Integritas infrastruktur Azure

Penginstalan perangkat lunak

Semua komponen dalam tumpukan perangkat lunak yang diinstal di lingkungan Azure dibuat secara kustom dengan mengikuti proses Microsoft Security Development Lifecycle (SDL). Semua komponen perangkat lunak, termasuk gambar sistem operasi (OS) dan Azure SQL Database, digunakan sebagai bagian dari manajemen perubahan dan proses manajemen rilis. OS yang berjalan pada semua simpul adalah versi yang disesuaikan. Versi yang tepat dipilih oleh pengontrol fabric (FC) sesuai dengan peran yang dimaksudkan untuk dimainkan oleh OS. Selain itu, OS host tidak mengizinkan penginstalan komponen perangkat lunak yang tidak sah.

Beberapa komponen Azure disebarkan sebagai pelanggan Azure pada komputer virtual tamu yang berjalan pada OS tamu.

Pemindaian virus pada build

Komponen perangkat lunak Azure (termasuk OS) build harus menjalani pemindaian virus yang menggunakan alat anti-virus Perlindungan Titik Akhir. Setiap pemindaian virus membuat log dalam direktori build terkait, merinci apa yang dipindai dan hasil pemindaian. Pemindaian virus adalah bagian dari kode sumber build untuk setiap komponen dalam Azure. Kode tidak dipindahkan ke produksi tanpa memiliki pemindaian virus yang bersih dan sukses. Jika masalah dicatat, build dibekukan. Build masuk ke tim keamanan dalam Microsoft Security untuk mengidentifikasi di mana kode "nakal" memasuki build.

Lingkungan tertutup dan terkunci

Secara default, simpul infrastruktur Azure dan VM tamu tidak memiliki akun pengguna yang dibuat di dalamnya. Selain itu, akun administrator Windows default juga dinonaktifkan. Administrator dari dukungan langsung Azure dapat, dengan autentikasi yang tepat, masuk ke komputer ini dan mengelola jaringan produksi Azure untuk perbaikan darurat.

Autentikasi Azure SQL Database

Seperti halnya implementasi SQL Server, manajemen akun pengguna harus dikontrol dengan ketat. Azure SQL Database hanya mendukung autentikasi SQL Server. Untuk melengkapi model keamanan data pelanggan, akun pengguna dengan kata sandi yang kuat dan dikonfigurasi dengan kaidah tertentu juga harus digunakan.

ACL dan firewall antara jaringan perusahaan Microsoft dan kluster Azure

Daftar kontrol akses (ACL) dan firewall antara platform layanan dan jaringan perusahaan Microsoft melindungi instans Azure SQL Database dari akses orang dalam yang tidak sah. Selanjutnya, hanya pengguna dari alamat IP yang berkisar dari jaringan perusahaan Microsoft yang dapat mengakses titik akhir manajemen platform Windows Fabric.

ACL dan firewall antar simpul dalam kluster Azure SQL Database

Sebagai bagian dari strategi pertahanan mendalam, ACL dan firewall telah diimplementasikan antara simpul dalam kluster SQL Database. Semua komunikasi di dalam kluster platform Windows Fabric dan semua kode yang berjalan dipercaya.

Agen pemantauan kustom

Azure SQL Database menggunakan agen pemantauan kustom (MAs), disebut juga pengawas, untuk memantau kesehatan kluster Azure SQL Database.

Protokol web

Pemantauan dan hidupkan ulang instans peran

Azure memastikan bahwa semua peran yang disebarkan dan berjalan (web yang menghadap internet, atau peran pekerja pemrosesan back-end) tunduk pada pemantauan kesehatan berkelanjutan. Pemantauan kesehatan memastikan bahwa mereka secara efektif dan efisien memberikan layanan yang telah disediakan. Jika peran menjadi tidak sehat, karena kesalahan kritis dalam aplikasi yang di-hosting atau masalah konfigurasi yang mendasarinya dalam instans peran itu sendiri, FC mendeteksi masalah dalam instans peran dan memulai status korektif.

Konektivitas komputasi

Azure memastikan bahwa aplikasi atau layanan yang disebarkan dapat dijangkau melalui protokol berbasis web standar. Contoh virtual peran web yang menghadap internet memiliki konektivitas internet eksternal dan dapat dijangkau langsung oleh pengguna web. Untuk melindungi sensitivitas dan integritas operasi yang dilakukan peran pekerja atas nama instans virtual peran web yang dapat diakses publik, instans virtual peran pekerja pemrosesan back-end memiliki konektivitas internet eksternal tetapi tidak dapat diakses langsung oleh pengguna web eksternal.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang apa yang dilakukan Microsoft untuk mengamankan infrastruktur Azure, lihat:

• Fasilitas, tempat, dan keamanan fisik Azure
• Ketersediaan infrastruktur Azure
• Batasan dan komponen sistem informasi Azure
• Arsitektur jaringan Azure
• Jaringan produksi Azure
• Fitur keamanan Azure SQL Database
• Operasi dan manajemen produksi Azure
• Pemantauan infrastruktur Azure
• Perlindungan data pelanggan Azure