Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera ogólny opis architektury i zarządzania platformy Azure. Środowisko systemowe platformy Azure składa się z następujących sieci:
- Sieć produkcyjna platformy Microsoft Azure (sieć platformy Azure)
- Sieć firmowa firmy Microsoft (corpnet)
Oddzielne zespoły IT są odpowiedzialne za operacje i konserwację tych sieci.
Architektura platformy Azure
Platforma Azure to platforma przetwarzania w chmurze i infrastruktura do tworzenia, wdrażania i zarządzania aplikacjami i usługami za pośrednictwem sieci centrów danych. Firma Microsoft zarządza tymi centrami danych. Na podstawie określonej liczby zasobów platforma Azure tworzy maszyny wirtualne na podstawie potrzeb zasobów. Te maszyny wirtualne działają na funkcji hypervisor platformy Azure, która jest przeznaczona do użycia w chmurze i nie jest dostępna dla publicznej wersji.
W każdym węźle serwera fizycznego platformy Azure istnieje funkcja hypervisor, która działa bezpośrednio na sprzęcie. Hypervisor dzieli węzeł na zmienną liczbę wirtualnych maszyn gości. Każdy węzeł ma również jedną główną maszynę wirtualną, która uruchamia system operacyjny hosta. Zapora systemu Windows jest włączona na każdej maszynie wirtualnej. Zdefiniuj, które porty są adresowalne, konfigurując plik definicji usługi. Te porty są jedynymi otwartymi i adresowalnymi, wewnętrznie lub zewnętrznie. Cały ruch i dostęp do dysku i sieci są obsługiwane przez funkcję hypervisor i główny system operacyjny.
W warstwie hosta maszyny wirtualne platformy Azure uruchamiają dostosowaną i wzmocnioną wersję najnowszego systemu Windows Server. Platforma Azure używa wersji systemu Windows Server, która zawiera tylko te składniki niezbędne do hostowania maszyn wirtualnych. Poprawia to wydajność i zmniejsza obszar ataków. Granice maszyn są wymuszane przez funkcję hypervisor, która nie zależy od zabezpieczeń systemu operacyjnego.
Zarządzanie platformą Azure przez kontrolery sieci szkieletowej
Na platformie Azure maszyny wirtualne działające na serwerach fizycznych (blokach/węzłach) są grupowane w klastry o wartości około 1000. Maszyny wirtualne są zarządzane niezależnie przez skalowany w poziomie i nadmiarowy składnik oprogramowania platformy nazywany kontrolerem sieci szkieletowej (FC).
Każdy FC zarządza cyklem życia aplikacji uruchomionych w swoim klastrze oraz zapewnia i monitoruje stan sprzętu, który nadzoruje. Uruchamia ona autonomiczne operacje, takie jak przywracanie instancji maszyn wirtualnych na serwerach w dobrej kondycji, gdy stwierdzi, że serwer uległ awarii. Fc wykonuje również operacje zarządzania aplikacjami, takie jak wdrażanie, aktualizowanie i skalowanie aplikacji.
Centrum danych jest podzielone na klastry. Klastry izolują błędy na poziomie fc i uniemożliwiają niektórym klasom błędów wpływanie na serwery poza klastrem, w którym występują. Komputery FC, które obsługują określony klaster platformy Azure, są grupowane w klaster FC.
Spis sprzętu
FC przygotowuje spis sprzętu i urządzeń sieciowych platformy Azure podczas procesu konfiguracji początkowej. Wszystkie nowe składniki sprzętowe i sieciowe wchodzące w środowisko produkcyjne platformy Azure muszą być zgodne z procesem konfiguracji bootstrap. FC jest odpowiedzialny za zarządzanie całym spisem wymienionym w pliku konfiguracji datacenter.xml.
Obrazy systemu operacyjnego zarządzanego przez FC
Zespół ds. systemów operacyjnych udostępnia obrazy w postaci wirtualnych dysków twardych wdrożonych na wszystkich maszynach wirtualnych hosta i gościa w środowisku produkcyjnym platformy Azure. Zespół konstruuje te obrazy podstawowe za pomocą zautomatyzowanego procesu kompilacji w trybie offline. Obraz podstawowy to wersja systemu operacyjnego, w którym jądro i inne podstawowe składniki zostały zmodyfikowane i zoptymalizowane pod kątem obsługi środowiska platformy Azure.
Istnieją trzy typy obrazów systemu operacyjnego zarządzanego przez infrastrukturę:
- Host: dostosowany system operacyjny działający na maszynach wirtualnych hosta.
- Natywny: natywny system operacyjny działający w dzierżawach (na przykład Azure Storage). Ten system operacyjny nie ma żadnej funkcji hypervisor.
- Gość: system operacyjny gościa działający na maszynach wirtualnych gościa.
Host i natywne systemy operacyjne zarządzane przez FC są przeznaczone do użytku w chmurze i nie są publicznie dostępne.
Hostowanie i natywne systemy operacyjne
Host i system natywny to obrazy systemów operacyjnych ze wzmocnionymi zabezpieczeniami, które hostują agentów szkieletu i są uruchamiane na węźle obliczeniowym (działają jako pierwsza maszyna wirtualna na węźle) oraz na węzłach magazynowania. Zaletą korzystania ze zoptymalizowanych obrazów podstawowych typu host i natywny jest zmniejszenie powierzchni narażonej na działanie interfejsów API lub nieużywanych komponentów. Mogą one stanowić wysokie zagrożenia bezpieczeństwa i zwiększyć ślad systemu operacyjnego. Ograniczone systemy operacyjne obejmują tylko składniki niezbędne do platformy Azure.
System operacyjny gościa
Składniki wewnętrzne platformy Azure uruchomione na maszynach wirtualnych systemu operacyjnego gościa nie mają możliwości uruchomienia protokołu Remote Desktop Protocol. Wszelkie zmiany ustawień konfiguracji bazowej muszą przejść przez proces zarządzania zmianami i wydaniami.
Centra danych platformy Azure
Zespół ds. infrastruktury i operacji w chmurze (MCIO) firmy Microsoft zarządza infrastrukturą fizyczną i obiektami centrów danych dla wszystkich usług online firmy Microsoft. Funkcja MCIO jest odpowiedzialna przede wszystkim za zarządzanie mechanizmami kontroli fizycznej i środowiskowej w centrach danych, a także zarządzanie zewnętrznymi urządzeniami sieci obwodowymi (takimi jak routery brzegowe i routery centrów danych). MCIO jest również odpowiedzialny za skonfigurowanie minimalnego sprzętu serwera na stojakach w centrum danych. Klienci nie mają bezpośredniej interakcji z platformą Azure.
Zarządzanie usługami i zespoły usług
Różne grupy inżynieryjne, znane jako zespoły usług, zarządzają obsługą usługi platformy Azure. Każdy zespół usług jest odpowiedzialny za obszar pomocy technicznej dla platformy Azure. Każdy zespół serwisowy musi zapewnić dostępność inżyniera 24x7 w celu zbadania i rozwiązania awarii w usłudze. Zespoły usług domyślnie nie mają fizycznego dostępu do sprzętu działającego na platformie Azure.
Zespoły usług to:
- Platforma aplikacji
- Microsoft Entra ID
- Azure Compute
- Sieć Azure
- Usługi Inżynierii Chmurowej
- ISSD: Zabezpieczenia
- Uwierzytelnianie wieloskładnikowe
- Baza Danych SQL
- Przechowywanie danych
Typy użytkowników
Pracownicy (lub wykonawcy) firmy Microsoft są traktowani jako użytkownicy wewnętrzni. Wszyscy inni użytkownicy są traktowani jako użytkownicy zewnętrzni. Wszyscy użytkownicy wewnętrzni platformy Azure mają swój status pracownika podzielony na poziom poufności, który definiuje dostęp do danych klientów (dostęp lub brak dostępu). Uprawnienia użytkownika do platformy Azure (uprawnienia autoryzacji po uwierzytelnieniu) opisano w poniższej tabeli:
| Rola | Wewnętrzne lub zewnętrzne | Poziom poufności | Uprawnienia i funkcje autoryzowane i wykonywane | Typ dostępu |
|---|---|---|---|---|
| Inżynier centrum danych platformy Azure | Wewnętrzny | Brak dostępu do danych klientów | Zarządzaj zabezpieczeniami fizycznymi obiektów. Przeprowadzaj patrole wewnątrz i na zewnątrz centrum danych oraz monitoruj wszystkie punkty dostępu. Eskortowanie do i z centrum danych niektórego nieoczyszczonego personelu, który zapewnia ogólne usługi (takie jak catering lub sprzątanie) lub pracę informatyczną w centrum danych. Przeprowadzanie rutynowego monitorowania i konserwacji sprzętu sieciowego. Wykonuj zarządzanie incydentami i prace naprawcze przy użyciu różnych narzędzi. Przeprowadzanie rutynowego monitorowania i konserwacji sprzętu fizycznego w centrach danych. Dostęp do środowiska na żądanie właścicieli nieruchomości. Zdolność do przeprowadzania badań kryminalistycznych, sporządzania raportów z incydentów w dziennikach oraz wymagalność obowiązkowego szkolenia z zakresu bezpieczeństwa oraz przestrzegania zasad polityki. Własność operacyjna i konserwacja krytycznych narzędzi zabezpieczeń, takich jak skanery i zbieranie dzienników. | Trwały dostęp do środowiska. |
| Klasyfikacja zdarzeń platformy Azure (inżynierowie szybkiego reagowania) | Wewnętrzny | Dostęp do danych klientów | Zarządzanie komunikacją między zespołami MCIO, pomocą techniczną i zespołami inżynieryjnymi. Klasyfikacja zdarzeń platformy, problemów z wdrażaniem i żądań obsługi. | Dostęp na czas do środowiska z ograniczonym, stałym dostępem do systemów niezwiązanych z klientami. |
| Inżynierowie wdrażania platformy Azure | Wewnętrzny | Dostęp do danych klientów | Wdrażanie i uaktualnianie składników platformy, oprogramowania i zaplanowanych zmian konfiguracji w obsłudze platformy Azure. | Dostęp na czas do środowiska z ograniczonym, stałym dostępem do systemów niezwiązanych z klientami. |
| Obsługa awarii klienta Azure (dzierżawca) | Wewnętrzny | Dostęp do danych klientów | Debugowanie i diagnozowanie awarii i błędów platformy dla poszczególnych dzierżaw obliczeniowych i kont platformy Azure. Analizowanie błędów. Wdrażanie kluczowych poprawek dla platformy lub klienta oraz napędzanie technologicznych usprawnień w całym zakresie wsparcia. | Dostęp na czas do środowiska z ograniczonym, stałym dostępem do systemów niezwiązanych z klientami. |
| Inżynierowie lokacji na żywo platformy Azure (inżynierowie monitorowania) i zdarzenia | Wewnętrzny | Dostęp do danych klientów | Diagnozowanie i łagodzenie problemów zdrowotnych platformy przy użyciu narzędzi diagnostycznych. Poprawki dla sterowników woluminów, naprawy problemów wynikających z awarii i wspierać działania przywracania po awariach. | Dostęp na czas do środowiska z ograniczonym, stałym dostępem do systemów niezwiązanych z klientami. |
| Klienci platformy Azure | Zewnętrzne | N/A | N/A | N/A |
Platforma Azure używa unikatowych identyfikatorów do uwierzytelniania użytkowników organizacji i klientów (lub procesów działających w imieniu użytkowników organizacji). Dotyczy to wszystkich zasobów i urządzeń, które są częścią środowiska platformy Azure.
Uwierzytelnianie wewnętrzne platformy Azure
Komunikacja między składnikami wewnętrznymi platformy Azure jest chroniona za pomocą szyfrowania TLS. W większości przypadków certyfikaty X.509 są z podpisem własnym. Certyfikaty z połączeniami, do których można uzyskać dostęp spoza sieci Azure, są wyjątkiem, podobnie jak certyfikaty dla FC. FCs posiadają certyfikaty wystawione przez urząd certyfikacji Microsoft, wspierany przez zaufany główny urząd certyfikacji. Dzięki temu można łatwo obracać publiczne klucze FC. Ponadto narzędzia deweloperskie firmy Microsoft używają kluczy publicznych FC. Gdy deweloperzy przesyłają nowe obrazy aplikacji, obrazy są szyfrowane przy użyciu klucza publicznego FC w celu ochrony wszelkich osadzonych tajnych danych.
Uwierzytelnianie urządzeń sprzętowych platformy Azure
FC utrzymuje zestaw poświadczeń (kluczy i/lub haseł) używany do uwierzytelniania się przed różnymi urządzeniami sprzętowymi pod jego kontrolą. Firma Microsoft używa systemu, aby uniemożliwić dostęp do tych poświadczeń. W szczególności transport, przechowywanie i korzystanie z tych poświadczeń zaprojektowano w celu uniemożliwienia dostępu deweloperom Azure, administratorom, usługom kopii zapasowych oraz personelowi do poufnych, wrażliwych lub prywatnych informacji.
Firma Microsoft używa szyfrowania na podstawie głównego klucza publicznego tożsamości FC. Dzieje się to podczas ustawiania FC i rekonfiguracji FC, aby przetransferować poświadczenia używane do uzyskiwania dostępu do urządzeń sprzętowych sieciowych. Gdy fc potrzebuje poświadczeń, fc pobiera je i odszyfrowuje.
Urządzenia sieciowe
Zespół ds. sieci platformy Azure konfiguruje konta usług sieciowych, aby umożliwić klientowi platformy Azure uwierzytelnianie na urządzeniach sieciowych (routerach, przełącznikach i modułach równoważenia obciążenia).
Bezpieczna administracja usługą
Personel operacyjny platformy Azure jest wymagany do korzystania z bezpiecznych stacji roboczych administratora (SAW). Klienci mogą implementować podobne mechanizmy kontroli przy użyciu stacji roboczych z dostępem uprzywilejowanym. W przypadku programu SAW personel administracyjny korzysta z indywidualnie przypisanego konta administracyjnego, które jest oddzielone od konta użytkownika standardowego. Saw opiera się na tej praktyce separacji kont, zapewniając godną zaufania stację roboczą dla tych poufnych kont.
Dalsze kroki
Aby dowiedzieć się więcej o tym, co firma Microsoft robi, aby zabezpieczyć infrastrukturę platformy Azure, zobacz:
- Obiekty, środowiska lokalne i zabezpieczenia fizyczne platformy Azure
- Dostępność infrastruktury platformy Azure
- Architektura sieci platformy Azure
- Sieć produkcyjna platformy Azure
- Funkcje zabezpieczeń usługi Azure SQL Database
- Operacje produkcyjne i zarządzanie platformą Azure
- Monitorowanie infrastruktury platformy Azure
- Integralność infrastruktury platformy Azure
- Ochrona danych klientów platformy Azure