:
- Chyby přímé služby: Většina chyb přímých služeb se provádí prostřednictvím Azure Resource Manageru a nevyžadují žádné povolené koncové body sítě.
- Chyby AKS Chaos Mesh s přímým přístupem služby: Chyby přímé služby pro službu Azure Kubernetes Service, které používají Službu Chaos Mesh, vyžadují přístup k serveru rozhraní KUBERNEtes API clusteru AKS.
- Tady se dozvíte, jak omezit síťový přístup AKS na sadu rozsahů IP adres. Rozsahy IP adres aplikace Chaos Studio můžete získat dotazováním
ChaosStudioznačky služby pomocí rozhraní API zjišťování značek služby nebo souborů JSON ke stažení. - Chaos Studio nemůže v současné době spouštět chyby Chaos Mesh, pokud má cluster AKS zakázané místní účty.
- Tady se dozvíte, jak omezit síťový přístup AKS na sadu rozsahů IP adres. Rozsahy IP adres aplikace Chaos Studio můžete získat dotazováním
- Chyby založené na agentech: K používání chyb založených na agentech potřebuje agent přístup ke službě agenta Chaos Studio. Virtuální počítač nebo škálovací sada virtuálních počítačů musí mít odchozí přístup ke koncovému bodu služby agenta, aby se agent mohl úspěšně připojit. Koncový bod služby agenta je
https://acs-prod-<region>.chaosagent.trafficmanager.net. Zástupný symbol musíte nahradit<region>oblastí, ve které je virtuální počítač nasazený. Příkladem jehttps://acs-prod-eastus.chaosagent.trafficmanager.netvirtuální počítač v oblasti USA – východ. - Privátní sítě založené na agentech: Agent Chaos Studio teď podporuje privátní sítě. Další informace najdete v tématu Privátní sítě pro agenta chaosu.
Značky služeb
Značka služby je skupina předpon IP adres, které je možné přiřadit příchozím a odchozím pravidlům pro skupiny zabezpečení sítě. Automaticky zpracovává aktualizace skupiny předpon IP adres bez zásahu. Vzhledem k tomu, že značky služeb primárně umožňují filtrování IP adres, samotné značky služeb nestačí k zabezpečení provozu.
Značky služeb můžete použít k explicitní povolení příchozího provozu z Chaos Studia, aniž byste museli znát IP adresy platformy. Značka služby Chaos Studio je ChaosStudio.
Omezení značek služeb spočívá v tom, že se dají používat jenom u aplikací s veřejnou IP adresou. Pokud má prostředek jenom privátní IP adresu, značky služeb do něj nemůžou směrovat provoz.
Případy použití
Chaos Studio používá značky služeb pro několik případů použití.
- Aby bylo možné používat chyby založené na agentech, musí agent Chaos Studio spuštěný uvnitř virtuálních počítačů zákazníka komunikovat se službou Back-end Chaos Studio. Značka služby umožňuje zákazníkům povolit provoz z virtuálního počítače do služby Chaos Studio.
- Pokud chcete použít určité chyby, které vyžadují komunikaci mimo
management.azure.comobor názvů, jako jsou chyby Chaos Mesh pro službu Azure Kubernetes Service, provoz pochází ze služby Chaos Studio do prostředku zákazníka. Značka služby umožňuje zákazníkům povolit provoz ze služby Chaos Studio do cílového prostředku. - Zákazníci můžou v rámci chyb pravidel skupiny zabezpečení sítě používat jiné značky služeb, aby ovlivnili provoz do a z určitých služeb Azure.
Zadáním značky ChaosStudio služby v pravidlech zabezpečení je možné povolit nebo zamítnout provoz pro službu Chaos Studio bez nutnosti zadat jednotlivé IP adresy.
Bezpečnostní aspekty
Při vyhodnocování a používání značek služeb je důležité si uvědomit, že neposkytují podrobnou kontrolu nad jednotlivými IP adresami a neměli byste se spoléhat jako na jediný způsob zabezpečení sítě. Nejsou náhradou za správná bezpečnostní opatření sítě.
Šifrování dat
Chaos Studio ve výchozím nastavení šifruje všechna data. Chaos Studio přijímá vstup pouze pro systémové vlastnosti, jako jsou ID objektů spravované identity, názvy experimentů, kroků nebo větví a parametry selhání. Příkladem je rozsah síťových portů, který se má blokovat v chybě odpojení sítě.
Tyto vlastnosti by se neměly používat k ukládání citlivých dat, jako jsou platební údaje nebo hesla. Další informace o tom, jak Chaos Studio chrání vaše data, najdete v tématu Ochrana zákaznických dat Azure.
Customer Lockbox
Lockbox vám umožňuje schválit nebo odmítnout žádost inženýra Microsoftu o přístup k datům experimentu během žádosti o podporu.
Lockbox může být povolený pro informace o experimentech chaosu a pokud je povolen lockbox, udělí mu oprávnění pro přístup k datům na úrovni předplatného.
Další informace o Customer Lockboxu pro Microsoft Azure
Další kroky
Teď, když rozumíte tomu, jak zabezpečit experiment chaosu, jste připraveni: