Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje obecný popis architektury a správy Azure. Systémové prostředí Azure se skládá z následujících sítí:
- Produkční síť Microsoft Azure (síť Azure)
- Podniková síť Microsoftu (corpnet)
Samostatné IT týmy zodpovídají za provoz a údržbu těchto sítí.
Architektura Azure
Azure je platforma a infrastruktura cloud computingu pro vytváření, nasazování a správu aplikací a služeb prostřednictvím sítě datacenter. Microsoft spravuje tato datová centra. Na základě zadaného počtu prostředků vytváří Azure virtuální počítače podle potřeby. Tyto virtuální počítače běží na hypervisoru Azure, který je navržený pro použití v cloudu a není přístupný veřejnosti.
Na každém fyzickém uzlu serveru Azure je hypervisor, který běží přímo přes hardware. Hypervisor rozdělí uzel na proměnný počet hostovaných virtuálních počítačů. Každý uzel má také jeden kořenový virtuální počítač, na kterém běží hostitelský operační systém. Na každém virtuálním počítači je povolená brána Windows Firewall. Definujete, které porty se dají adresovat konfigurací definičního souboru služby. Tyto porty jsou jediné otevřené a adresovatelné interně nebo externě. Veškerý provoz a přístup k disku a síti je mediánem hypervisoru a kořenového operačního systému.
Virtuální počítače Azure na úrovni hostitele používají přizpůsobenou a posílenou verzi nejnovějšího Windows Serveru. Azure používá verzi Windows Serveru, která zahrnuje pouze ty komponenty potřebné k hostování virtuálních počítačů. Tím se zlepší výkon a sníží se prostor pro útoky. Hranice počítačů vynucuje hypervisor, který nezávisí na zabezpečení operačního systému.
Správa Azure pomocí fabric kontrolerů
V Azure jsou virtuální počítače spuštěné na fyzických serverech (bladech/uzlech) seskupené do clusterů přibližně 1000. Virtuální počítače jsou nezávisle spravované škálovanou a redundantní softwarovou komponentou platformy označovanou jako kontroler prostředků infrastruktury (FC).
Každý FC spravuje životní cyklus aplikací spuštěných v clusteru a zřizuje a monitoruje stav hardwaru pod jeho kontrolou. Spouští autonomní operace, jako je reinkarnace instancí virtuálních počítačů na serverech, které jsou v pořádku, když zjistí, že server selhal. FC také provádí operace správy aplikací, jako je nasazení, aktualizace a horizontální navýšení kapacity aplikací.
Datacentrum je rozdělené na clustery. Clustery izolují chyby na úrovni FC a brání určitým třídám chyb, aby ovlivnily servery mimo cluster, ve kterém k nim dochází. FCS, které obsluhují konkrétní cluster Azure, jsou seskupené do clusteru FC.
Inventář hardwaru
FC připraví inventář hardwaru a síťových zařízení Azure během procesu konfigurace bootstrap. Všechny nové hardwarové a síťové komponenty vstupující do produkčního prostředí Azure musí dodržovat proces konfigurace bootstrap. FC zodpovídá za správu celého inventáře uvedeného v konfiguračním souboru datacenter.xml.
Image operačního systému spravovaného FC
Tým operačního systému poskytuje image ve formě virtuálních pevných disků nasazených na všech hostitelských a hostovaných virtuálních počítačích v produkčním prostředí Azure. Tým tyto základní image sestaví prostřednictvím automatizovaného offline procesu sestavení. Základní image je verze operačního systému, ve kterém bylo jádro a další základní komponenty upraveny a optimalizovány pro podporu prostředí Azure.
Existují tři typy obrazů operačního systému spravovaných infrastrukturou:
- Hostitel: Přizpůsobený operační systém, který běží na hostitelských virtuálních počítačích.
- Nativní: Nativní operační systém, který běží na tenantech (například Azure Storage). Tento operační systém nemá žádný hypervisor.
- Host: Hostovaný operační systém, který běží na hostovaném virtuálním počítači.
Hostitelské a nativní operační systémy spravované FC jsou navržené pro použití v cloudu a nejsou veřejně přístupné.
Hostování a nativní operační systémy
Hostitel a nativní systém jsou posílené image operačního systému, které hostují agenty fabricu a běží na výpočetním uzlu (jako první virtuální počítač na uzlu) a na uzlech úložiště. Výhodou použití optimalizovaných základních imagí hostitele a nativních je, že snižuje plochu vystavenou rozhraními API nebo nepoužívanými komponentami. To může představovat vysoká rizika zabezpečení a zvýšit nároky na operační systém. Operační systémy s nižšími nároky zahrnují pouze komponenty nezbytné pro Azure.
Hostovaný operační systém
Interní komponenty Azure spuštěné na virtuálních počítačích hostovaného operačního systému nemají možnost spustit protokol Remote Desktop Protocol. Všechny změny standardních nastavení konfigurace musí projít procesem správy změn a verzí.
datacentra Azure
Tým MCIO (Cloud Infrastructure and Operations) Microsoftu spravuje fyzickou infrastrukturu a zařízení datacentra pro všechny online služby Microsoftu. MCIO je primárně zodpovědný za správu fyzických a environmentálních kontrol v datacentrech a také za správu a podporu vnějších hraničních síťových zařízení (například hraničních směrovačů a směrovačů datacenter). MCIO také zodpovídá za nastavení nejzákladnějšího hardwaru serveru na regály v datovém centru. Zákazníci nemají žádnou přímou interakci s Azure.
Správa služeb a servisní týmy
Různé technické skupiny, označované jako servisní týmy, spravují podporu služby Azure. Každý tým služeb zodpovídá za oblast podpory Azure. Každý tým služeb musí zpřístupnit inženýra 24 hodin denně, 7 dní v týdnu, aby mohl prošetřit a vyřešit chyby ve službě. Týmy služeb ve výchozím nastavení nemají fyzický přístup k hardwaru provozovanému v Azure.
Týmy služeb jsou:
- Aplikační platforma
- Microsoft Entra ID
- Výpočetní prostředky Azure
- Azure Net
- Služby cloudového inženýrství
- ISSD: Zabezpečení
- Vícefaktorové ověřování
- databáze SQL
- Skladování
Typy uživatelů
Zaměstnanci (nebo dodavatelé) Microsoftu se považují za interní uživatele. Všichni ostatní uživatelé se považují za externí uživatele. Všichni interní uživatelé Azure mají kategorizovaný stav zaměstnance s úrovní citlivosti, která definuje jejich přístup k zákaznickým datům (přístup nebo žádný přístup). Uživatelská oprávnění k Azure (autorizační oprávnění po ověření) jsou popsaná v následující tabulce:
| Role | Interní nebo externí | Úroveň citlivosti | Oprávnění a prováděné funkce | Typ přístupu |
|---|---|---|---|---|
| Technik datacentra Azure | Interní | Žádný přístup k zákaznickým datům | Spravujte fyzické zabezpečení místního prostředí. Proveďte hlídky v datacentru a mimo něj a monitorujte všechny vstupní body. Doprovod necertainých pracovníků, kteří poskytují obecné služby (jako je stravování nebo úklid) nebo IT práci do a z datacentra. Proveďte pravidelné monitorování a údržbu síťového hardwaru. Pomocí různých nástrojů můžete provádět správu incidentů a opravovat přerušení. Proveďte pravidelné monitorování a údržbu fyzického hardwaru v datacentrech. Přístup k prostředí na vyžádání od vlastníků nemovitostí Dokáže provádět forenzní vyšetřování, zaznamenávat zprávy o incidentech a vyžaduje splnění povinného školení v oblasti zabezpečení a dodržování zásad. Provozní vlastnictví a údržba důležitých nástrojů zabezpečení, jako jsou skenery a shromažďování protokolů. | Trvalý přístup k prostředí. |
| Třídění incidentů Azure (technici rychlé reakce) | Interní | Přístup k zákaznickým datům | Spravujte komunikaci mezi MCIO, podporou a technickými týmy. Třiďte incidenty na platformě, řešte problémy s nasazením a vyřizujte žádosti o služby. | Přístup do prostředí právě včas s omezeným trvalým přístupem k systémům, které nejsou určeny pro zákazníky. |
| Technici nasazení Azure | Interní | Přístup k zákaznickým datům | Nasaďte a upgradujte komponenty platformy, software a plánované změny konfigurace v podpoře Azure. | Přístup do prostředí právě včas s omezeným trvalým přístupem k systémům, které nejsou určeny pro zákazníky. |
| Podpora při výpadku služby zákazníků Azure (tenant) | Interní | Přístup k zákaznickým datům | Ladění a diagnostika výpadků platformy a chyb pro jednotlivé výpočetní tenanty a účty Azure Analýza chyb Provádět kritické opravy platformy nebo zákazníka a řídit technická vylepšení napříč podporou. | Přístup do prostředí právě včas s omezeným trvalým přístupem k systémům, které nejsou určeny pro zákazníky. |
| Technici živého webu Azure (monitorovací technici) a incidenty | Interní | Přístup k zákaznickým datům | Diagnostika a zmírnění stavu platformy pomocí diagnostických nástrojů Vést opravy pro ovladače svazků, opravovat problémy vzniklé v důsledku výpadků a pomoc při obnovení po výpadku. | Přístup do prostředí právě včas s omezeným trvalým přístupem k systémům, které nejsou určeny pro zákazníky. |
| Zákazníci Azure | Externí | není k dispozici | není k dispozici | není k dispozici |
Azure používá jedinečné identifikátory k ověřování uživatelů organizace a zákazníků (nebo procesů jménem uživatelů organizace). To platí pro všechny prostředky a zařízení, která jsou součástí prostředí Azure.
Interní ověřování Azure
Komunikace mezi interními komponentami Azure je chráněná šifrováním TLS. Ve většině případů jsou certifikáty X.509 podepsané svým držitelem. Certifikáty s připojeními, ke kterým je možné přistupovat mimo síť Azure, jsou výjimkou, stejně jako certifikáty pro FCS. FCs mají certifikáty vydané certifikační autoritou (CA) společnosti Microsoft, která je podporována důvěryhodnou kořenovou CA. To umožňuje snadnou obměnu veřejných klíčů FC. Kromě toho vývojářské nástroje Microsoftu používají veřejné klíče FC. Když vývojáři odesílají nové image aplikací, obrázky se šifrují pomocí veřejného klíče FC, aby chránili všechny vložené tajné kódy.
Ověřování hardwarových zařízení Azure
FC udržuje sadu přihlašovacích údajů (klíčů a hesel) sloužících k ověření na různých hardwarových zařízeních pod jeho kontrolou. Microsoft používá systém k zabránění přístupu k těmto přihlašovacím údajům. Konkrétně je přenos, trvalost a použití těchto přihlašovacích údajů navržen tak, aby zabránil vývojářům, správcům a službám Zálohování Azure a pracovníkům přístupu k citlivým, důvěrným nebo soukromým informacím.
Microsoft používá šifrování založené na veřejném klíči hlavní identity FC. K tomu dochází v době instalace FC a rekonfigurace FC pro přenos přihlašovacích údajů používaných pro přístup k síťovým hardwarovým zařízením. Když FC potřebuje přihlašovací údaje, FC je načte a dešifruje.
Síťová zařízení
Síťový tým Azure konfiguruje účty síťových služeb tak, aby se klient Azure mohl ověřovat na síťových zařízeních (směrovačích, přepínačích a nástrojích pro vyrovnávání zatížení).
Správa zabezpečených služeb
Provozní pracovníci Azure jsou povinni používat zabezpečené pracovní stanice pro správu (SAWs). Zákazníci můžou implementovat podobné ovládací prvky pomocí pracovních stanic s privilegovaným přístupem. V případě SAWs správci používají individuálně přiřazený účet pro správu, který je oddělený od standardního uživatelského účtu uživatele. Služba SAW vychází z tohoto postupu oddělení účtů tím, že těmto citlivým účtům poskytuje důvěryhodnou pracovní stanici.
Další kroky
Další informace o tom, co Microsoft dělá, aby pomohl zabezpečit infrastrukturu Azure, najdete tady: