本文提供 Azure 架構和管理的一般描述。 Azure 系統環境是由下列網路所組成:
- Microsoft Azure 生產網络 (Azure 網络)
- Microsoft公司網路(公司網路)
個別的IT小組負責這些網路的作業和維護。
Azure 架構
Azure 是雲端運算平臺和基礎結構,可透過資料中心網路建置、部署及管理應用程式和服務。 Microsoft管理這些數據中心。 根據您指定的資源數目,Azure 會根據資源需求建立虛擬機(VM)。 這些 VM 會在 Azure Hypervisor 上執行,其設計目的是在雲端中使用,而且無法供公眾存取。
在每個 Azure 實體伺服器節點上,有一個 Hypervisor 會直接在硬體上執行。 虛擬機監控程序會將節點分成可變數量的來賓虛擬機。 每個節點也有一個根 VM,其會執行主機作系統。 每個 VM 上都已啟用 Windows 防火牆。 您可以藉由設定服務定義檔來定義可尋址的埠。 這些埠是唯一可在內部或外部開啟且可尋址的埠。 所有磁碟和網路的流量和存取都會由 Hypervisor 和根作系統所調解。
在主機層,Azure VM 會執行最新 Windows Server 的自定義和強化版本。 Azure 會使用 Windows Server 版本,只包含裝載 VM 所需的元件。 這可改善效能並減少受攻擊面。 機器邊界由 Hypervisor 維持,而不依賴於操作系統的安全性。
由布線控制器進行的 Azure 管理
在 Azure 中,運行在實體伺服器(刀片伺服器/節點)上的 VM 會被分組為大約 1000 部的叢集。 虛擬機器是由擴展和冗餘的平臺軟體元件獨立管理,這些元件稱為網狀架構控制器(FC)。
每個FC都會管理在其叢集中執行的應用程式生命週期,並布建和監視其控制下硬體的健康情況。 它會執行自主作業,例如在判斷伺服器失敗時,在狀況良好的伺服器上重新產生 VM 實例。 FC 也會執行應用程式管理作業,例如部署、更新和擴展應用程式。
數據中心分成叢集。 叢集會在FC層級隔離錯誤,並防止某些類別的錯誤影響發生所在的叢集以外的伺服器。 提供特定 Azure 叢集的FCS會分組為FC叢集。
硬體清查
FC 會在啟動程式設定程式期間準備 Azure 硬體和網路裝置的清查。 任何進入 Azure 生產環境的新硬體和網路元件都必須遵循啟動程式設定程式。 FC 負責管理 datacenter.xml 組態檔中列出的整個庫存。
FC 管理的作業系統鏡像
操作系統小組會以虛擬硬碟的形式提供映像,部署在 Azure 生產環境中的所有主機和客體虛擬機 (VM) 上。 小組會透過自動化的離線建置程式來建構這些基底映像。 基礎映像檔是操作系統的版本,其核心和其他主要元件已經過修改並優化以支援 Azure 環境。
網狀架構管理的作系統映射有三種類型:
- 主機:在主機 VM 上執行的自定義作系統。
- 原生作業系統:在租戶上運行的作業系統(例如 Azure 儲存)。 此操作系統沒有任何虛擬機管理程式。
- 客體:在客體 VM 上執行的客體作業系統。
主機和原生由FC管理的作業系統是專為在雲端中使用而設計的,並且無法公開存取。
主機和原生作業系統
主機和原生是強化的作系統映像,裝載網狀架構代理程式,並在計算節點上執行 (以節點上的第一個 VM 執行)和記憶體節點。 使用主機與本地優化的基礎映像的優點是,它可以減少由 API 或未使用的元件所暴露的表面區域。 這些可能會造成高安全性風險,並增加作業系統的佔用空間。 佔用空間較小的作業系統只包含 Azure 所需的元件。
來賓作業系統
在客體作系統 VM 上執行的 Azure 內部元件沒有機會執行遠端桌面通訊協定。 基準組態設定的任何變更都必須經歷變更和發行管理程式。
Azure 資料中心
Microsoft雲端基礎結構和作業 (MCIO) 小組會管理所有Microsoft在線服務的實體基礎結構和數據中心設施。 MCIO 主要負責管理數據中心內的實體和環境控制,以及管理和支援外部周邊網路裝置(例如邊緣路由器和數據中心路由器)。 MCIO 也會負責在數據中心的機架上設定最低限度的伺服器硬體。 客戶與 Azure 沒有直接互動。
服務管理和服務小組
各種工程群組,稱為服務小組,管理 Azure 服務的支援。 每個服務小組都會負責 Azure 的支持區域。 每個服務小組都必須提供工程師 24x7,才能調查並解決服務中的失敗。 根據預設,服務小組不會實際存取在 Azure 中運作的硬體。
服務小組包括:
- 應用程式平台
- Microsoft Entra 識別碼
- Azure 計算
- Azure 網路
- 雲端工程服務
- ISSD:安全性
- 多重要素驗證
- SQL資料庫
- 存儲
用戶類型
Microsoft的員工(或承包商)被視為內部使用者。 所有其他用戶都會被視為外部使用者。 所有 Azure 內部使用者都有其員工狀態分類,其敏感度層級會定義其對客戶數據的存取權(存取或無存取權)。 下表說明 Azure 的使用者權限(驗證之後的授權權限) :
| 角色 | 內部或外部 | 敏感度層級 | 已執行授權的許可權和功能 | 存取類型 |
|---|---|---|---|---|
| Azure 資料中心工程師 | 內部 | 無法存取客戶數據 | 管理場所的實體安全性。 在數據中心進出進行巡邏,並監視所有進入點。 護送未經核准的人員進出數據中心,他們在數據中心內提供一般服務(例如餐飲或清潔)或IT工作。 進行網路硬體的例行監視和維護。 使用各種工具來管理事故並完成修復工作。 對數據中心內的實體硬體進行例行監視和維護。 可依需求從物業業主處取得環境訪問。 能夠執行鑑識調查、記錄事件報告,並要求進行強制性的安全訓練和遵循政策規範。 重要安全工具的運營擁有權和維護,例如掃描器和日誌收集。 | 持續存取環境。 |
| Azure 事件分級(快速響應工程師) | 內部 | 存取客戶數據 | 管理 MCIO、支援和工程小組之間的通訊。 處理平臺事件、部署問題和服務要求。 | 即時存取環境,並對非客戶系統的持續性存取有限。 |
| Azure 部署工程師 | 內部 | 存取客戶數據 | 部署和升級支援 Azure 的平臺元件、軟體和排程設定變更。 | 即時存取環境,並對非客戶系統的持續性存取有限。 |
| Azure 客戶停機支援(租戶) | 內部 | 存取客戶數據 | 針對個別計算租戶和 Azure 帳戶,偵錯和診斷平台中斷和故障。 分析錯誤。 推動平臺或客戶的重要修正,並推動跨支援的技術改進。 | 即時存取環境,並對非客戶系統的持續性存取有限。 |
| Azure 即時網站運營工程師(監控工程師)和事件管理 | 內部 | 存取客戶數據 | 使用診斷工具來診斷和減輕平臺健康情況。 解決磁碟驅動程式的問題、修復因中斷造成的問題,並協助復原中斷的行動。 | 即時存取環境,並對非客戶系統的持續性存取有限。 |
| Azure 客戶 | 外部 | N/A | N/A | N/A |
Azure 會使用唯一標識碼來驗證組織用戶和客戶(或代表組織用戶行事的程式)。 這適用於屬於 Azure 環境的所有資產和裝置。
Azure 內部驗證
Azure 內部元件之間的通訊會受到 TLS 加密的保護。 在大部分情況下,X.509 憑證都是自我簽署的。 可從 Azure 網路外部存取之聯機的憑證是例外狀況,FCS 的憑證也是例外狀況。 FCs 擁有由 Microsoft 憑證機構頒發,且受信任根 CA 支援的憑證。 這可讓FC公鑰容易變換。 此外,Microsoft開發人員工具會使用FC公鑰。 當開發人員提交新的應用程式映射時,映像會以FC公鑰加密,以保護任何內嵌秘密。
Azure 硬體裝置驗證
FC 會維護一組認證(金鑰和/或密碼),用來向其控制下的各種硬體裝置進行驗證。 Microsoft會使用系統來防止存取這些認證。 具體來說,這些認證的傳輸、持續性和使用是設計來防止 Azure 開發人員、系統管理員和備份服務和人員存取敏感性、機密或私人資訊。
Microsoft會根據FC的主要身分識別公鑰使用加密。 這會在FC設定和FC重新設定時發生,以傳輸用來存取網路硬體裝置的認證。 當FC需要認證時,FC 會擷取並解密它們。
網路裝置
Azure 網路小組會設定網路服務帳戶,讓 Azure 用戶端向網路裝置(路由器、交換器和負載平衡器)進行驗證。
保護服務管理
Azure 作業人員必須使用安全的系統管理工作站(SAW)。 客戶可以使用特殊許可權存取工作站來實作類似的控件。 使用 SAW 時,系統管理人員會使用與使用者標準使用者帳戶分開的個別指派系統管理帳戶。 SAW 是以該帳戶分隔做法為基礎,為這些敏感性帳戶提供值得信任的工作站。
後續步驟
若要深入了解 Microsoft 為協助保護 Azure 基礎結構執行了哪些動作,請參閱: