Komponenter och gränser för Azure-informationssystem
Den här artikeln innehåller en allmän beskrivning av Azure-arkitekturen och -hanteringen. Azure-systemmiljön består av följande nätverk:
- Microsoft Azure-produktionsnätverk (Azure-nätverk)
- Microsofts företagsnätverk (corpnet)
Separata IT-team ansvarar för drift och underhåll av dessa nätverk.
Azure-arkitektur
Azure är en plattform och infrastruktur för molnbaserad databehandling för att skapa, distribuera och hantera program och tjänster via ett nätverk av datacenter. Microsoft hanterar dessa datacenter. Baserat på antalet resurser som du anger skapar Azure virtuella datorer baserat på resursbehov. Dessa virtuella datorer körs på ett Azure-hypervisor-program som är utformat för användning i molnet och inte är tillgängligt för allmänheten.
På varje fysisk Azure-servernod finns det ett hypervisor-program som körs direkt över maskinvaran. Hypervisor-programmet delar upp en nod i ett variabelt antal virtuella gästdatorer. Varje nod har också en virtuell rotdator som kör värdoperativsystemet. Windows-brandväggen är aktiverad på varje virtuell dator. Du definierar vilka portar som kan adresseras genom att konfigurera tjänstdefinitionsfilen. Dessa portar är de enda som är öppna och adresserbara, internt eller externt. All trafik och åtkomst till disken och nätverket förmedlas av hypervisor- och rotoperativsystemet.
På värdnivå kör virtuella Azure-datorer en anpassad och härdad version av den senaste Windows Server. Azure använder en version av Windows Server som endast innehåller de komponenter som krävs för att vara värd för virtuella datorer. Detta förbättrar prestanda och minskar attackytan. Datorgränser framtvingas av hypervisor-programmet, som inte är beroende av operativsystemets säkerhet.
Azure-hantering efter infrastrukturkontrollanter
I Azure grupperas virtuella datorer som körs på fysiska servrar (blad/noder) i kluster på cirka 1 000. De virtuella datorerna hanteras oberoende av en utskalad och redundant plattformsprogramvara som kallas infrastrukturkontrollant (FC).
Varje FC hanterar livscykeln för program som körs i dess kluster och etablerar och övervakar maskinvarans hälsotillstånd under dess kontroll. Den kör autonoma åtgärder, till exempel att återställa virtuella datorinstanser på felfria servrar när den fastställer att en server har misslyckats. FC utför även programhanteringsåtgärder, till exempel distribution, uppdatering och utskalning av program.
Datacentret är indelat i kluster. Kluster isolerar fel på FC-nivå och förhindrar att vissa felklasser påverkar servrar utanför klustret där de inträffar. Domänkontrollanter som hanterar ett visst Azure-kluster grupperas i ett FC-kluster.
Maskinvarulager
FC förbereder en inventering av Azure-maskinvara och nätverksenheter under konfigurationsprocessen för bootstrap. Alla nya maskinvaru- och nätverkskomponenter som kommer in i Azure-produktionsmiljön måste följa konfigurationsprocessen för bootstrap. FC ansvarar för att hantera hela inventeringen som anges i konfigurationsfilen datacenter.xml.
FC-hanterade operativsystemavbildningar
Operativsystemets team tillhandahåller avbildningar i form av virtuella hårddiskar som distribuerats på alla virtuella värd- och gästdatorer i Azure-produktionsmiljön. Teamet skapar dessa basavbildningar genom en automatiserad offline-byggprocess. Basavbildningen är en version av operativsystemet där kerneln och andra kärnkomponenter har ändrats och optimerats för att stödja Azure-miljön.
Det finns tre typer av infrastrukturhanterade operativsystemavbildningar:
- Värd: Ett anpassat operativsystem som körs på virtuella värddatorer.
- Internt: Ett internt operativsystem som körs på klientorganisationer (till exempel Azure Storage). Det här operativsystemet har inget hypervisor-system.
- Gäst: Ett gästoperativsystem som körs på virtuella gästdatorer.
Värd- och inbyggda FC-hanterade operativsystem är utformade för användning i molnet och är inte offentligt tillgängliga.
Värd- och inbyggda operativsystem
Värd och intern är härdade operativsystemavbildningar som är värdar för infrastrukturresurserna och körs på en beräkningsnod (körs som den första virtuella datorn på noden) och lagringsnoder. Fördelen med att använda optimerade basavbildningar av värden och inbyggda är att det minskar den yta som exponeras av API:er eller oanvända komponenter. Dessa kan innebära höga säkerhetsrisker och öka operativsystemets fotavtryck. Operativsystem med reducerat fotavtryck innehåller bara de komponenter som krävs för Azure.
Gästoperativsystem
Interna Azure-komponenter som körs på virtuella gästoperativsystemdatorer har ingen möjlighet att köra Remote Desktop Protocol. Ändringar i konfigurationsinställningarna för baslinjen måste genomgå ändrings- och versionshanteringsprocessen.
Azure-datacenter
MCIO-teamet (Microsoft Cloud Infrastructure and Operations) hanterar den fysiska infrastrukturen och datacenteranläggningarna för alla Microsoft onlinetjänster. MCIO ansvarar främst för att hantera fysiska kontroller och miljökontroller i datacenter samt hantera och stödja yttre perimeternätverksenheter (till exempel gränsroutrar och datacenterroutrar). MCIO ansvarar också för att konfigurera den lägsta servermaskinvaran på rack i datacentret. Kunder har ingen direkt interaktion med Azure.
Tjänsthanterings- och tjänstteam
Olika teknikgrupper, så kallade serviceteam, hanterar stödet för Azure-tjänsten. Varje tjänstteam ansvarar för ett supportområde för Azure. Varje tjänstteam måste göra en tekniker tillgänglig dygnet innan den kan undersöka och lösa fel i tjänsten. Tjänstteam har som standard inte fysisk åtkomst till maskinvaran som körs i Azure.
Serviceteamen är:
- Plattform för program
- Microsoft Entra ID
- Azure Compute
- Azure Net
- Molntekniktjänster
- ISSD: Säkerhet
- Multifactor Authentication
- SQL Database
- Lagring
Typer av användare
Anställda (eller leverantörer) från Microsoft anses vara interna användare. Alla andra användare anses vara externa användare. Alla interna Azure-användare har sin personalstatus kategoriserad med en känslighetsnivå som definierar deras åtkomst till kunddata (åtkomst eller ingen åtkomst). Användarbehörigheter till Azure (auktoriseringsbehörighet efter autentisering) beskrivs i följande tabell:
Roll | Intern eller extern | Känslighetsnivå | Auktoriserade privilegier och funktioner som utförs | Åtkomsttyp |
---|---|---|---|---|
Tekniker för Azure-datacenter | Internt | Ingen åtkomst till kunddata | Hantera den fysiska säkerheten i lokalerna. Genomför patruller in och ut ur datacentret och övervaka alla startpunkter. Ledsa in och ut från datacentret för viss icke-rensad personal som tillhandahåller allmänna tjänster (till exempel middagar eller städning) eller IT-arbete i datacentret. Utför rutinmässig övervakning och underhåll av nätverksmaskinvara. Utför incidenthantering och break-fix-arbete med hjälp av olika verktyg. Utför rutinmässig övervakning och underhåll av den fysiska maskinvaran i datacenter. Åtkomst till miljön på begäran från fastighetsägare. Kan utföra kriminaltekniska undersökningar, logga incidentrapporter och kräva obligatorisk säkerhetsutbildning och principkrav. Driftägarskap och underhåll av viktiga säkerhetsverktyg, till exempel skannrar och logginsamling. | Beständig åtkomst till miljön. |
Azure-incidenttriage (snabbsvarstekniker) | Internt | Åtkomst till kunddata | Hantera kommunikation mellan MCIO-, support- och teknikteam. Sortera plattformsincidenter, distributionsproblem och tjänstbegäranden. | Just-in-time-åtkomst till miljön, med begränsad beständig åtkomst till icke-kundsystem. |
Azure-distributionstekniker | Internt | Åtkomst till kunddata | Distribuera och uppgradera plattformskomponenter, programvara och schemalagda konfigurationsändringar till stöd för Azure. | Just-in-time-åtkomst till miljön, med begränsad beständig åtkomst till icke-kundsystem. |
Support för Azure-kundstopp (klientorganisation) | Internt | Åtkomst till kunddata | Felsöka och diagnostisera plattformsfel och fel för enskilda beräkningsklientorganisationer och Azure-konton. Analysera fel. Skapa viktiga korrigeringar för plattformen eller kunden och skapa tekniska förbättringar i hela supporten. | Just-in-time-åtkomst till miljön, med begränsad beständig åtkomst till icke-kundsystem. |
Azure Live Site Engineers (övervakningstekniker) och incident | Internt | Åtkomst till kunddata | Diagnostisera och minimera plattformshälsan med hjälp av diagnostikverktyg. Enhetskorrigeringar för volymdrivrutiner, reparationsobjekt till följd av avbrott och åtgärder för återställning av avbrott. | Just-in-time-åtkomst till miljön, med begränsad beständig åtkomst till icke-kundsystem. |
Azure-kunder | Externt | Inte tillgänglig | Saknas | Inte tillgänglig |
Azure använder unika identifierare för att autentisera organisationsanvändare och kunder (eller processer som agerar på uppdrag av organisationsanvändare). Detta gäller för alla tillgångar och enheter som ingår i Azure-miljön.
Intern Azure-autentisering
Kommunikation mellan interna Azure-komponenter skyddas med TLS-kryptering. I de flesta fall är X.509-certifikaten självsignerade. Certifikat med anslutningar som kan nås utanför Azure-nätverket är ett undantag, liksom certifikat för de virtuella datorerna. FCs har certifikat som utfärdats av ett Microsoft Certificate of Authority (CA) som backas upp av en betrodd rotcertifikatutfärdare. Detta gör att fc offentliga nycklar enkelt kan rullas över. Dessutom använder Microsofts utvecklarverktyg offentliga FC-nycklar. När utvecklare skickar nya programbilder krypteras bilderna med en offentlig FC-nyckel för att skydda inbäddade hemligheter.
Autentisering av maskinvaruenheter i Azure
FC har en uppsättning autentiseringsuppgifter (nycklar och/eller lösenord) som används för att autentisera sig till olika maskinvaruenheter under dess kontroll. Microsoft använder ett system för att förhindra åtkomst till dessa autentiseringsuppgifter. Mer specifikt är transport, beständighet och användning av dessa autentiseringsuppgifter utformade för att förhindra azure-utvecklare, administratörer och säkerhetskopieringstjänster och personalåtkomst till känslig, konfidentiell eller privat information.
Microsoft använder kryptering baserat på FC:s offentliga huvudidentitetsnyckel. Detta inträffar vid FC-konfigurations- och FC-omkonfigurationstider för att överföra de autentiseringsuppgifter som används för att komma åt maskinvaruenheter för nätverk. När FC behöver autentiseringsuppgifterna hämtar och dekrypterar FC dem.
Nätverksenheter
Azure-nätverksteamet konfigurerar nätverkstjänstkonton för att göra det möjligt för en Azure-klient att autentisera till nätverksenheter (routrar, växlar och lastbalanserare).
Säker tjänstadministration
Azure-driftpersonal krävs för att använda säkra administrationsarbetsstationer (SAWs). Kunder kan implementera liknande kontroller med hjälp av privilegierade arbetsstationer för åtkomst. Med SAW:er använder administrativ personal ett individuellt tilldelat administrativt konto som är separat från användarens standardanvändarkonto. SAW bygger vidare på den kontoavgränsningspraxisen genom att tillhandahålla en tillförlitlig arbetsstation för dessa känsliga konton.
Nästa steg
Mer information om vad Microsoft gör för att skydda Azure-infrastrukturen finns i:
- Azure-anläggningar, lokal och fysisk säkerhet
- Tillgänglighet för Azure-infrastruktur
- Azure-nätverksarkitektur
- Azure-produktionsnätverk
- Säkerhetsfunktioner i Azure SQL Database
- Azure-produktionsåtgärder och -hantering
- Övervakning av Azure-infrastruktur
- Azure-infrastrukturintegritet
- Azure-kunddataskydd