Share via

Integrita infrastruktury Azure

  • Článek

Instalace softwaru

Všechny komponenty v softwarovém zásobníku, které se instalují v prostředí Azure, jsou vytvořené na základě procesu SDL (Microsoft Security Development Lifecycle). Všechny softwarové komponenty, včetně imagí operačního systému a SQL Database, se nasazují jako součást procesu správy změn a správy verzí. Operační systém, který běží na všech uzlech, je přizpůsobená verze. Přesnou verzi zvolí kontroler prostředků infrastruktury (FC) podle role, kterou má operační systém hrát. Kromě toho hostitelský operační systém neumožňuje instalaci žádných neautorizovaných softwarových komponent.

Některé komponenty Azure se nasazují jako zákazníci Azure na hostovaném virtuálním počítači spuštěném v hostovaném operačním systému.

Kontroly virů v buildech

Sestavení softwarové komponenty Azure (včetně operačního systému) musí projít kontrolou virů, která používá antivirový nástroj Endpoint Protection. Každá kontrola virů vytvoří protokol v přidruženém adresáři sestavení, který podrobně obsahuje informace o tom, co bylo zkontrolováno, a výsledky kontroly. Kontrola virů je součástí zdrojového kódu sestavení pro každou komponentu v Rámci Azure. Kód se nepřesune do produkčního prostředí bez čisté a úspěšné kontroly virů. Pokud dojde k problémům, sestavení se zablokuje. Build jde bezpečnostním týmům v rámci Microsoft Security, aby zjistil, kde "podvodný" kód vstoupil do sestavení.

Uzavřené a uzamčené prostředí

Uzly infrastruktury Azure a hostované virtuální počítače ve výchozím nastavení nemají vytvořené uživatelské účty. Kromě toho jsou zakázané i výchozí účty správců Systému Windows. Správci z živé podpory Azure se mohou se správným ověřováním přihlásit k těmto počítačům a spravovat produkční síť Azure pro nouzové opravy.

Ověřování Azure SQL Database

Stejně jako u jakékoli implementace SQL Server musí být správa uživatelských účtů přísně kontrolována. Azure SQL Database podporuje pouze ověřování SQL Server. Jako doplněk modelu zabezpečení dat zákazníka by se měly používat i uživatelské účty se silnými hesly a nakonfigurovanými s konkrétními právy.

Seznamy ACL a brány firewall mezi podnikovou sítí Microsoftu a clusterem Azure

Seznamy řízení přístupu (ACL) a brány firewall mezi platformou služeb a podnikovou sítí Microsoft chrání SQL Database instancí před neoprávněným přístupem insider. Kromě toho mají přístup k Windows Fabric koncovému bodu správy platformy jenom uživatelé z rozsahu IP adres z podnikové sítě Microsoft.

Seznamy ACL a brány firewall mezi uzly v clusteru SQL Database

V rámci hloubkové strategie ochrany byly mezi uzly v clusteru SQL Database implementovány seznamy ACL a brána firewall. Veškerá komunikace v clusteru platformy Windows Fabric a veškerý spuštěný kód jsou důvěryhodné.

Vlastní agenti monitorování

SQL Database k monitorování stavu clusteru SQL Database využívá vlastní agenty monitorování(MA), označované také jako watchdogs.

Webové protokoly

Monitorování a restartování instance role

Azure zajišťuje, aby všechny nasazené a spuštěné role (internetové webové role nebo role pracovního procesu zpracování back-endu) podléhaly trvalému monitorování stavu. Monitorování stavu zajišťuje efektivní a efektivní poskytování služeb, pro které byly zřízeny. Pokud se role stane v pořádku, a to buď kritickou chybou v hostované aplikaci, nebo základním problémem s konfigurací v samotné instanci role, fc zjistí problém v instanci role a zahájí nápravný stav.

Připojení výpočetních prostředků

Azure zajišťuje, aby nasazená aplikace nebo služba byly dostupné prostřednictvím standardních webových protokolů. Virtuální instance internetových webových rolí mají externí připojení k internetu a jsou přístupné přímo webovým uživatelům. Kvůli ochraně citlivosti a integrity operací, které role pracovního procesu provádějí jménem virtuálních instancí veřejně přístupných webových rolí, mají virtuální instance rolí pracovního procesu zpracování back-endu externí připojení k internetu, ale nemůžou k nim přistupovat přímo externí uživatelé webu.

Další kroky

Další informace o tom, co Microsoft dělá pro zabezpečení infrastruktury Azure, najdete tady: