Správa a provoz produkční sítě Azure

Tento článek popisuje, jak Microsoft spravuje a provozuje produkční síť Azure za účelem zabezpečení datacenter Azure.

Monitorování, protokolování a sestava

Správa a provoz produkční sítě Azure je koordinovaným úsilím mezi provozními týmy Azure a Azure SQL Database. Týmy používají v prostředí několik nástrojů pro monitorování výkonu systému a aplikací. A používají vhodné nástroje k monitorování síťových zařízení, serverů, služeb a aplikačních procesů.

Aby se zajistilo zabezpečené spouštění služeb spuštěných v prostředí Azure, implementují provozní týmy několik úrovní monitorování, protokolování a generování sestav, včetně následujících akcí:

• Primárně agent Microsoft Monitoring Agent (MMA) shromažďuje informace o monitorování a diagnostických protokolech z mnoha míst, včetně kontroleru prostředků infrastruktury (FC) a kořenového operačního systému (OS) a zapisuje je do souborů protokolu. Agent nakonec odešle podmnožinu informací do předem nakonfigurovaného účtu úložiště Azure. Kromě toho bezplatná monitorovací a diagnostická služba čte různá data monitorování a diagnostických protokolů a shrnuje informace. Monitorovací a diagnostická služba zapisuje informace do integrovaného protokolu. Azure používá vlastní integrované monitorování zabezpečení Azure, což je rozšíření monitorovacího systému Azure. Obsahuje komponenty, které sledují, analyzují a hlásí události související se zabezpečením z různých bodů platformy.

• Platforma Windows Fabric služby Azure SQL Database poskytuje služby správy, nasazení, vývoje a provozního dohledu pro Azure SQL Database. Platforma nabízí distribuované, vícestupňové služby nasazení, monitorování stavu, automatické opravy a dodržování předpisů verzí služby. Poskytuje následující služby:

  • Možnosti modelování služeb s vysoce věrným vývojovým prostředím (clustery datacenter jsou nákladné a vzácné).
  • Pracovní postupy nasazení a upgradu jedním kliknutím pro spuštění a údržbu služby
  • Generování sestav o stavu pomocí automatizovaných pracovních postupů oprav, které umožňují samoopravení.
  • Zařízení pro monitorování, upozorňování a ladění v reálném čase napříč uzly distribuovaného systému.
  • Centralizované shromažďování provozních dat a metrik pro analýzu distribuovaných hlavních příčin a přehled služeb
  • Provozní nástroje pro nasazení, správu změn a monitorování
  • Platforma Windows Fabric služby Azure SQL Database a skripty watchdog běží nepřetržitě a monitorují v reálném čase.

Pokud dojde k nějakým anomáliím, aktivuje se proces reakce na incidenty následovaný týmem pro třídění incidentů Azure. Příslušní pracovníci podpora Azure jsou upozorněni, aby na incident reagovali. Sledování a řešení problémů jsou zdokumentované a spravované v centralizovaném systému lístků. Metriky dostupnosti systému jsou k dispozici v rámci smlouvy o nedoručenosti (NDA) a na vyžádání.

Podniková síť a vícefaktorový přístup k produkčnímu prostředí

Uživatelská základna podnikové sítě zahrnuje podpora Azure pracovníky. Podniková síť podporuje interní podnikové funkce a zahrnuje přístup k interním aplikacím, které se používají pro zákaznickou podporu Azure. Podniková síť je logicky i fyzicky oddělená od produkční sítě Azure. Pracovníci Azure přistupují k podnikové síti pomocí pracovních stanic a přenosných počítačů Azure. Pro přístup k prostředkům podnikové sítě musí mít všichni uživatelé účet Microsoft Entra, včetně uživatelského jména a hesla. Přístup k podnikové síti používá účty Microsoft Entra, které jsou vydány všem pracovníkům, dodavatelům a dodavatelům Microsoftu a spravovaným informačními technologiemi Microsoftu. Jedinečné identifikátory uživatelů rozlišují pracovníky na základě jejich stavu zaměstnání v Microsoftu.

Přístup k interním aplikacím Azure se řídí ověřováním pomocí Active Directory Federation Services (AD FS) (AD FS). SLUŽBA AD FS je služba hostovaná technologií Microsoft Information Technology, která poskytuje ověřování uživatelů podnikové sítě prostřednictvím použití zabezpečeného tokenu a deklarací identity uživatelů. Služba AD FS umožňuje interním aplikacím Azure ověřovat uživatele v doméně podnikové služby Active Directory Microsoftu. Pokud chcete získat přístup k produkční síti z prostředí podnikové sítě, musí se uživatelé ověřovat pomocí vícefaktorového ověřování.

Další kroky

Další informace o tom, co Microsoft dělá pro zabezpečení infrastruktury Azure, najdete tady:

• Zařízení Azure, místní a fyzické zabezpečení
• Dostupnost infrastruktury Azure
• Komponenty a hranice informačního systému Azure
• Architektura sítě Azure
• Produkční síť Azure
• Funkce zabezpečení služby Azure SQL Database
• Monitorování infrastruktury Azure
• Integrita infrastruktury Azure
• Ochrana zákaznických dat Azure