Beheer en werking van het Azure-productienetwerk

In dit artikel wordt beschreven hoe Microsoft het Azure-productienetwerk beheert en beheert om de Azure-datacenters te beveiligen.

Bewaken, registreren en rapporteren

Het beheer en de werking van het Azure-productienetwerk is een gecoördineerde inspanning tussen de operationele teams van Azure en Azure SQL Database. De teams gebruiken verschillende hulpprogramma's voor systeem- en toepassingsprestaties in de omgeving. En ze gebruiken de juiste hulpprogramma's om netwerkapparaten, servers, services en toepassingsprocessen te bewaken.

Om ervoor te zorgen dat services die worden uitgevoerd in de Azure-omgeving veilig worden uitgevoerd, implementeren de operationele teams meerdere niveaus van bewaking, logboekregistratie en rapportage, waaronder de volgende acties:

• In de eerste plaats verzamelt de Microsoft Monitoring Agent (MMA) bewakings- en diagnostische logboekgegevens van veel plaatsen, waaronder de infrastructuurcontroller (FC) en het hoofdbesturingssysteem (OS) en schrijft deze naar logboekbestanden. De agent pusht uiteindelijk een digested subset van de gegevens naar een vooraf geconfigureerd Azure-opslagaccount. Daarnaast leest de vrijstaande bewakings- en diagnostische service verschillende bewakings- en diagnostische logboekgegevens en geeft een overzicht van de informatie. De bewakings- en diagnostische service schrijft de informatie naar een geïntegreerd logboek. Azure maakt gebruik van de aangepaste Azure-beveiligingsbewaking. Dit is een extensie voor het Azure-bewakingssysteem. Het bevat onderdelen die op verschillende punten in het platform relevante beveiligingsgebeurtenissen observeren, analyseren en rapporteren.

• Het Windows Fabric-platform van Azure SQL Database biedt beheer-, implementatie-, ontwikkelings- en operationele toezichtservices voor Azure SQL Database. Het platform biedt gedistribueerde implementatieservices met meerdere stappen, statuscontrole, automatische reparaties en naleving van serviceversies. Het biedt de volgende services:

  • Servicemodelleringsmogelijkheden met een hoogwaardige ontwikkelomgeving (datacentrumclusters zijn duur en schaars).
  • Implementatie- en upgradewerkstromen met één klik voor service bootstrap en onderhoud.
  • Statusrapportage met geautomatiseerde herstelwerkstromen om zelfherstel mogelijk te maken.
  • Realtime bewakings-, waarschuwings- en foutopsporingsfaciliteiten op de knooppunten van een gedistribueerd systeem.
  • Gecentraliseerde verzameling van operationele gegevens en metrische gegevens voor gedistribueerde hoofdoorzaakanalyse en service-inzicht.
  • Operationele hulpprogramma's voor implementatie, wijzigingsbeheer en bewaking.
  • Het Azure SQL Database Windows Fabric-platform en watchdogscripts worden continu uitgevoerd en in realtime bewaakt.

Als er afwijkingen optreden, wordt het proces voor het reageren op incidenten, gevolgd door het Azure-incident triageteam, geactiveerd. Het juiste ondersteuning voor Azure personeel wordt op de hoogte gesteld om op het incident te reageren. Problemen bijhouden en oplossen worden gedocumenteerd en beheerd in een gecentraliseerd ticketsysteem. Metrische gegevens over systeemtijd zijn beschikbaar onder de geheimhoudingsovereenkomst (NDA) en op verzoek.

Bedrijfsnetwerk en multi-factor toegang tot productie

De gebruikersbasis van het bedrijfsnetwerk omvat ondersteuning voor Azure personeel. Het bedrijfsnetwerk ondersteunt interne bedrijfsfuncties en bevat toegang tot interne toepassingen die worden gebruikt voor klantondersteuning van Azure. Het bedrijfsnetwerk is zowel logisch als fysiek gescheiden van het Azure-productienetwerk. Azure-personeel heeft toegang tot het bedrijfsnetwerk met behulp van Azure-werkstations en -laptops. Alle gebruikers moeten een Microsoft Entra-account hebben, inclusief een gebruikersnaam en wachtwoord, om toegang te krijgen tot bedrijfsnetwerkbronnen. Toegang tot bedrijfsnetwerk maakt gebruik van Microsoft Entra-accounts, die worden uitgegeven aan alle medewerkers, aannemers en leveranciers van Microsoft en worden beheerd door Microsoft Information Technology. Unieke gebruikers-id's onderscheiden personeel op basis van hun arbeidsstatus bij Microsoft.

Toegang tot interne Azure-toepassingen wordt beheerd via verificatie met Active Directory Federation Services (AD FS). AD FS is een service die wordt gehost door Microsoft Information Technology die verificatie van zakelijke netwerkgebruikers biedt via het toepassen van een beveiligd token en gebruikersclaims. AD FS maakt het mogelijk om interne Azure-toepassingen gebruikers te verifiëren voor het Microsoft-bedrijfsdomein active directory. Voor toegang tot het productienetwerk vanuit de bedrijfsnetwerkomgeving moeten gebruikers zich verifiëren met behulp van meervoudige verificatie.

Volgende stappen

Zie voor meer informatie over wat Microsoft doet om de Azure-infrastructuur te beveiligen:

• Azure-faciliteiten, -gebouwen en fysieke beveiliging
• Beschikbaarheid van Azure-infrastructuur
• Onderdelen en grenzen van het Azure-informatiesysteem
• Azure-netwerkarchitectuur
• Azure-productienetwerk
• Beveiligingsfuncties van Azure SQL Database
• Bewaking van Azure-infrastructuur
• Integriteit van Azure-infrastructuur
• Gegevensbescherming van Azure-klanten