Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en allmän beskrivning av Azures arkitektur och hantering. Azure-systemmiljön består av följande nätverk:
- Microsoft Azure-produktionsnätverk (Azure-nätverk)
- Microsofts företagsnätverk (corpnet)
Separata IT-team ansvarar för drift och underhåll av dessa nätverk.
Azure-arkitektur
Azure är en plattform för molnbaserad databehandling och infrastruktur för att skapa, distribuera och hantera program och tjänster via ett nätverk av datacenter. Microsoft hanterar dessa datacenter. Baserat på antalet resurser som du anger skapar Azure virtuella datorer (VM) baserat på resursbehov. De här virtuella datorerna körs på ett Azure-hypervisor-program, som är utformat för användning i molnet och inte är tillgängligt för allmänheten.
På varje fysisk Azure-servernod finns det ett hypervisor-program som körs direkt över maskinvaran. Hypervisor-programmet delar upp en nod i ett variabelt antal virtuella gästdatorer. Varje nod har också en virtuell rotdator som kör värdoperativsystemet. Windows-brandväggen är aktiverad på varje virtuell dator. Du definierar vilka portar som kan adresseras genom att konfigurera tjänstdefinitionsfilen. Dessa portar är de enda som är öppna och adresserbara, internt eller externt. All trafik och åtkomst till disken och nätverket medieras av hypervisorn och rotoperativsystemet.
På värdlagret kör virtuella Azure-datorer en anpassad och härdad version av den senaste Windows Server. Azure använder en version av Windows Server som endast innehåller de komponenter som krävs för att vara värd för virtuella datorer. Detta förbättrar prestanda och minskar attackytan. Datorgränser upprätthålls av hypervisor-programmet, som inte är beroende av operativsystemets säkerhet.
Azure-hantering av infrastrukturkontrollanter
I Azure grupperas virtuella datorer som körs på fysiska servrar (blad/noder) i kluster om cirka 1000. De virtuella datorerna hanteras oberoende av en utskalad och redundant plattformsprogramvarukomponent som kallas infrastrukturkontrollant (FC).
Varje FC hanterar livscykeln för program som körs i klustret och etablerar och övervakar hälsotillståndet för maskinvaran under dess kontroll. Den kör autonoma operationer, till exempel att reinkarnera VM-instanser på felfria servrar när den fastställer att en server har misslyckats. FC utför också programhanteringsåtgärder, till exempel distribution, uppdatering och utskalning av program.
Datacentret är indelat i kluster. Kluster isolerar fel på FC-nivå och förhindrar att vissa klasser av fel påverkar servrar utanför klustret där de inträffar. FC:er som betjänar ett visst Azure-kluster grupperas i ett FC-kluster.
Maskinvarulager
FC förbereder en inventering av Azure-maskinvara och nätverksenheter under bootstrap-konfigurationsprocessen. Alla nya maskinvaru- och nätverkskomponenter som kommer in i Azure-produktionsmiljön måste följa bootstrap-konfigurationsprocessen. FC ansvarar för att hantera hela inventeringen som anges i den datacenter.xml konfigurationsfilen.
Avbildningar av FC-hanterade operativsystem
Operativsystemteamet tillhandahåller avbildningar i form av virtuella hårddiskar som distribueras på alla virtuella värd- och gästdatorer i Azure-produktionsmiljön. Teamet skapar dessa basavbildningar via en automatiserad offlinebyggprocess. Basavbildningen är en version av operativsystemet där kerneln och andra kärnkomponenter har ändrats och optimerats för att stödja Azure-miljön.
Det finns tre typer av fabric-hanterade operativsystemavbildningar:
- Värd: Ett anpassat operativsystem som körs på virtuella värddatorer.
- Internt: Ett inbyggt operativsystem som körs på klienter (till exempel Azure Storage). Det här operativsystemet har inget hypervisor-program.
- Gäst: Ett gästoperativsystem som körs på virtuella gästdatorer.
Värden och de inbyggda FC-hanterade operativsystemen är utformade för användning i molnet och är inte offentligt tillgängliga.
Värdoperativsystem och inbyggda operativsystem
Värd och intern är härdade operativsystemavbildningar som är värdar för infrastrukturagenterna och körs på en beräkningsnod (körs som den första virtuella datorn på noden) och lagringsnoder. Fördelen med att använda optimerade basavbildningar av host och native är att det minskar ytan som exponeras av API:er eller oanvända komponenter. Dessa kan utgöra höga säkerhetsrisker och öka operativsystemets fotavtryck. Operativsystem med minskat fotavtryck innehåller endast de komponenter som krävs för Azure.
Gästoperativsystem
Interna Azure-komponenter som körs på virtuella datorer i gästoperativsystemet har ingen möjlighet att köra Remote Desktop Protocol. Eventuella ändringar av konfigurationsinställningarna för baslinjen måste gå igenom ändrings- och versionshanteringsprocessen.
Azure-datacenter
MCIO-teamet (Microsoft Cloud Infrastructure and Operations) hanterar den fysiska infrastrukturen och datacenterfaciliteterna för alla Microsofts onlinetjänster. MCIO ansvarar främst för att hantera de fysiska och miljömässiga kontrollerna i datacenter, samt för att hantera och stödja yttre perimeternätverksenheter (till exempel gränsroutrar och datacenterroutrar). MCIO ansvarar också för att ställa in minsta serverhårdvara på rack i datacentret. Kunderna har ingen direkt interaktion med Azure.
Servicehantering och serviceteam
Olika teknikgrupper, så kallade tjänstteam, hanterar supporten för Azure-tjänsten. Varje tjänstteam ansvarar för ett supportområde för Azure. Varje serviceteam måste göra en tekniker tillgänglig 24x7 för att undersöka och lösa fel i tjänsten. Tjänstteam har som standard inte fysisk åtkomst till maskinvaran som körs i Azure.
Serviceteamen är:
- Programplattform
- Microsoft Entra-ID
- Azure Compute
- Azure-nät
- Tjänster för molnteknik
- ISSD: Säkerhet
- Multifaktorautentisering
- SQL-databas
- Förvaring
Typer av användare
Anställda (eller leverantörer) hos Microsoft anses vara interna användare. Alla andra användare betraktas som externa användare. Alla interna Azure-användare har sin medarbetarstatus kategoriserad med en känslighetsnivå som definierar deras åtkomst till kunddata (åtkomst eller ingen åtkomst). Användarbehörigheter till Azure (auktoriseringsbehörighet efter att autentiseringen har utförts) beskrivs i följande tabell:
| Befattning | Internt eller externt | Känslighetsnivå | Auktoriserade privilegier och funktioner som utförs | Åtkomsttyp |
|---|---|---|---|---|
| Tekniker för Azure-datacenter | Inre | Ingen tillgång till kunddata | Hantera den fysiska säkerheten i lokalerna. Utför patruller in och ut ur datacentret och övervaka alla startpunkter. Eskortera in i och ut ur datacentret viss icke-godkänd personal som tillhandahåller allmänna tjänster (till exempel måltider eller städning) eller IT-arbete i datacentret. Utföra rutinmässig övervakning och underhåll av nätverkshårdvara. Utför incidenthantering och reparationsarbete med hjälp av olika verktyg. Utför rutinmässig övervakning och underhåll av den fysiska maskinvaran i datacentren. Tillgång till miljö på begäran från fastighetsägare. Kan utföra kriminaltekniska undersökningar, logga incidentrapporter och kräva obligatorisk säkerhetsutbildning och policykrav. Driftägarskap och underhåll av kritiska säkerhetsverktyg, till exempel skannrar och logginsamling. | Beständig åtkomst till miljön. |
| Incidentsortering i Azure (tekniker för snabba svar) | Inre | Tillgång till kunddata | Hantera kommunikationen mellan MCIO-, support- och teknikteam. Sortera plattformsincidenter, distributionsproblem och tjänstbegäranden. | Just-in-time-åtkomst till miljön, med begränsad beständig åtkomst till system som inte är kund. |
| Distributionstekniker för Azure | Inre | Tillgång till kunddata | Distribuera och uppgradera plattformskomponenter, programvara och schemalagda konfigurationsändringar som stöd för Azure. | Just-in-time-åtkomst till miljön, med begränsad beständig åtkomst till system som inte är kund. |
| Support för avbrottstjänster för Azure-kunder (klientorganisation) | Inre | Tillgång till kunddata | Felsök och diagnostisera plattformsavbrott och fel för enskilda beräkningsklienter och Azure-konton. Analysera fel. Driv viktiga korrigeringar till plattformen eller kunden och driv tekniska förbättringar i supporten. | Just-in-time-åtkomst till miljön, med begränsad beständig åtkomst till system som inte är kund. |
| Azures live-webbplatstekniker (övervakningstekniker) och incidenter | Inre | Tillgång till kunddata | Diagnostisera och minimera plattformens hälsa med hjälp av diagnostikverktyg. Enhetskorrigeringar för volymdrivrutiner, reparera objekt till följd av avbrott och hjälpa till med återställningsåtgärder för avbrott. | Just-in-time-åtkomst till miljön, med begränsad beständig åtkomst till system som inte är kund. |
| Azure-kunder | Externt | Inte tillgänglig | Inte tillgänglig | Inte tillgänglig |
Azure använder unika identifierare för att autentisera organisationsanvändare och kunder (eller processer som agerar för organisationens användares räkning). Detta gäller för alla tillgångar och enheter som ingår i Azure-miljön.
Intern Azure-autentisering
Kommunikationen mellan interna Azure-komponenter skyddas med TLS-kryptering. I de flesta fall är X.509-certifikaten självsignerade. Certifikat med anslutningar som kan nås utanför Azure-nätverket är ett undantag, liksom certifikat för FCs. FC:er har certifikat som utfärdats av ett Microsoft-certifikatutfärdare (CA) som backas upp av en betrodd rotcertifikatutfärdare. Detta gör att offentliga FC-nycklar enkelt kan rullas över. Dessutom använder Microsofts utvecklarverktyg offentliga FC-nycklar. När utvecklare skickar nya programavbildningar krypteras avbildningarna med en offentlig FC-nyckel för att skydda eventuella inbäddade hemligheter.
Autentisering av Azure-maskinvaruenheter
FC har en uppsättning autentiseringsuppgifter (nycklar och/eller lösenord) som används för att autentisera sig till olika maskinvaruenheter under dess kontroll. Microsoft använder ett system för att förhindra åtkomst till dessa autentiseringsuppgifter. Mer specifikt är transporten, beständigheten och användningen av dessa autentiseringsuppgifter utformade för att förhindra Azure-utvecklare, administratörer och säkerhetskopieringstjänster och personalåtkomst till känslig, konfidentiell eller privat information.
Microsoft använder kryptering baserat på FC:s offentliga huvudidentitetsnyckel. Detta inträffar vid FC-installation och FC-omkonfiguration för att överföra de autentiseringsuppgifter som används för att komma åt nätverksmaskinvaruenheter. När FC behöver autentiseringsuppgifterna hämtar och dekrypterar FC dem.
Nätverksenheter
Azure-nätverksteamet konfigurerar nätverkstjänstkonton så att en Azure-klient kan autentisera till nätverksenheter (routrar, växlar och lastbalanserare).
Säker tjänsteadministration
Azure-driftspersonal måste använda säkra administratörsarbetsstationer (SAW). Kunder kan implementera liknande kontroller med hjälp av arbetsstationer med privilegierad åtkomst. Med SAW:er använder administrativ personal ett individuellt tilldelat administrativt konto som är skilt från användarens standardanvändarkonto. SAW bygger på denna metod för kontoseparation genom att tillhandahålla en tillförlitlig arbetsstation för dessa känsliga konton.
Nästa steg
Mer information om vad Microsoft gör för att skydda Azure-infrastrukturen finns i:
- Azure anläggningar, lokaler och fysisk säkerhet
- Tillgänglighet för Azure-infrastruktur
- Azure-nätverksarkitektur
- Azure-produktionsnätverk
- Säkerhetsfunktioner i Azure SQL Database
- Azure-produktionsåtgärder och -hantering
- Övervakning av Azure-infrastruktur
- Azure-infrastrukturintegritet
- Azure-kunddataskydd