Engedélyek és biztonság az Azure Chaos Studióban
Az Azure Chaos Studio lehetővé teszi a szolgáltatás rugalmasságának javítását azáltal, hogy szisztematikusan injektálja a hibákat az Azure-erőforrásokba. A hibainjektálás hatékony módszer a szolgáltatás rugalmasságának javítására, de veszélyes is lehet. A hibák okozása az alkalmazásban az eredetileg tervezettnél nagyobb hatással lehet, és megnyithatja a lehetőséget a rosszindulatú szereplők számára, hogy beszivárogjanak az alkalmazásokba.
A Chaos Studio robusztus engedélymodellel rendelkezik, amely megakadályozza, hogy a hibák véletlenül vagy rossz szereplő által fussanak. Ebből a cikkből megtudhatja, hogyan védheti meg a hibainjektálásra szánt erőforrásokat a Chaos Studio használatával.
Hogyan korlátozhatjam a hibák beszúrásának képességét a Chaos Studióval?
A Chaos Studio három biztonsági szinttel rendelkezik, amelyek segítségével szabályozhatja, hogyan és mikor fordulhat elő hibainjektálás egy erőforráson:
Először is a káoszkísérlet egy azure-erőforrás, amely egy régióban, erőforráscsoportban és előfizetésben van üzembe helyezve. A felhasználóknak megfelelő Azure Resource Manager-engedélyekkel kell rendelkezniük egy kísérlet létrehozásához, frissítéséhez, elindításához, megszakításához, törléséhez vagy megtekintéséhez.
Minden engedély egy Resource Manager-művelet, amely részletesen hozzárendelhető egy identitáshoz, vagy egy helyettesítő jogosultságokkal rendelkező szerepkör részeként rendelhető hozzá. Az Azure-beli közreműködői szerepkör például engedéllyel rendelkezik
*/writea hozzárendelt hatókörben, amely az engedélyeket is tartalmazzaMicrosoft.Chaos/experiments/write.Ha megkísérli szabályozni a hibák erőforrásba történő beadásának képességét, a legfontosabb korlátozási művelet a
Microsoft.Chaos/experiments/start/action. Ez a művelet elindít egy káoszkísérletet, amely hibákat injektál.Másodszor, egy káoszkísérlet rendelkezik egy rendszer által hozzárendelt felügyelt identitással vagy egy felhasználó által hozzárendelt felügyelt identitással , amely hibákat hajt végre egy erőforráson. Ha úgy dönt, hogy rendszer által hozzárendelt felügyelt identitást használ a kísérlethez, az identitás a kísérlet létrehozásakor jön létre a Microsoft Entra-bérlőben. A felhasználó által hozzárendelt felügyelt identitek tetszőleges számú kísérletben használhatók.
Egy káoszkísérleten belül engedélyezheti az egyéni szerepkör-hozzárendelést a rendszer által hozzárendelt vagy a felhasználó által hozzárendelt felügyelt identitás kiválasztásán. A funkció engedélyezésével a Chaos Studio létrehozhat és hozzárendelhet egy egyéni szerepkört, amely tartalmazza a kísérlethez szükséges műveleti képességeket (amelyek még nem léteznek az identitáskijelölésben). Ha egy káoszkísérlet felhasználó által hozzárendelt felügyelt identitást használ, a Chaos Studio által a kísérlet identitásához rendelt egyéni szerepkörök a kísérlet törlése után is megmaradnak.
Ha úgy dönt, hogy manuálisan adja meg a kísérleti engedélyeket, az identitásának megfelelő engedélyeket kell adnia az összes célerőforrás számára. Ha a kísérleti identitás nem rendelkezik megfelelő engedéllyel egy erőforráshoz, akkor nem tud hibát végrehajtani az adott erőforráson.
Harmadszor, minden erőforrást fel kell venni a Chaos Studióba a megfelelő képességekkel rendelkező célként. Ha egy cél vagy a végrehajtott hiba képessége nem létezik, a kísérlet az erőforrás befolyásolása nélkül meghiúsul.
Felhasználó által hozzárendelt felügyelt identitás
A káoszkísérletek felhasználó által hozzárendelt felügyelt identitást használhatnak a kísérlet célerőforrásaihoz tartozó hibák beadásához szükséges engedélyek beszerzéséhez. Emellett a felhasználók által hozzárendelt felügyelt identitások bármilyen számú kísérletben használhatók a Chaos Studióban. A funkció használatához a következőt kell tennie:
- Először hozzon létre egy felhasználó által hozzárendelt felügyelt identitást a Felügyelt identitások szolgáltatásban. Ezen a ponton hozzárendelheti a felhasználó által hozzárendelt felügyelt identitáshoz szükséges engedélyeket a káoszkísérlet(ek) futtatásához.
- Másodszor, a káosz-kísérlet létrehozásakor válasszon ki egy felhasználó által hozzárendelt felügyelt identitást az előfizetéséből. Ebben a lépésben engedélyezheti az egyéni szerepkör-hozzárendelést. Ha engedélyezi ezt a funkciót, az identitásválasztáshoz a kísérletben található hibák alapján minden szükséges engedélyt megadna, amelyre szüksége lehet.
- Harmadszor, miután hozzáadta az összes hibáját a káoszkísérlethez, ellenőrizze, hogy az identitáskonfiguráció tartalmazza-e a káoszkísérlet sikeres futtatásához szükséges összes műveletet. Ha nem, forduljon a rendszergazdához a kísérlet hibakijelöléseinek eléréséhez vagy szerkesztéséhez.
Ügynökhitelesítés
Ügynökalapú hibák futtatásakor telepítenie kell a Chaos Studio-ügynököt a virtuális gépre vagy a virtuálisgép-méretezési csoportra. Az ügynök egy felhasználó által hozzárendelt felügyelt identitással hitelesíti a Chaos Studiót és egy ügynökprofilt egy adott virtuálisgép-erőforráshoz való kapcsolat létrehozásához.
Amikor egy virtuálisgép- vagy virtuálisgép-méretezési csoportot készít az ügynökalapú hibákhoz, először létrehoz egy ügynökcélt. Az ügynökcélnak hivatkoznia kell a hitelesítéshez használt, felhasználó által hozzárendelt felügyelt identitásra. Az ügynökcél egy ügynökprofil-azonosítót tartalmaz, amely konfigurációként van megadva az ügynök telepítésekor. Az ügynökprofilok minden célhoz egyediek, a célok pedig erőforrásonként egyediek.
Azure Resource Manager-műveletek és -szerepkörök
A Chaos Studio a következő műveleteket hajtja végre:
| Művelet | Leírás |
|---|---|
| Microsoft.Chaos/targets/[Olvasás,Írás,Törlés] | Cél lekérése, létrehozása, frissítése vagy törlése. |
| Microsoft.Chaos/targets/capabilities/[Olvasás,Írás,Törlés] | Képesség lekérése, létrehozása, frissítése vagy törlése. |
| Microsoft.Chaos/locations/targetTypes/Read | Szerezze be az összes céltípust. |
| Microsoft.Chaos/locations/targetTypes/capabilityTypes/Read | Szerezze be az összes képességtípust. |
| Microsoft.Chaos/experiments/[Olvasás,Írás,Törlés] | Káoszkísérlet lekérése, létrehozása, frissítése vagy törlése. |
| Microsoft.Chaos/experiments/start/action | Kezdjen el egy káoszkísérletet. |
| Microsoft.Chaos/experiments/cancel/action | Állítson meg egy káoszkísérletet. |
| Microsoft.Chaos/experiments/executions/Read | Egy káoszkísérlet futtatásának végrehajtási állapotának lekérése. |
| Microsoft.Chaos/experiments/executions/getExecutionDetails/action | Lekérheti a végrehajtási adatokat (az egyes műveletek állapotát és hibáit) egy káoszkísérlet futtatásához. |
Az engedélyek részletes hozzárendeléséhez létrehozhat egy egyéni szerepkört.
Hálózati biztonság
A Chaos Studióval folytatott összes felhasználói interakció az Azure Resource Manageren keresztül történik. Ha egy felhasználó elindít egy kísérletet, a kísérlet a Resource Manageren kívül más végpontokkal is kommunikálhat, a hiba függvényében:
- Közvetlen szolgáltatáshibák: A legtöbb közvetlen szolgáltatáshibát az Azure Resource Manageren keresztül hajtja végre, és nem igényel engedélyezett hálózati végpontokat.
- Szolgáltatás-közvetlen AKS Chaos Mesh-hibák: A Chaos Mesht használó Azure Kubernetes Service szolgáltatás-közvetlen hibáinak hozzáférésre van szükségük az AKS-fürt Kubernetes API-kiszolgálóhoz.
- Itt megtudhatja, hogyan korlátozhatja az AKS hálózati hozzáférését ip-tartományok egy csoportjára. A Chaos Studio IP-tartományait a
ChaosStudioszolgáltatáscímke lekérdezésével szerezheti be a Service Tag Discovery API-val vagy letölthető JSON-fájlokkal. - A Chaos Studio jelenleg nem tudja végrehajtani a Chaos Mesh-hibákat, ha az AKS-fürt helyi fiókjai le vannak tiltva.
- Itt megtudhatja, hogyan korlátozhatja az AKS hálózati hozzáférését ip-tartományok egy csoportjára. A Chaos Studio IP-tartományait a
- Ügynökalapú hibák: Az ügynökalapú hibák használatához az ügynöknek hozzá kell férnie a Chaos Studio ügynökszolgáltatáshoz. Egy virtuálisgép-vagy virtuálisgép-méretezési csoportnak kimenő hozzáféréssel kell rendelkeznie az ügynök szolgáltatásvégponthoz ahhoz, hogy az ügynök sikeresen csatlakozzon. Az ügynökszolgáltatás végpontja.
https://acs-prod-<region>.chaosagent.trafficmanager.netA helyőrzőt a<region>virtuális gép üzembe helyezésének régiójára kell cserélnie. Ilyen például azhttps://acs-prod-eastus.chaosagent.trafficmanager.netUSA keleti régiójában lévő virtuális gép. - Ügynökalapú privát hálózatkezelés: A Chaos Studio-ügynök mostantól támogatja a privát hálózatkezelést. Tekintse meg a Chaos Agent privát hálózatkezelését.
Szolgáltatáscímkék
A szolgáltatáscímkék ip-címelőtagok csoportja, amelyek hálózati biztonsági csoportok bejövő és kimenő szabályaihoz rendelhetők. Beavatkozás nélkül automatikusan kezeli az IP-címelőtagok csoportjának frissítéseit. Mivel a szolgáltatáscímkék elsősorban az IP-címek szűrését teszik lehetővé, a szolgáltatáscímkék önmagukban nem elegendőek a forgalom biztonságossá tételéhez.
Szolgáltatáscímkék használatával explicit módon engedélyezheti a Chaos Studióból érkező bejövő forgalmat anélkül, hogy ismernie kellene a platform IP-címét. A Chaos Studio szolgáltatáscímkéje.ChaosStudio
A szolgáltatáscímkék korlátozása, hogy csak nyilvános IP-címmel rendelkező alkalmazásokkal használhatók. Ha egy erőforrás csak privát IP-címmel rendelkezik, a szolgáltatáscímkék nem irányíthatják a forgalmat.
Használati esetek
A Chaos Studio szolgáltatáscímkéket használ több használati esethez.
- Az ügynökalapú hibák használatához az ügyfél virtuális gépeken futó Chaos Studio-ügynöknek kommunikálnia kell a Chaos Studio háttérszolgáltatással. A szolgáltatáscímke lehetővé teszi az ügyfelek számára a virtuális gépről a Chaos Studio szolgáltatásba érkező forgalom listázását.
- Bizonyos, a névtéren kívüli kommunikációt igénylő hibák, például az
management.azure.comAzure Kubernetes Service Chaos Mesh-hibáinak használatához a forgalom a Chaos Studio szolgáltatásból az ügyfélerőforrásba kerül. A szolgáltatáscímke lehetővé teszi az ügyfelek számára a Chaos Studio szolgáltatásból a célzott erőforrás felé irányuló forgalom listázását. - Az ügyfelek más szolgáltatáscímkéket is használhatnak a hálózati biztonsági csoport szabályainak hibája részeként, hogy befolyásolják bizonyos Azure-szolgáltatások felé vagy onnan érkező forgalmat.
A szolgáltatáscímke biztonsági szabályokban való megadásával ChaosStudio a Forgalom engedélyezhető vagy megtagadható a Chaos Studio szolgáltatás számára anélkül, hogy külön IP-címeket kellene megadnia.
Biztonsági szempontok
A szolgáltatáscímkék kiértékelésekor és használatakor fontos megjegyezni, hogy nem biztosítanak részletes ellenőrzést az egyes IP-címek felett, és nem szabad kizárólag a hálózat védelmére támaszkodni. Ezek nem helyettesítik a megfelelő hálózati biztonsági intézkedéseket.
Adattitkosítás
A Chaos Studio alapértelmezés szerint minden adatot titkosít. A Chaos Studio csak olyan rendszertulajdonságok bemenetét fogadja el, mint a felügyelt identitásobjektum-azonosítók, a kísérlet-/lépés-/ágnevek és a hibaparaméterek. Ilyen például a hálózati kapcsolat megszakadási hibája esetén blokkolni kívánt hálózati porttartomány.
Ezeket a tulajdonságokat nem szabad bizalmas adatok, például fizetési információk vagy jelszavak tárolására használni. További információ arról, hogy a Chaos Studio hogyan védi az adatokat, olvassa el az Azure-ügyféladatok védelmét ismertető témakört.
Ügyfélszéf
A Lockbox lehetővé teszi, hogy jóváhagyja vagy elutasítsa a Microsoft mérnökkérelmét, hogy hozzáférjen a kísérlet adataihoz egy támogatási kérelem során.
A lockbox engedélyezhető a káoszkísérletekkel kapcsolatos információkhoz, és ha engedélyezve van a zárolás, az ügyfél az előfizetés szintjén engedélyezi az adatok elérését.
További információ a Microsoft Azure-hoz készült Ügyfélzárolásról
Következő lépések
Most, hogy megismerte a káoszkísérlet biztonságossá tételének módját, készen áll a következőre:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: