Azure-infrastruktúra integritása
Szoftvertelepítés
Az Azure-környezetben telepített szoftververem összes összetevője egyénileg lett létrehozva a Microsoft Security Development Lifecycle (SDL) folyamatának megfelelően. Az összes szoftverösszetevő, beleértve az operációsrendszer-lemezképeket és a SQL Database is, a változáskezelési és kiadáskezelési folyamat részeként lesz üzembe helyezve. Az összes csomóponton futó operációs rendszer egy testre szabott verzió. A pontos verziót a hálóvezérlő (FC) választja ki annak megfelelően, hogy milyen szerepet kíván játszani az operációs rendszer számára. Emellett a gazda operációs rendszer nem teszi lehetővé a jogosulatlan szoftverösszetevők telepítését.
Egyes Azure-összetevők Azure-ügyfelekként vannak üzembe helyezve egy vendég operációs rendszeren futó vendég virtuális gépen.
Vírusvizsgálatok buildeken
Az Azure-szoftverösszetevők (beleértve az operációs rendszert) buildjeinek vírusvizsgálaton kell átesniük, amely az Endpoint Protection víruskereső eszközt használja. Minden vírusvizsgálat létrehoz egy naplót a társított buildkönyvtárban, amely részletezi a beolvasott adatokat és a vizsgálat eredményeit. A víruskeresés az Azure-beli összes összetevő buildforráskódjának része. A kód nem helyez át éles környezetbe tiszta és sikeres vírusvizsgálat nélkül. Ha problémákat észlel, a build le van fagyasztva. A build a Microsoft Security biztonsági csapataihoz kerül, hogy megállapítsa, hol lépett be a "rosszindulatú" kód a buildbe.
Zárt és zárolt környezet
Alapértelmezés szerint az Azure-infrastruktúracsomópontok és a vendég virtuális gépek nem rendelkeznek felhasználói fiókokkal. Emellett az alapértelmezett Windows rendszergazdai fiókok is le vannak tiltva. Az Azure élő támogatási szolgálatának rendszergazdái megfelelő hitelesítéssel bejelentkezhetnek ezekbe a gépekre, és felügyelhetik az Azure éles hálózatát vészhelyzeti javítások céljából.
Az Azure SQL Database hitelesítése
A SQL Server implementációihoz hasonlóan a felhasználói fiókok kezelését is szigorúan ellenőrizni kell. Azure SQL Database csak SQL Server hitelesítést támogat. Az ügyfél adatbiztonsági modelljének kiegészítéseként az erős jelszóval rendelkező és meghatározott jogosultságokkal konfigurált felhasználói fiókokat is használni kell.
ACL-ek és tűzfalak a Microsoft vállalati hálózata és egy Azure-fürt között
A szolgáltatásplatform és a Microsoft vállalati hálózata közötti hozzáférés-vezérlési listák (ACL-ek) és tűzfalak megvédik SQL Database példányokat a jogosulatlan belső hozzáféréstől. Emellett csak a Microsoft vállalati hálózat IP-címtartományaiból származó felhasználók férhetnek hozzá a Windows Fabric platformkezelési végponthoz.
ACL-ek és tűzfalak egy SQL Database-fürt csomópontjai között
A mélységi védelmi stratégia részeként ACL-ek és tűzfalak lettek implementálva egy SQL Database-fürt csomópontjai között. A Windows Fabric platformfürtön belüli összes kommunikáció és az összes futó kód megbízható.
Egyéni figyelési ügynökök
SQL Database a SQL Database-fürt állapotának figyelésére egyéni figyelési ügynököket (MA-kat) használ.
Webes protokollok
Szerepkörpéldány monitorozása és újraindítása
Az Azure biztosítja, hogy az összes üzembe helyezett, futó szerepkör (internetes webes vagy háttérbeli feldolgozói szerepkör) tartós állapotmonitorozás alá esik. Az állapotmonitorozás biztosítja, hogy hatékonyan és hatékonyan nyújtják azokat a szolgáltatásokat, amelyekhez kiépítették őket. Ha egy szerepkör állapota nem megfelelő, akár az üzemeltetett alkalmazás kritikus hibája, akár a szerepkörpéldányon belüli mögöttes konfigurációs probléma miatt, az FC észleli a problémát a szerepkörpéldányon belül, és korrekciós állapotot kezdeményez.
Számítási kapcsolat
Az Azure biztosítja, hogy az üzembe helyezett alkalmazás vagy szolgáltatás elérhető legyen standard webalapú protokollok használatával. Az internetkapcsolattal rendelkező webes szerepkörök virtuális példányai külső internetkapcsolattal rendelkeznek, és közvetlenül a webfelhasználók számára érhetők el. A feldolgozói szerepkörök által a nyilvánosan elérhető webes szerepkörök virtuális példányai nevében végrehajtott műveletek érzékenységének és integritásának védelme érdekében a háttérbeli feldolgozói szerepkörök virtuális példányai külső internetkapcsolattal rendelkeznek, de a külső webfelhasználók nem férhetnek hozzá közvetlenül.
Következő lépések
Ha többet szeretne megtudni arról, hogy mit tesz a Microsoft az Azure-infrastruktúra védelme érdekében, tekintse meg a következő témakört:
- Azure-létesítmények, létesítmények és fizikai biztonság
- Az Azure-infrastruktúra rendelkezésre állása
- Az Azure információs rendszer összetevői és határai
- Azure hálózati architektúra
- Azure éles hálózat
- az adatbázis biztonsági funkcióinak Azure SQL
- Azure-beli éles műveletek és felügyelet
- Azure-infrastruktúra monitorozása
- Azure-ügyféladatok védelme