Компоненты и границы информационной системы Azure
Эта статья содержит общее описание архитектуры Azure и управления. Среда системы Azure состоит из следующих сетей:
- Рабочая сеть Microsoft Azure (сеть Azure).
- Корпоративная сеть Майкрософт (корпоративная сеть).
За эксплуатацию и обслуживание этих сетей отвечают отдельные ИТ-специалисты.
Архитектура Azure
Azure — это платформа и инфраструктура облачных вычислений для сборки, развертывания приложений и служб, а также для управления ими через сеть центров обработки данных, управляемых корпорацией Майкрософт. На основе количества ресурсов, которые вы задаете, Azure создает виртуальные машины (VM) с необходимыми ресурсами. Эти виртуальные машины выполняются в гипервизоре Azure, который предназначен для использования в облаке и недоступен для общественности.
На каждом узле физического сервера Azure есть гипервизор, который выполняется непосредственно по оборудованию. Гипервизор разделяет узел на переменное количество гостевых виртуальных машин. На каждом узле имеется также одна корневая виртуальная машина, на которой запущена операционная система узла. Брандмауэр Windows включен на каждой виртуальной машине. Порты, к которым можно обращаться, определяются путем настройки файла определения службы. При внутреннем или внешнем доступе только эти порты являются открытыми и доступными для обращения. Гипервизор и корневая ОС выступают в роли посредников между всем трафиком, доступом к диску и сетью.
В слое узла виртуальных машин Azure запускается настроенная и защищенная последняя версия Windows Server. Azure использует версию Windows Server, которая включает в себя только компоненты, необходимые для размещения виртуальных машин. Это повышает производительность и уменьшает область атаки. Границы компьютера применяются гипервизором, который не зависит от безопасности операционной системы.
Управление Azure с помощью контроллеров структуры
В Azure виртуальные машины, работающие на физических серверах (колонки или узлы), группируются в кластеры примерно по 1000 объектов. Виртуальные машины независимо управляются программным компонентом избыточной и горизонтально масштабированной платформы, который называется контроллером структуры.
Каждый контроллер структуры управляет жизненным циклом приложений, работающих в его кластере, а также подготавливает и отслеживает работоспособность оборудования под своим контролем. Он выполняет независимые операции, такие как переориентирование экземпляров виртуальных машин на работоспособные серверы при определении, что произошел сбой сервера. Контроллер структуры также выполняет операции управления приложениями, такие как развертывание, обновление и их масштабирование.
Центр обработки данных состоит из кластеров. Кластеры изолируют ошибки на уровне контроллера структуры и предотвращают влияние определенных классов ошибок на серверы за пределами кластера, в котором они возникают. Контроллеры структуры, которые обрабатывают определенный кластер Azure, группируются в кластер контроллера структуры.
Инвентаризация оборудования
Контроллер структуры подготавливает инвентаризацию аппаратных и сетевых устройств Azure в процессе конфигурации начальной загрузки. Новое оборудование и сетевые компоненты, входящие в рабочую среду Azure, должны следовать процессу настройки начальной загрузки. Контроллер структуры отвечает за управление всеми данными инвентаризации, перечисленными в файле конфигурации datacenter.xml.
Образы операционной системы, управляемые контроллером структуры
Команда ОС предоставляет образы в форме виртуальных жестких дисков, развернутых на всех виртуальных машинах узла и гостевых виртуальных машинах в рабочей среде Azure. Эта команда создает эти базовые образы с помощью автоматического процесса автономной сборки. Базовый образ — это версия операционной системы, в которой ядро и другие основные компоненты были изменены и оптимизированы для поддержки среды Azure.
Есть три типа образов операционной системы, управляемых контроллером структуры:
- ОС узла: это настраиваемая операционная система, которая выполняется на узле виртуальных машин.
- Собственная операционная система, которая выполняется на клиентах (например, в службе хранилища Azure). Эта операционная система не имеет гипервизора.
- Гость: гостевая ОС, которая выполняется на гостевых виртуальных машинах.
Управляемые узлом операционные системы и собственные операционные системы, управляемые FC, предназначены для использования в облаке и не являются общедоступными.
Собственная ОС и ОС узла
ОС узла и собственная ОС — это защищенные образы ОС, на которых размещены агенты структуры и которые запускаются на вычислительном узле (запускается как первая виртуальная машина на узле) и на узлах хранилища. Преимущество использования оптимизированных базовых образов ОС узла и собственной ОС заключается в уменьшении контактной зоны, предоставленной API-интерфейсами или неиспользуемыми компонентами. Это может привести к высоким рискам безопасности и увеличению объема памяти операционной системы. Сокращенные в объеме операционные системы включают только компоненты, необходимые для Azure.
Операционная система на виртуальной машине
Внутренние компоненты Azure, работающие на виртуальных машинах гостевой ОС, не имеют возможности запустить протокол RDP. Любые изменения настроек базовой конфигурации необходимо осуществлять в процессе обновления и управления выпусками.
Центры обработки данных Azure
Команда обслуживания и инфраструктуры Microsoft Cloud (MCIO) управляет центрами обработки данных и физической инфраструктурой для всех веб-служб Майкрософт. MCIO в основном отвечает за управление физическими элементами управления и элементами управления среды в центрах обработки данных, а также за контроль и поддержку внешних сетевых устройств (пограничные маршрутизаторы и маршрутизаторы центра обработки данных). MCIO также несет ответственность за настройку минимально возможного серверного оборудования на стойках в центре обработки данных. Клиенты не взаимодействуют с Azure напрямую.
Управление службой и группы обслуживания
Ряд технических групп, известных как группы обслуживания, управляет поддержкой службы Azure. Каждый специалист группы обслуживания отвечает за определенную область обслуживания Azure. Каждая группа обслуживания должна быть доступна круглосуточно для изучения и устранения проблем в службе. Команды служб по умолчанию не имеют физического доступа к оборудованию, работающему в Azure.
Ниже приведены группы обслуживания:
- Платформа приложения
- ИД Microsoft Entra
- Вычисления Azure
- Azure NET.
- Службы проектирования облака.
- ISSD: безопасность.
- Многофакторная идентификация
- База данных SQL
- Хранилище
Типы пользователей
Сотрудники (или подрядчики) корпорации Майкрософт считаются внутренними пользователями. Все остальные пользователи считаются внешними. Всем внутренним пользователям Azure присвоен статус сотрудника с категорией по уровню конфиденциальности, который определяет их доступ к клиентским данным (разрешен или запрещен). Привилегии пользователей в Azure (разрешение авторизации после аутентификации) описаны в следующей таблице:
| Роль | Внутренний или внешний | Уровень конфиденциальности | Авторизованные привилегии и выполняемые функции | Тип доступа |
|---|---|---|---|---|
| Инженер центра обработки данных Azure | Внутренняя | Отсутствие доступа к клиентским данным | Управление физической безопасностью локальной среды. Проведение внутренних и внешних патрулирований центра обработки данных и отслеживание всех точек входа. Сопровождение некоторых сотрудников без допуска, которые предоставляют общие услуги (питание, уборка) или ИТ-услуги в центре обработки данных (сопровождение в центр обработки данных и из него). Систематический мониторинг и обслуживание сетевого оборудования. Выполнение работы по управлению инцидентами и исправлению останова с помощью различных средств. Систематический мониторинг и обслуживание физического оборудования в центрах обработки данных. Доступ к среде по запросу владельцев. Возможность проводить судебные разбирательства, регистрировать отчеты об инцидентах и требовать обязательного обучения в сфере безопасности, а также соблюдения требований политики. Операционное владение и обслуживание критических инструментов безопасности, таких как сканеры и сбор данных журналов. | Постоянный доступ к среде. |
| Рассмотрение инцидентов Azure (инженеры быстрого реагирования) | Внутренняя | Доступ к клиентским данным | Управление обменом данных между отделом обслуживания инфраструктуры, службой поддержки и группами инженеров. Рассмотрение инцидентов платформы, проблем с развертыванием и запросов на обслуживание. | JIT-доступ к среде с ограниченным постоянным доступом к системам, неиспользуемым клиентами. |
| Инженеры по развертыванию Azure | Внутренняя | Доступ к клиентским данным | Выполнение развертывания и обновления компонентов платформы, программного обеспечения и запланированных изменений конфигурации в обслуживании Azure. | JIT-доступ к среде с ограниченным постоянным доступом к системам, неиспользуемым клиентами. |
| Служба поддержки при клиентских сбоях Azure (клиент) | Внутренняя | Доступ к клиентским данным | Отладка и диагностика сбоев и ошибок платформы для отдельных вычислительных клиентов и учетных записей Azure. Анализ ошибок. Внедрение критически важных исправлений платформы или клиента, а также технических улучшений в службе поддержки. | JIT-доступ к среде с ограниченным постоянным доступом к системам, неиспользуемым клиентами. |
| Инженеры инцидентов действующих сайтов Azure (инженеры по мониторингу) | Внутренняя | Доступ к клиентским данным | Диагностика работоспособности платформы и устранение рисков с помощью инструментов диагностики. Внедрение исправлений драйверов тома, восстановление компонентов после сбоев, поддержка по восстановлению после сбоев. | JIT-доступ к среде с ограниченным постоянным доступом к системам, неиспользуемым клиентами. |
| Клиенты Azure | Внешние | Неприменимо | Н/Д | Неприменимо |
Azure использует уникальные идентификаторы для аутентификации пользователей организации и клиентов (или процессов, выполняющихся от имени пользователей организации) на всех ресурсах или устройствах, которые являются частью среды Azure.
Внутренняя аутентификация Azure
Обмен данными между внутренними компонентами Azure защищен с помощью шифрования TLS. В большинстве случаев сертификаты X.509 являются самозаверяющими. Для сертификатов с подключениями, которые доступны за пределами сети Azure, а также сертификатов для контроллеров структуры применяются исключения. Контроллеры структуры имеют сертификаты, выданные центром сертификации Microsoft (ЦС) и поддерживаемые доверенным корневым ЦС. Это позволяет легко выпускать открытые ключи контроллера структуры. Кроме того, открытые ключи контроллера структуры используются инструментами разработчика Майкрософт, чтобы новые образы приложений при отправке разработчиками шифровались открытым ключом контроллера структуры для защиты любых внедренных секретов.
Аутентификация аппаратного устройства Azure
Контроллер структуры хранит набор учетных данных (ключи и пароли), которые используются для его аутентификации в различных аппаратных устройствах, находящихся под контролем этого контроллера. Корпорация Майкрософт использует систему для предотвращения доступа к этим учетным данным. Система, используемая для транспортировки, сохранения и использования этих учетных данных, предназначена для предотвращения доступа разработчиков, администраторов и вспомогательных служб или сотрудников службы поддержки Azure к конфиденциальной или личной информации.
Корпорация Майкрософт использует шифрование на основе открытого ключа главного удостоверения FC. Это шифрование используется в настройке и повторной конфигурации контроллера структуры, чтобы передать учетные данные, используемые для доступа к аппаратным устройствам сети. Когда контроллеру структуры требуются учетные данные, он их извлекает и расшифровывает.
Сетевые устройства
Команда по обслуживанию сетей Azure настраивает учетные записи сетевой службы, чтобы обеспечить аутентификацию клиента Azure на сетевых устройствах (маршрутизаторах, коммутаторах и подсистемах балансировки нагрузки).
Безопасное администрирование служб
Сотрудники, занимающиеся обслуживанием Azure, должны использовать безопасные рабочие станции администрирования (SAW). Клиенты могут реализовать похожие элементы управления с помощью рабочих станций с привилегированным доступом. Для станций SAW персонал по управлению использует отдельно назначенную учетную запись администратора, отличную от учетной записи обычного пользователя. Это разделение лежит в основе подхода с использованием безопасных рабочих станций администрирования, в соответствии с которым для работы с конфиденциальными учетными записями предоставляется надежная рабочая станция.
Следующие шаги
Дополнительные сведения о действиях корпорации Майкрософт для защиты инфраструктуры Azure приведены в следующих статьях:
- Объекты, локальная среда и физическая безопасность в Azure
- Доступность инфраструктуры Azure
- Сетевая архитектура Azure
- Рабочая сеть Azure
- Возможности безопасности Базы данных SQL Azure
- Операции и управление в рабочей среде Azure
- Мониторинг инфраструктуры Azure
- Целостность инфраструктуры Azure
- Защита данных клиентов в Azure