Эксплуатация производственной сети Azure и управление ею

В этой статье описывается, как корпорация Майкрософт эксплуатирует производственную сеть Azure и управляет ею для защиты центров обработки данных Azure.

Мониторинг, журналы и отчеты

Эксплуатация производственной сети Azure и управление ею — это скоординированная работа операционных команд Azure и Базы данных SQL Azure. В среде командами используются несколько инструментов мониторинга производительности приложений и систем. Они используют соответствующие инструменты для контроля сетевых устройств, серверов, служб и процессов приложений.

Для обеспечения безопасной работы служб в среде Azure операционные команды реализуют несколько уровней мониторинга, ведения журналов и отчетов, включая следующие действия.

• В первую очередь агент Microsoft Monitoring Agent собирает журналы мониторинга и диагностики из многих мест, включая контроллер структуры и корневую ОС, и записывает их в файлы журналов. В результате он отправляет полученное подмножество информации в предварительно сконфигурированную учетную запись хранения Azure. Кроме того, автономная служба мониторинга и диагностики считывает различные данные журнала мониторинга и диагностики и суммирует информацию. Служба диагностики и мониторинга записывает сведения в интегрированный журнал. Azure использует настраиваемый мониторинг безопасности Azure, который является расширением системы мониторинга Azure. В нем есть компоненты, которые отслеживают, анализируют и сообщают о событиях, связанных с безопасностью, из разных точек платформы.

• Платформа Windows Fabric Базы данных SQL Azure предоставляет управление, развертывание, разработку и оперативный надзор для Базы данных SQL Azure. Она предлагает распределенные, многошаговые службы развертывания, мониторинг работоспособности, автоматический ремонт и соответствие версии службы. Она предоставляет следующие службы:

  • Возможности моделирования службы со средой с высокой точностью разработки (кластеры центров обработки данных – дорогостоящие и скудные).
  • Рабочие процессы развертывания и обновления одним щелчком мыши для сервисных начальной загрузки и обслуживания.
  • Отчеты о работоспособности с автоматизированными рабочими процессами для обеспечения самовосстановления.
  • Средства мониторинга, оповещения и отладки в реальном времени в узлах распределенной системы.
  • Централизованный сбор оперативных данных и метрик для распределенного анализа основных причин и аналитических сведений об обслуживании.
  • Оперативную оснастку для развертывания, управления изменениями и мониторинга.
  • База данных SQL Azure, платформа Windows Fabric и сценарии наблюдения работают непрерывно и контролируются в режиме реального времени.

Если возникают какие-либо аномалии, активируется процесс реагирования на инциденты, после которого активируется группа рассмотрения Azure Incident. Соответствующему персоналу службы поддержки Azure приходит уведомление, чтобы он отреагировал на происшествие. Централизованная система отправки запросов документирует и управляет отслеживанием и разрешением проблем. Показатели работоспособности системы доступны в соответствии с Соглашением о неразглашении (NDA) и по запросу.

Корпоративная сеть и многофакторный доступ к рабочей среде

База пользователей корпоративной сети включает персонал поддержки Azure. Корпоративная сеть поддерживает внутренние корпоративные функции и включает доступ к внутренним приложениям, которые используются для поддержки клиентов Azure. Корпоративная сеть отделена от сети Azure Production как логически, так и физически. Персонал Azure получает доступ к корпоративной сети, используя рабочие станции Azure и ноутбуки. У всех пользователей должна быть учетная запись Microsoft Entra, включая имя пользователя и пароль, для доступа к ресурсам корпоративной сети. Для доступа к корпоративной сети используются учетные записи Microsoft Entra, выданные всем сотрудникам Майкрософт, подрядчикам и поставщикам и управляемым корпорацией Майкрософт информационным технологиям. Уникальные идентификаторы пользователей различают персонал на основе их статуса занятости в Корпорации Майкрософт.

Доступ к внутренним приложениям Azure контролируется с помощью аутентификации служб федерации Active Directory (ADFS). ADFS — это служба, размещенная MSIT, которая обеспечивает аутентификацию пользователей корпоративной сети посредством применения защищенных токенов и утверждений пользователей. ADFS позволяет внутренним приложениям Azure аутентифицировать пользователей в домене Microsoft Corporate Active Directory. Чтобы получить доступ к производственной сети из среды корпоративной сети, пользователь должен пройти аутентификацию, используя многофакторную проверку подлинности.

Следующие шаги

Дополнительные сведения о действиях корпорации Майкрософт в сфере защиты инфраструктуры Azure приведены в следующих статьях:

• Объекты, локальная среда и физическая безопасность в Azure
• Доступность инфраструктуры Azure
• Компоненты и границы информационной системы Azure
• Сетевая архитектура Azure
• Рабочая сеть Azure
• Возможности безопасности Базы данных SQL Azure
• Мониторинг инфраструктуры Azure
• Целостность инфраструктуры Azure
• Защита данных клиентов в Azure