Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Uživatelé produkční sítě Azure zahrnují jak externí zákazníky, kteří přistupují k vlastním aplikacím Azure, tak interní pracovníci podpory Azure, kteří spravují produkční síť. Tento článek popisuje metody přístupu k zabezpečení a mechanismy ochrany pro navázání připojení k produkční síti Azure.
Internetové směrování a odolnost proti chybám
Globálně redundantní interní a externí infrastruktura DNS (Azure Domain Name Service) v kombinaci s několika primárními a sekundárními clustery serverů DNS poskytuje odolnost proti chybám. Současně se používají další kontroly zabezpečení sítě Azure, jako je NetScaler, k zabránění útokům DDoS (Distributed Denial of Service) a ochraně integrity služeb Azure DNS.
Servery Azure DNS se nacházejí v několika zařízeních datacentra. Implementace Azure DNS zahrnuje hierarchii primárních a sekundárních serverů DNS k veřejnému řešení názvů domén zákazníků Azure. Názvy domén se obvykle směřují na adresu CloudApp.net, která zahrnuje virtuální IP adresu (VIP) služby zákazníka. Unikátní pro Azure, tuto VIRTUÁLNÍ IP adresu (VIP) odpovídající interní vyhrazené IP adrese tenanta, překládají nástroje pro vyrovnávání zatížení od Microsoftu, které odpovídají za tuto VIP.
Azure je hostovaná v geograficky distribuovaných datacentrech Azure v USA a je postavená na nejmodernějších směrovacích platformách, které implementují robustní a škálovatelné standardy architektury. Mezi velmi vhodné funkce patří:
- Směrování provozu založené na Multiprotocol Label Switching (MPLS), které poskytuje efektivní využití propojení a hladké snížení kvality služby, pokud dojde k výpadku.
- Sítě se implementují s architekturami redundance typu "potřeba plus jedna" (N+1) nebo lepší.
- Datacentra jsou externě obsluhována vyhrazenými síťovými okruhy s vysokou šířkou pásma, které redundantně propojují lokality s více než 1 200 poskytovateli internetových služeb globálně na několika peeringových bodech. Toto připojení poskytuje přes 2 000 gigabajtů za sekundu (GB/s) hraniční kapacity.
Vzhledem k tomu, že Microsoft vlastní síťové okruhy mezi datovými centry, tyto atributy pomáhají nabídce Azure dosáhnout 99,9+ procentuální dostupnosti sítě bez nutnosti tradičních poskytovatelů internetových služeb třetích stran.
Připojení k produkční síti a přidruženým bránám firewall
Zásady toku internetového provozu sítě Azure směrují provoz do produkční sítě Azure, která se nachází v nejbližším regionálním datacentru v USA. Vzhledem k tomu, že produkční datacentra Azure udržují konzistentní síťovou architekturu a hardware, popis toku provozu, který následuje, se konzistentně vztahuje na všechna datová centra.
Po směrování internetového provozu pro Azure do nejbližšího datacentra se vytvoří připojení ke směrovačům přístupu. Tyto přístupové směrovače slouží k izolaci provozu mezi uzly Azure a instancemi virtuálních počítačů instancovaných zákazníky. Zařízení síťové infrastruktury v přístupových a hraničních umístěních jsou hraniční body, ve kterých se používají filtry příchozího a výchozího přenosu dat. Tyto směrovače se konfigurují prostřednictvím vrstveného seznamu řízení přístupu (ACL), který filtruje nežádoucí síťový provoz a v případě potřeby použije omezení přenosové rychlosti. Provoz povolený seznamem ACL se směruje do nástrojů pro vyrovnávání zatížení. Distribuční směrovače jsou navržené tak, aby umožňovaly pouze IP adresy schválené společností Microsoft, poskytovaly ochranu proti falšování identity a navazovaly TCP připojení, která využívají seznamy ACL.
Externí zařízení pro vyrovnávání zatížení se nacházejí za přístupovým směrovači pro provádění překladu síťových adres (NAT) z ip adres směrovatelných na interní IP adresy Azure. Zařízení také směrují pakety do platných interních IP adres a portů v produkčním prostředí a fungují jako mechanismus ochrany, který omezuje adresní prostor interní produkční sítě.
Ve výchozím nastavení Microsoft vynucuje protokol HTTPS (Hypertext Transfer Protocol Secure) pro veškerý provoz přenášený do webových prohlížečů zákazníků, včetně přihlášení a veškerého dalšího provozu. Použití protokolu TLS verze 1.2 umožňuje zabezpečený tunel pro průchod provozu. Seznamy ACL na přístupových a core směrovačích zajišťují, že zdroj provozu je konzistentní s očekáváním.
Důležitým rozdílem v této architektuře, když je porovnána s tradiční architekturou zabezpečení, je, že neexistují žádné vyhrazené hardwarové brány firewall, specializovaná zařízení detekce neoprávněných vniknutí nebo prevence nebo jiná bezpečnostní zařízení, která se obvykle očekávají před připojením k produkčnímu prostředí Azure. Zákazníci obvykle očekávají, že jsou tato hardwarová zařízení pro bránu firewall v síti Azure používána; v rámci Azure se však žádná nepoužívají. Téměř výhradně jsou tyto funkce zabezpečení integrované do softwaru, na kterém běží prostředí Azure, aby poskytovaly robustní mechanismy zabezpečení s více vrstvami, včetně možností brány firewall. Rozsah hranice a přidruženého rozrůstání důležitých bezpečnostních zařízení je navíc snazší spravovat a inventarizovat, protože je spravovaný softwarem, na kterém běží Azure.
Základní funkce zabezpečení a firewallu
Azure implementuje robustní funkce zabezpečení softwaru a brány firewall na různých úrovních a vynucuje funkce zabezpečení, které se obvykle očekávají v tradičním prostředí pro ochranu základní hranice autorizace zabezpečení.
Funkce zabezpečení Azure
Azure používá hostitelské softwarové brány firewall v produkční síti. V základním prostředí Azure se nachází několik základních funkcí zabezpečení a brány firewall. Tyto funkce zabezpečení odrážejí strategii hloubkové ochrany v prostředí Azure. Zákaznická data v Azure jsou chráněná následujícími bránami firewall:
Firewall hypervisoru (filtr paketů): Tento firewall je implementován v hypervisoru a konfigurován agentem fabric kontroleru (FC). Tato brána firewall chrání tenanta, který běží ve virtuálním stroji, před neoprávněným přístupem. Ve výchozím nastavení se při vytvoření virtuálního počítače zablokuje veškerý provoz a agent FC přidá do filtru pravidla a výjimky, které povolí autorizovaný provoz.
Tady jsou naprogramovány dvě kategorie pravidel:
- Konfigurace počítače nebo pravidla infrastruktury: Ve výchozím nastavení je veškerá komunikace blokovaná. Existují výjimky, které virtuálnímu počítači umožňují odesílat a přijímat komunikaci protokolu DHCP (Dynamic Host Configuration Protocol) a informace o DNS a odesílat provoz do "veřejného" internetu odchozí do jiných virtuálních počítačů v clusteru FC a na server aktivace operačního systému. Protože povolený seznam odchozích cílů virtuálních počítačů nezahrnuje podsítě směrovačů Azure a další vlastnosti Microsoftu, pravidla pro ně fungují jako vrstva ochrany.
- Pravidla konfiguračního souboru role: Definuje příchozí ACL na základě modelu služby nájemců. Pokud má například tenant webový front-end na portu 80 na určitém virtuálním počítači, otevře se port 80 pro všechny IP adresy. Pokud je na virtuálním počítači spuštěna pracovní role, otevře se tato role jenom virtuálnímu počítači ve stejném tenantovi.
Hostitelská nativní brána firewall: Azure Service Fabric a Azure Storage běží na nativním operačním systému, který nemá hypervisor, a proto je brána Windows Firewall konfigurována podle těchto dvou předchozích sad pravidel.
Firewall hostitele: Firewall hostitele chrání systémovou oblast hostitele, ve které běží hypervisor. Pravidla jsou naprogramována, aby umožnila pouze FC a jump boxům komunikovat s hostitelským oddílem na určitém portu. Dalšími výjimkami jsou povolení odpovědí DHCP a odpovědí DNS. Azure používá konfigurační soubor počítače, který obsahuje šablonu pravidel brány firewall pro oddíl hostitele. Existuje také výjimka brány firewall hostitele, která umožňuje virtuálním počítačům komunikovat s hostitelskými komponentami, wire serverem a serverem metadat prostřednictvím konkrétního protokolu nebo portů.
Firewall hosta: Část Windows Firewall v hostovaném operačním systému, kterou mohou konfigurovat zákazníci na virtuálních počítačích a úložišti zákazníka.
Mezi další funkce zabezpečení, které jsou integrované do funkcí Azure, patří:
Komponenty infrastruktury, které mají přiřazené IP adresy, které pocházejí z DIPs. Útočník na internetu nemůže adresovat provoz na tyto adresy, protože by se nedostal do Microsoftu. Směrovače internetových bran filtrují pakety, které jsou adresovány výhradně interním adresám, takže nepronikly do produkční sítě. Jedinými komponentami, které přijímají provoz směrovaný na virtuální IP adresy, jsou vyrovnávače zatížení.
Brána firewall realizovaná na všech interních uzlech má tři hlediska primární architektury zabezpečení pro jakýkoli daný scénář.
- Firewally jsou umístěny za vyrovnávačem zatížení a přijímají pakety odkudkoli. Tyto pakety mají být vystaveny zvenku a odpovídají otevřeným portům v tradiční perimetrické bráně firewall.
- Brány firewall přijímají pakety pouze z omezené sady adres. Tento faktor je součástí obranné hloubkové strategie proti útokům DDoS. Taková připojení jsou kryptograficky ověřená.
- Brány firewall jsou přístupné jenom z vybraných interních uzlů. Přijímají pakety pouze z výčtového seznamu zdrojových IP adres, z nichž všechny jsou DIPs v rámci sítě Azure. Například útok na podnikovou síť může směrovat požadavky na tyto adresy, ale útoky by byly zablokovány, pokud by zdrojová adresa paketu nebyla v seznamu adres v rámci sítě Azure.
- Přístupový směrovač v hraniční síti blokuje odchozí pakety adresované na adresu, která je uvnitř sítě Azure kvůli nakonfigurovaným statickým trasám.
Další kroky
Další informace o tom, co Microsoft dělá pro zabezpečení infrastruktury Azure, najdete tady:
- Azure zařízení, prostory a fyzické zabezpečení
- Dostupnost infrastruktury Azure
- Komponenty a hranice informačního systému Azure
- Architektura sítě Azure
- Funkce zabezpečení služby Azure SQL Database
- Provozní operace a správa Azure
- Monitorování infrastruktury Azure
- Integrita infrastruktury Azure
- Ochrana zákaznických dat Azure