Az Azure információs rendszer összetevői és határai
Ez a cikk az Azure architektúrájának és felügyeletének általános leírását tartalmazza. Az Azure rendszerkörnyezete a következő hálózatokból áll:
- Microsoft Azure éles hálózat (Azure-hálózat)
- Microsoft vállalati hálózat (corpnet)
Ezeknek a hálózatoknak a működtetéséért és karbantartásáért külön informatikai csapatok felelősek.
Azure-architektúra
Az Azure egy felhőalapú számítástechnikai platform és infrastruktúra az alkalmazások és szolgáltatások adatközpontok hálózatán keresztül történő létrehozásához, üzembe helyezéséhez és kezeléséhez. A Microsoft kezeli ezeket az adatközpontokat. A megadott erőforrások száma alapján az Azure az erőforrás-igény alapján hoz létre virtuális gépeket (VM-eket). Ezek a virtuális gépek egy Azure-hipervizoron futnak, amely a felhőben való használatra lett kialakítva, és nem érhető el a nyilvánosság számára.
Minden Azure fizikai kiszolgálócsomóponton található egy hipervizor, amely közvetlenül a hardveren fut. A hipervizor a csomópontokat változó számú vendég virtuális gépre osztja. Minden csomóponthoz tartozik egy gyökér virtuális gép is, amely a gazdagép operációs rendszerét futtatja. A Windows tűzfal minden virtuális gépen engedélyezve van. A szolgáltatásdefiníciós fájl konfigurálásával meghatározhatja, hogy mely portok legyenek címezhetők. Ezek a portok az egyetlenek, amelyek belsőleg vagy külsőleg megnyithatók és címezhetők. A hipervizor és a gyökér operációs rendszer közvetíti a lemez és a hálózat összes forgalmát és hozzáférését.
A gazdagéprétegen az Azure-beli virtuális gépek a legújabb Windows Server testreszabott és megerősített verzióját futtatják. Az Azure a Windows Server olyan verzióját használja, amely csak a virtuális gépek üzemeltetéséhez szükséges összetevőket tartalmazza. Ez javítja a teljesítményt, és csökkenti a támadási felületet. A gép határait a hipervizor kényszeríti ki, ami nem függ az operációs rendszer biztonságától.
Azure-felügyelet hálóvezérlők szerint
Az Azure-ban a fizikai kiszolgálókon (paneleken/csomópontokon) futó virtuális gépek körülbelül 1000 fürtbe vannak csoportosítva. A virtuális gépeket egymástól függetlenül kezeli a hálóvezérlő (FC) nevű kibővített és redundáns platformszoftver-összetevő.
Minden FC felügyeli a fürtben futó alkalmazások életciklusát, és a felügyelete alá tartozó hardver állapotát helyezi üzembe és figyeli. Autonóm műveleteket futtat, például a virtuálisgép-példányok kifogástalan kiszolgálókon való újbóli megtestesítését, amikor megállapítja, hogy egy kiszolgáló meghibásodott. Az FC emellett alkalmazásfelügyeleti műveleteket is végrehajt, például alkalmazásokat helyez üzembe, frissít és méretez.
Az adatközpont fürtökre van osztva. A fürtök az FC szintjén elkülönítik a hibákat, és megakadályozzák, hogy bizonyos hibaosztályok hatással legyenek azon a fürtön kívüli kiszolgálókra, amelyekben előfordulnak. Az adott Azure-fürtöt kiszolgáló tartományvezérlők FC-fürtökbe vannak csoportosítva.
Hardverleltár
Az FC előkészíti az Azure-hardverek és hálózati eszközök leltárát a rendszerindítási konfigurációs folyamat során. Az Azure éles környezetbe belépő új hardver- és hálózati összetevőknek követnie kell a rendszerindítási konfigurációs folyamatot. Az FC feladata a datacenter.xml konfigurációs fájlban felsorolt teljes leltár kezelése.
FC által felügyelt operációs rendszer lemezképe
Az operációs rendszer csapata virtuális merevlemezek formájában biztosít lemezképeket, amelyeket az Azure éles környezetében lévő összes gazdagépen és vendég virtuális gépen üzembe helyeznek. A csapat ezeket az alaprendszerképeket egy automatizált offline buildelési folyamattal hozza létre. Az alaprendszerkép annak az operációs rendszernek a verziója, amelyben a kernel és más alapvető összetevők az Azure-környezet támogatásához lettek módosítva és optimalizálva.
A hálóval felügyelt operációs rendszer lemezképeinek három típusa létezik:
- Gazdagép: Egy testreszabott operációs rendszer, amely gazdagép virtuális gépeken fut.
- Natív: Bérlőken futó natív operációs rendszer (például Azure Storage). Ennek az operációs rendszernek nincs hipervizora.
- Vendég: Vendég virtuális gépeken futó vendég operációs rendszer.
A gazdagép és a natív FC által felügyelt operációs rendszerek a felhőben való használatra lettek tervezve, és nem érhetők el nyilvánosan.
Gazdagép- és natív operációs rendszerek
A gazdagép és a natív operációs rendszer lemezképei a hálóügynököket üzemeltetik, és egy számítási csomóponton futnak (első virtuális gépként futnak a csomóponton) és a tárolócsomópontokon. A gazdagép és natív gazdagép optimalizált alaprendszerképeinek használatának előnye, hogy csökkenti az API-k vagy a nem használt összetevők által közzétett felületi területet. Ezek magas biztonsági kockázatokat jelenthetnek, és növelhetik az operációs rendszer lábnyomát. A csökkentett erőforrásigényű operációs rendszerek csak az Azure-hoz szükséges összetevőket tartalmazzák.
Vendég operációs rendszer
A vendég operációs rendszer virtuális gépén futó Azure-beli belső összetevőknek nincs lehetőségük távoli asztali protokoll futtatására. Az alapkonfigurációs beállítások módosításainak végig kell mennie a módosítási és kiadáskezelési folyamaton.
Azure-adatközpontok
A Microsoft Felhőinfrastruktúra és -üzemeltetés (MCIO) csapata minden Microsoft online szolgáltatások fizikai infrastruktúráját és adatközponti létesítményeit felügyeli. Az MCIO elsősorban az adatközpontok fizikai és környezeti vezérlőinek felügyeletéért, valamint a külső szegélyhálózati eszközök (például peremhálózati útválasztók és adatközpont-útválasztók) felügyeletéért és támogatásáért felelős. Az MCIO felelős az adatközpontban található állványokon található minimális kiszolgálói hardver beállításáért is. Az ügyfelek nem kommunikálnak közvetlenül az Azure-ral.
Szolgáltatásfelügyeleti és szolgáltatáscsapatok
Az Azure-szolgáltatás támogatását különböző mérnöki csoportok, más néven szolgáltatáscsoportok kezelik. Minden szolgáltatási csapat felelős az Azure támogatási területéért. Minden szolgáltatási csapatnak 24x7-szer elérhetővé kell tennie egy mérnököt a szolgáltatás hibáinak kivizsgálásához és megoldásához. A szolgáltatáscsoportok alapértelmezés szerint nem rendelkeznek fizikai hozzáféréssel az Azure-ban működő hardverhez.
A szolgáltatáscsapatok a következők:
- Alkalmazásplatform
- Microsoft Entra ID
- Azure Compute
- Azure Net
- Felhőmérnöki szolgáltatások
- ISSD: Biztonság
- Multifactor Authentication (Többtényezős hitelesítés)
- SQL Database
- Storage
Felhasználók típusai
A Microsoft alkalmazottai (vagy alvállalkozói) belső felhasználóknak minősülnek. Minden más felhasználó külső felhasználónak minősül. Minden Belső Azure-felhasználó olyan bizalmassági szinttel rendelkezik, amely meghatározza az ügyféladatokhoz való hozzáférésüket (hozzáférés vagy hozzáférés nélkül). Az Azure felhasználói jogosultságait (a hitelesítést követően az engedélyezési engedélyeket) az alábbi táblázat ismerteti:
| Role | Belső vagy külső | Bizalmassági szint | Engedélyezett jogosultságok és funkciók | Hozzáférési típus |
|---|---|---|---|---|
| Azure-adatközponti mérnök | Internal | Nincs hozzáférés az ügyféladatokhoz | A helyiségek fizikai biztonságának kezelése. Járőrözést végezhet az adatközpontban és kifelé, és figyelheti az összes belépési pontot. Kísérje be és ki az adatközpontba azokat a nem tiszta személyzetet, akik általános szolgáltatásokat (például étkezést vagy takarítást) vagy informatikai munkát végeznek az adatközpontban. A hálózati hardverek rutinszerű monitorozásának és karbantartásának elvégzése. Különböző eszközökkel végezhet incidenskezelést és törésjavítást. Végezze el a fizikai hardverek rutinszerű monitorozását és karbantartását az adatközpontokban. Igény szerinti hozzáférés a környezethez a tulajdonságtulajdonosoktól. Képes törvényszéki vizsgálatok elvégzésére, incidensjelentések naplózására, valamint kötelező biztonsági képzésre és szabályzati követelményekre. Kritikus biztonsági eszközök, például szkennerek és naplógyűjtemények üzemeltetési tulajdonjoga és karbantartása. | Állandó hozzáférés a környezethez. |
| Azure-incidensek osztályozása (gyorsreagálási mérnökök) | Internal | Az ügyféladatok elérése | Az MCIO, a támogatási és a mérnöki csapatok közötti kommunikáció kezelése. A triage platform incidensei, az üzembe helyezési problémák és a szolgáltatáskérések. | Igény szerint hozzáférés a környezethez, korlátozott állandó hozzáféréssel a nem ügyfélrendszerekhez. |
| Azure-beli üzembe helyezési mérnökök | Internal | Az ügyféladatok elérése | Platformösszetevők, szoftverek és ütemezett konfigurációs módosítások üzembe helyezése és frissítése az Azure támogatásában. | Igény szerint hozzáférés a környezethez, korlátozott állandó hozzáféréssel a nem ügyfélrendszerekhez. |
| Azure-ügyfélkimaradás támogatása (bérlő) | Internal | Az ügyféladatok elérése | Az egyes számítási bérlők és Azure-fiókok platformkimaradásainak és hibáinak hibakeresése és diagnosztizálása. Hibák elemzése. Kritikus javításokat hajthat végre a platformon vagy az ügyfélen, és technikai fejlesztéseket hajthat végre a támogatásban. | Igény szerint hozzáférés a környezethez, korlátozott állandó hozzáféréssel a nem ügyfélrendszerekhez. |
| Azure live site engineers (monitorozási mérnökök) és incidens | Internal | Az ügyféladatok elérése | Diagnosztikai eszközökkel diagnosztizálhatja és mérsékelheti a platform állapotát. Meghajtójavítások a kötetillesztőkhöz, a kimaradásokból eredő javítások és a kimaradás helyreállítási műveleteinek támogatása. | Igény szerint hozzáférés a környezethez, korlátozott állandó hozzáféréssel a nem ügyfélrendszerekhez. |
| Azure-ügyfelek | Külső | N.A. | N/A | N.A. |
Az Azure egyedi azonosítókkal hitelesíti a szervezeti felhasználókat és ügyfeleket (vagy a szervezeti felhasználók nevében eljáró folyamatokat). Ez az Azure-környezet részét képező összes eszközre és eszközre vonatkozik.
Belső Azure-hitelesítés
Az Azure belső összetevői közötti kommunikáció TLS-titkosítással védett. A legtöbb esetben az X.509-tanúsítványok önaláírtak. Az Azure-hálózaton kívülről elérhető kapcsolatokkal rendelkező tanúsítványok kivételt képeznek, csakúgy, mint az FCS-k tanúsítványai. Az FC-k olyan tanúsítványokkal rendelkeznek, amelyeket egy megbízható legfelső szintű hitelesítésszolgáltató (CA) állít ki. Ez lehetővé teszi, hogy az FC nyilvános kulcsait egyszerűen át lehessen görgetni. Emellett a Microsoft fejlesztői eszközei nyilvános FC-kulcsokat is használnak. Amikor a fejlesztők új alkalmazásképeket küldenek, a rendszer egy FC nyilvános kulccsal titkosítja a rendszerképeket a beágyazott titkos kódok védelme érdekében.
Azure hardvereszköz-hitelesítés
Az FC olyan hitelesítő adatokat (kulcsokat és/vagy jelszavakat) tart fenn, amelyekkel hitelesítheti magát az irányítása alá tartozó különböző hardvereszközökön. A Microsoft rendszer segítségével megakadályozza a hitelesítő adatokhoz való hozzáférést. Ezen hitelesítő adatok átvitelét, megőrzését és használatát úgy tervezték, hogy megakadályozza az Azure-fejlesztők, rendszergazdák és biztonsági mentési szolgáltatások, valamint a személyzet bizalmas, bizalmas vagy privát adatokhoz való hozzáférését.
A Microsoft az FC fő identitás nyilvános kulcsán alapuló titkosítást használ. Ez az FC beállítási és FC-újrakonfigurálási időszakában történik a hálózati hardvereszközök eléréséhez használt hitelesítő adatok átviteléhez. Amikor az FC-nek szüksége van a hitelesítő adatokra, az FC lekéri és visszafejti őket.
Hálózati eszközök
Az Azure hálózatkezelési csapata úgy konfigurálja a hálózati szolgáltatásfiókokat, hogy lehetővé tegyék az Azure-ügyfél számára a hálózati eszközök (útválasztók, kapcsolók és terheléselosztók) hitelesítését.
Biztonságos szolgáltatásfelügyelet
Az Azure üzemeltetési személyzetének biztonságos rendszergazdai munkaállomásokat (SAW-k) kell használnia. Az ügyfelek a kiemelt hozzáférésű munkaállomások használatával hasonló vezérlőket implementálhatnak. Az SAW-k esetében a rendszergazdai személyzet egy egyénileg hozzárendelt felügyeleti fiókot használ, amely eltér a felhasználó szokásos felhasználói fiókjától. A SAW erre a fiókelválasztási gyakorlatra épít azáltal, hogy megbízható munkaállomást biztosít ezeknek a bizalmas fiókoknak.
Következő lépések
Ha többet szeretne megtudni arról, hogy a Microsoft mit tesz az Azure-infrastruktúra biztonságossá tételéhez, tekintse meg a következőt:
- Azure-létesítmények, létesítmények és fizikai biztonság
- Az Azure-infrastruktúra rendelkezésre állása
- Azure hálózati architektúra
- Azure éles hálózat
- Az Azure SQL Database biztonsági funkciói
- Azure éles üzemeltetés és felügyelet
- Azure-infrastruktúra monitorozása
- Azure-infrastruktúra integritása
- Azure-ügyféladatok védelme