Azure 公用雲端中的隔離
Azure 可讓您在共用實體基礎結構上執行應用程式和虛擬機(VM)。 在雲端環境中執行應用程式的主要經濟動機之一,就是能夠在多個客戶之間分配共用資源的成本。 這種多租使用者做法可藉由以低成本在不同客戶之間多任務資源來提升效率。 不幸的是,它也會造成共用實體伺服器和其他基礎結構資源的風險,以執行可能屬於任意且潛在惡意使用者的敏感性應用程式和 VM。
本文概述 Azure 如何針對惡意和非惡意使用者提供隔離,並提供各種隔離選項給架構設計人員,作為建構雲端解決方案的指南。
租用戶層級隔離
雲端運算的主要優點之一是同時跨眾多客戶共用的通用基礎結構概念,導致規模經濟。 這個概念稱為多租使用者。 Microsoft 會持續運作,以確保 Microsoft Cloud 的多租用戶架構 Azure 支援 安全性、機密性、隱私權、完整性和可用性標準。
在啟用雲端的工作場所中,租使用者可以定義為擁有和管理該雲端服務特定實例的用戶端或組織。 透過 Microsoft Azure 所提供的身分識別平臺,租使用者只是組織註冊 Microsoft 雲端服務時所接收並擁有的 Microsoft Entra 標識元專用實例。
每個 Microsoft Entra 目錄都是不同的,而且與其他 Microsoft Entra 目錄不同。 就像公司辦公大樓是僅限貴組織專屬的安全資產一樣,Microsoft Entra 目錄也設計成只有貴組織使用的安全資產。 Microsoft Entra 架構會將客戶數據和身分識別資訊與共同整合隔離。 這表示一個 Microsoft Entra 目錄的使用者和系統管理員無法意外或惡意存取另一個目錄中的數據。
Azure 租用
Azure 租用(Azure 訂用帳戶)是指 Microsoft Entra 標識碼中的「客戶/計費」關聯性和唯一租使用者。 Microsoft Azure 中的租用戶層級隔離是使用 Microsoft Entra ID 和 其所提供的 Azure 角色型訪問控制 來達成。 每個 Azure 訂用帳戶都會與一個 Microsoft Entra 目錄相關聯。
來自該目錄的使用者、群組和應用程式可以管理 Azure 訂用帳戶中的資源。 您可以使用 Azure 入口網站、Azure 命令行工具和 Azure 管理 API 來指派這些訪問許可權。 Microsoft Entra 租使用者會使用安全性界限以邏輯方式隔離,因此客戶無法惡意或意外存取或入侵共同租使用者。 Microsoft Entra ID 會在隔離的網路區段上隔離的「裸機」伺服器上執行,其中主機層級封包篩選和 Windows 防火牆會封鎖不必要的連線和流量。
存取 Microsoft Entra 識別子中的數據需要透過安全性令牌服務 (STS) 進行用戶驗證。 授權系統會使用使用者是否存在、啟用狀態和角色的資訊,來判斷此會話中是否授權此使用者存取目標租使用者的要求。
租使用者是離散容器,而且這些容器之間沒有關聯性。
除非租用戶系統管理員透過同盟或從其他租使用者布建用戶帳戶授與租用戶,否則不會跨租使用者存取。
對組成 Microsoft Entra 服務的伺服器進行實體存取,以及直接存取 Microsoft Entra ID 的後端系統,會受到限制。
Microsoft Entra 用戶無法存取實體資產或位置,因此無法略過下列所述的邏輯 Azure RBAC 原則檢查。
針對診斷和維護需求,需要採用 Just-In-Time 許可權提升系統的作業模型並加以使用。 Microsoft Entra Privileged Identity Management (PIM) 引進合格系統管理員的概念。 合格的系統管理員 應該是現在和之後需要特殊許可權存取的使用者,而不是每天。 在使用者需要存取之前,角色會處於非作用中狀態,然後他們完成啟用程式,並成為預先決定時間量的主動管理員。
Microsoft Entra ID 會將每個租用戶裝載在其專屬受保護容器中,並具有租使用者完全擁有和管理容器的原則和許可權。
租使用者容器的概念深深植根於所有層級的目錄服務,從入口網站到永續性記憶體。
即使來自多個 Microsoft Entra 租使用者的元數據儲存在相同的實體磁碟上,除了目錄服務所定義的容器之外,容器之間也沒有關聯性,而目錄服務則會由租用戶系統管理員決定。
Azure 角色型存取控制 (Azure RBAC)
Azure 角色型訪問控制 (Azure RBAC) 可藉由為 Azure 提供更細緻的存取管理,協助您共用 Azure 訂用帳戶內可用的各種元件。 Azure RBAC 可讓您隔離組織內的職責,並根據使用者執行其工作所需的許可權來授與存取權。 您可以只允許特定動作,而不是在 Azure 訂用帳戶或資源中授與每個人不受限制的許可權。
Azure RBAC 有三個適用於所有資源類型的基本角色:
擁有者 具有所有資源的完整存取權,包括將存取權委派給其他人的許可權。
參與者 可以建立和管理所有類型的 Azure 資源,但無法授與其他資源的存取權。
讀者 可以檢視現有的 Azure 資源。
Azure 中的其餘 Azure 角色允許管理特定的 Azure 資源。 例如,虛擬機器參與者角色可讓使用者建立和管理虛擬機器。 它不會讓他們存取 Azure 虛擬網絡 或虛擬機所連線的子網。
Azure 內建角色 會列出 Azure 中可用的角色。 它會指定每個內建角色授與給用戶的作業和範圍。 如果您想要定義自己的角色以取得更多控制權,請參閱如何在 Azure RBAC 中建置自定義角色。
Microsoft Entra ID 的其他一些功能包括:
不論其裝載位置為何,Microsoft Entra ID 都會啟用 SSO 至 SaaS 應用程式。 某些應用程式會與 Microsoft Entra ID 同盟,而其他應用程式則使用密碼 SSO。 同盟應用程式也可以支援使用者布建和 密碼保存庫。
Azure 儲存體 中的數據存取權是透過驗證來控制。 每個記憶體帳戶都有主要密鑰(記憶體帳戶金鑰或 SAK)和次要秘密密鑰(共用存取簽章或 SAS)。
Microsoft Entra ID 透過同盟提供身分識別即服務,方法是搭配內部部署目錄使用 Active Directory 同盟服務、同步處理和複寫。
Microsoft Entra 多重要素驗證 需要使用者使用行動應用程式、電話或簡訊來驗證登入。 它可與 Microsoft Entra ID 搭配使用,以協助使用 Multi-Factor Authentication Server 保護內部部署資源,以及使用 SDK 的自定義應用程式和目錄。
Microsoft Entra Domain Services 可讓您將 Azure 虛擬機加入 Active Directory 網域,而不需部署域控制器。 您可以使用公司 Active Directory 認證登入這些虛擬機,並使用組策略在所有 Azure 虛擬機上強制執行安全性基準,來管理已加入網域的虛擬機。
Azure Active Directory B2C 為面向取用者的應用程式提供高可用性的全域身分識別管理服務,可調整為數億個身分識別。 它可以跨行動和 Web 平臺整合。 您的取用者可以使用現有的社交帳戶或建立認證,透過可自定義的體驗登入所有應用程式。
與 Microsoft 管理員 istrators 和數據刪除隔離
Microsoft 採取有力措施,保護您的數據不受未經授權的人員不當存取或使用。 這些作業程式和控件是由 在線服務條款所支援,其提供控管您數據存取權的合約承諾。
- Microsoft 工程師無法預設存取雲端中的數據。 而是只有在必要時,才會在有管理監督的情況下授與他們權限。 該存取權會經過仔細控制和記錄,並在不再需要時予以撤銷。
- Microsoft 可能會雇用其他公司代表其提供有限的服務。 轉包商只能存取客戶數據,以提供服務,我們已僱用他們提供服務,並禁止他們將其用於任何其他用途。 此外,其合約系結以維護客戶資訊的機密性。
具有 ISO/IEC 27001 等已稽核認證的商務服務會定期由 Microsoft 和認可的稽核公司驗證,這些公司會執行範例稽核來證明該存取權,但僅供合法商務之用。 您隨時都可以存取自己的客戶數據,並基於任何原因。
如果您刪除任何數據,Microsoft Azure 會刪除數據,包括任何快取或備份複本。 針對範圍內服務,刪除作業會在保留期間結束后的90天內進行。 (範圍內服務定義於我們的 數據處理條款一節中在線服務條款。
如果用於儲存設備的磁碟驅動器發生硬體故障,在 Microsoft 將磁碟驅動器送回製造商進行更換或修復之前,會先安全地 清除或終結 磁碟驅動器。 磁碟驅動器上的數據會遭到覆寫,以確保無法以任何方式復原數據。
計算隔離
Microsoft Azure 提供各種雲端式運算服務,其中包含各種計算實例和服務,可自動相應增加和減少,以符合應用程式或企業的需求。 這些計算實例和服務可在多個層級提供隔離,以保護數據,而不會犧牲客戶所需的設定彈性。
隔離的虛擬機大小
Azure 計算服務所提供的虛擬機器大小不受特定硬體類型限制,而且為單一客戶專用。 隔離大小會在特定硬體世代上存在及運作,並在硬體世代淘汰或推出新硬體世代時被取代。
隔離式虛擬機器大小最適合需要與其他客戶工作負載高度隔離的工作負載。 這有時需要達到合規性和法規需求。 使用隔離大小可確保只有您的虛擬機器會在該特定伺服器執行個體上執行。
此外,當隔離 VM 很大時,客戶可以選擇使用巢狀虛擬機器的 Azure 支援,來細分這些 VM 的資源。
目前的隔離虛擬機器供應項目包括:
- Standard_E80ids_v4
- Standard_E80is_v4
- Standard_E104i_v5
- Standard_E104is_v5
- Standard_E104id_v5
- Standard_E104ids_v5
- Standard_M192is_v2
- Standard_M192ims_v2
- Standard_M192ids_v2
- Standard_M192idms_v2
- Standard_F72s_v2
- 標準 M128ms
注意
由於硬體淘汰,隔離的 VM 大小的生命週期有限。
淘汰隔離 VM 大小
隔離的 VM 大小使用期限因硬體而異。 Azure 會在大小正式淘汰日期前 12 個月發出提醒,並提供更新的隔離供應項目供您參考。 下列大小已宣佈淘汰。
| 大小 | 隔離淘汰日期 |
|---|---|
| 標準 DS15_v2 | 2021 年 5 月 15 日 |
| Standard_D15_v2 | 2021 年 5 月 15 日 |
| Standard_G5 | 2022 年 2 月 15 日 |
| Standard_GS5 | 2022 年 2 月 15 日 |
| Standard_E64i_v3 | 2022 年 2 月 15 日 |
| 標準 E64is_v3 | 2022 年 2 月 15 日 |
| Standard_M192is_v2 | 2027 年 3 月 31 日 |
| Standard_M192ims_v2 | 2027 年 3 月 31 日 |
| Standard_M192ids_v2 | 2027 年 3 月 31 日 |
| Standard_M192idms_v2 | 2027 年 3 月 31 日 |
常見問題集
問:大小即將淘汰,還是只有其「隔離」功能?
答:任何發佈為隔離但名稱中沒有「i」的 VM 大小,除非另有說明,否則 VM 大小的隔離功能將會淘汰。 名稱中有「i」的 VM 大小會被取代。
問:我的 VM 進入非隔離硬體時,是否會停機?
答:就 VM 大小而言,只有隔離即將被淘汰 (大小則不受影響),因此不需要採取任何動作,且不會造成停機。 反之,如果需要隔離,公告會包含建議的取代大小。 選取取代大小會要求客戶調整其 VM 大小。
問:移至非隔離虛擬機器是否有任何成本差異?
答:不會
問:其他隔離大小何時淘汰?
答:我們會在隔離大小正式淘汰前 12 個月發出提醒。 我們最新的公告包括 Standard_G5、Standard_GS5、Standard_E64i_v3 和 Standard_E64i_v3 的隔離功能淘汰。
問:我是 Azure Service Fabric 客戶,依賴銀級或金級持久性服務層級。 此變更是否會對我造成影響?
A: 不可以。 即使發生此變更,Service Fabric 持久性服務層級提供的保證仍會持續發揮作用。 如果您基於其他原因需要實體硬體隔離,則可能仍需要採取上述其中一項動作。
問:D15_v2 或 DS15_v2 隔離淘汰的里程碑為何?
答:
| Date | 動作 |
|---|---|
| 2020 年 5 月 15 日1 | D/DS15_v2 隔離淘汰公告 |
| 2021 年 5 月 15 日 | D/DS15_v2 隔離保證已移除 |
1 使用這些大小的現有客戶會收到電子郵件公告,其中包含後續步驟的詳細指示。
問:G5、Gs5、E64i_v3 和 E64is_v3 隔離淘汰的里程碑為何?
答:
| Date | 動作 |
|---|---|
| 2021 年 2 月 15 日1 | G5/GS5/E64i_v3/E64is_v3 隔離淘汰公告 |
| 2022 年 2 月 28 日 | G5/GS5/E64i_v3/E64is_v3 隔離保證已移除 |
1 使用這些大小的現有客戶會收到電子郵件公告,其中包含後續步驟的詳細指示。
下一步
客戶也可以選擇使用 Azure 的巢狀虛擬機器支援,進一步細分這些隔離虛擬機器的資源。
專用主機
除了上一節所述的隔離主機之外,Azure 也提供專用主機。 Azure 中的專用主機是一項服務,可提供可裝載一或多個虛擬機的實體伺服器,以及專用於單一 Azure 訂用帳戶的服務。 專用主機會在實體伺服器層級提供硬體隔離。 主機上不會放置任何其他 VM。 專用主機會部署在相同的數據中心,並共用與其他非隔離主機相同的網路和基礎記憶體基礎結構。 如需詳細資訊,請參閱 Azure 專用主機的詳細概觀。
根 VM 和客體 VM 之間的 Hyper-V 和根 OS 隔離
Azure 的計算平臺是以機器虛擬化為基礎,這表示所有客戶程式代碼都會在 Hyper-V 虛擬機中執行。 在每個 Azure 節點(或網路端點)上,有一個 Hypervisor 會直接透過硬體執行,並將節點分割成可變數目的客體 虛擬機器(VM)。
每個節點也會有一部特殊的根 VM,其會執行主機 OS。 關鍵界限是從客體 VM 與客體 VM 隔離,以及由 Hypervisor 和根 OS 管理的客體 VM。 Hypervisor/根 OS 配對利用 Microsoft 數十年的操作系統安全性體驗,以及 Microsoft Hyper-V 的最新學習,以提供客體 VM 的強隔離。
Azure 平臺會使用虛擬化環境。 用戶實例會以無法存取實體主機伺服器的獨立虛擬機的形式運作。
Azure Hypervisor 的作用就像微核心,並使用稱為 VM 總線的共用記憶體介面,將所有硬體存取要求從客體虛擬機傳遞至主機進行處理。 這可防止使用者取得系統的原始讀取/寫入/執行存取權,並降低共用系統資源的風險。
進階 VM 放置演算法和來自側邊通道攻擊的保護
任何跨 VM 攻擊都牽涉到兩個步驟:將敵人控制的 VM 放在與其中一個受害者 VM 相同的主機上,然後違反隔離界限來竊取敏感性受害者資訊,或影響其貪婪或破壞效能。 Microsoft Azure 藉由使用進階 VM 放置演算法和來自所有已知端通道攻擊的保護,包括嘈雜的鄰近 VM,在兩個步驟中提供保護。
Azure 網狀架構控制器
Azure Fabric 控制器負責將基礎結構資源配置給租使用者工作負載,並管理從主機到虛擬機的單向通訊。 Azure 網狀架構控制器的 VM 放置演算法非常複雜,幾乎無法預測為實體主機層級。
Azure Hypervisor 會強制執行虛擬機之間的記憶體和進程分隔,並安全地將網路流量路由傳送至客體 OS 租使用者。 這可消除 VM 層級和側路攻擊的可能性。
在 Azure 中,根 VM 是特殊的:它會執行稱為裝載網狀架構代理程式之根 OS 的強化操作系統(FA)。 FA 會反過來用來管理客戶 VM 上客體作業系統內的客體代理程式 (GA)。 FA也會管理記憶體節點。
Azure Hypervisor、根 OS/FA 和客戶 VM/CA 的集合包含計算節點。 FA 是由網狀架構控制器 (FC) 管理,其存在於計算和記憶體節點之外(計算和記憶體叢集是由個別 FCS 管理)。 如果客戶在執行時更新其應用程式的組態檔,FC 會與FA通訊,然後連絡CA,以通知應用程式設定變更。 發生硬體故障時,FC 會自動尋找可用的硬體,並在該處重新啟動 VM。
從網狀架構控制器到代理程式的通訊是單向的。 代理程式會實作 SSL 保護的服務,只回應來自控制器的要求。 它無法起始與控制器或其他特殊許可權內部節點的連線。 FC 會將所有回應視為不受信任。
隔離會從客體 VM 從根 VM 延伸,以及彼此的客體 VM。 計算節點也會與記憶體節點隔離,以提高保護。
Hypervisor 和主機 OS 會提供網路封包 - 篩選器,以協助確保未受信任的虛擬機無法產生詐騙流量或接收未尋址的流量、將流量導向受保護的基礎結構端點,或傳送/接收不適當的廣播流量。
由網狀架構控制器代理程式設定為隔離 VM 的其他規則
根據預設,建立虛擬機時會封鎖所有流量,然後網狀架構控制器代理程式會設定封包篩選器來新增規則和例外狀況,以允許授權的流量。
程式設計的規則有兩種類別:
- 機器設定或基礎結構規則: 根據預設,所有通訊都會遭到封鎖。 有例外狀況可讓虛擬機傳送和接收 DHCP 和 DNS 流量。 虛擬機也可以將流量傳送至「公用」因特網,並將流量傳送至相同 Azure 虛擬網絡 和 OS 啟用伺服器內的其他虛擬機。 虛擬機允許的傳出目的地清單不包含 Azure 路由器子網、Azure 管理和其他 Microsoft 屬性。
- 角色組態檔:這會根據租用戶的服務模型定義輸入 存取控制 清單 (ACL)。
VLAN 隔離
每個叢集中都有三個 VLAN:
- 主要 VLAN – 互連不受信任的客戶節點
- FC VLAN – 包含受信任的 FC 和支持系統
- 裝置 VLAN – 包含受信任的網路和其他基礎結構裝置
允許從FC VLAN 到主要 VLAN 的通訊,但無法從主要 VLAN 起始到 FC VLAN。 通訊也會從主要 VLAN 封鎖到裝置 VLAN。 這可確保即使執行客戶程式代碼的節點遭到入侵,也無法攻擊FC或裝置VLAN上的節點。
儲存體隔離
計算與 儲存體 之間的邏輯隔離
作為其基本設計的一部分,Microsoft Azure 會將 VM 型計算與記憶體分開。 此區隔可讓計算和記憶體獨立調整,讓您更輕鬆地提供多租用戶和隔離。
因此,除了邏輯上之外,Azure 儲存體 在不同的硬體上執行,且沒有與 Azure Compute 的網路連線。 這表示建立虛擬磁碟時,不會為其整個容量配置磁碟空間。 相反地,系統會建立數據表,將虛擬磁碟上的位址對應至實體磁碟上的區域,而該數據表一開始是空的。 客戶第一次在虛擬磁碟上寫入數據時,會配置實體磁碟上的空間,以及放置於數據表中的指標。
使用訪問控制 儲存體 隔離
Azure 儲存體中的 存取控制 具有簡單的存取控制模型。 每個 Azure 訂用帳戶都可以建立一或多個 儲存體 帳戶。 每個 儲存體 帳戶都有單一秘密密鑰,用來控制該 儲存體 帳戶中所有數據的存取權。
Azure 儲存體 數據的存取權(包括數據表)可以透過SAS(共用存取簽章)令牌來控制,以授與範圍存取權。 SAS 是透過使用 SAK 簽署的查詢範本 (URL) 建立的(儲存體 帳戶密鑰)。 該 已簽署的 URL 可以提供給另一個進程(也就是委派),然後填入查詢的詳細數據,並提出記憶體服務的要求。 SAS 可讓您授與以時間為基礎的用戶端存取權,而不會顯示記憶體帳戶的秘密密鑰。
SAS 表示我們可以將有限的許可權授與用戶端、在記憶體帳戶中的物件指定一段時間,以及具有一組指定的許可權。 我們可以授與這些有限的許可權,而不需要共用您的帳戶存取密鑰。
IP 層級 儲存體 隔離
您可以建立防火牆,併為受信任的用戶端定義IP位址範圍。 使用IP位址範圍時,只有具有定義範圍內IP位址的用戶端才能連線到 Azure 儲存體。
IP 記憶體數據可透過用來配置專用或專用流量通道的網路機制來保護未經授權的使用者。
加密
Azure 提供下列加密類型來保護資料:
- 傳輸中加密
- 待用加密
傳輸中加密
傳輸中的加密是透過網路傳輸數據時保護數據的機制。 透過 Azure 儲存體,您可以使用:
- 傳輸層級加密,例如當您將數據傳入或移出 Azure 儲存體 時,HTTPS。
- 網路加密,例如 Azure 檔案共用的 SMB 3.0 加密。
- 用戶端加密,在數據傳輸至記憶體之前加密數據,並在數據傳輸出記憶體之後解密數據。
待用加密
對於許多組織而言, 待 用數據加密是數據隱私權、合規性和數據主權的必要步驟。 有三個 Azure 功能可提供「待用」數據的加密:
- 儲存體 服務加密可讓您要求記憶體服務在將數據寫入 Azure 儲存體 時自動加密數據。
- 用戶端加密 也提供待用加密的功能。
- 適用於Linux VM的 Azure 磁碟加密,以及適用於 Windows VM 的 Azure 磁碟加密。
如需詳細資訊,請參閱 受控磁碟加密選項概觀。
Azure 磁碟加密
適用於Linux VM和 Windows VM Azure 磁碟加密 的 Azure 磁碟加密,可透過您在 Azure 金鑰保存庫 中控制的密鑰和原則,來加密 VM 磁碟(包括開機和數據磁碟),以協助您解決組織安全性和合規性需求。
Windows 的磁碟加密解決方案是以 Microsoft BitLocker 磁碟驅動器加密為基礎,而 Linux 解決方案是以 dm-crypt 為基礎。
解決方案支援在 Microsoft Azure 中啟用 IaaS VM 時的下列案例:
- 與 Azure 金鑰保存庫 整合
- 標準層 VM:A、D、DS、G、GS 等系列 IaaS VM
- 在 Windows 和 Linux IaaS VM 上啟用加密
- 在 Windows IaaS VM 的 OS 和數據磁碟驅動器上停用加密
- 在 Linux IaaS VM 的數據磁碟驅動器上停用加密
- 在執行 Windows 用戶端 OS 的 IaaS VM 上啟用加密
- 在具有掛接路徑的磁碟區上啟用加密
- 使用 mdadm 在以磁碟等量分割設定的 Linux VM 上啟用加密
- 針對數據磁碟使用 LVM(邏輯磁碟區管理員) 在 Linux VM 上啟用加密
- 在使用儲存空間設定的 Windows VM 上啟用加密
- 支援所有 Azure 公用區域
解決方案不支援版本中的下列案例、功能和技術:
- 基本層 IaaS VM
- 在 Linux IaaS VM 的 OS 磁碟驅動器上停用加密
- 使用傳統 VM 建立方法所建立的 IaaS VM
- 與內部部署 金鑰管理服務整合
- Azure 檔案儲存體 (共用文件系統)、網路文件系統 (NFS)、動態磁碟區和以軟體為基礎的RAID系統設定的 Windows VM
SQL 資料庫 隔離
SQL 資料庫 是以領先市場的 Microsoft SQL Server 引擎為基礎,且能夠處理任務關鍵性工作負載,在 Microsoft 雲端中是關係資料庫服務。 SQL 資料庫 提供帳戶層級、地理位置/區域及以網路為基礎的可預測數據隔離,全都採用接近零的管理。
SQL 資料庫 應用程式模型
Microsoft SQL 資料庫 是以 SQL Server 技術為基礎的雲端式關係資料庫服務。 它提供由 Microsoft 在雲端中裝載的高可用性、可調整、多租使用者資料庫服務。
從應用程式的觀點來看,SQL 資料庫 提供下列階層:每個層級都有以下層級的一對多內含專案。
帳戶和訂用帳戶是 Microsoft Azure 平臺概念,可建立計費和管理的關聯。
邏輯 SQL 伺服器和資料庫是 SQL 資料庫 特定概念,並使用 SQL 資料庫、提供的 OData 和 TSQL 介面或透過 Azure 入口網站 來管理。
SQL 資料庫 中的伺服器不是實體或 VM 實例,而是「資料庫集合、共用管理和安全策略」,這些原則會儲存在所謂的「邏輯 master」資料庫中。
邏輯主資料庫包括:
- 用來連線到伺服器的 SQL 登入
- 防火牆規則
來自相同伺服器之資料庫的計費和使用量相關信息不保證位於叢集中的相同實體實例上,而是應用程式在連線時必須提供目標資料庫名稱。
從客戶的觀點來看,伺服器會在異地圖形化區域中建立,而伺服器的實際建立則發生在區域中的其中一個叢集中。
透過網路拓撲隔離
建立伺服器並註冊其 DNS 名稱時,DNS 名稱會指向位於伺服器所在特定數據中心的所謂的「閘道 VIP」位址。
在 VIP(虛擬 IP 位址)後面,我們有無狀態閘道服務的集合。 一般而言,當多個數據源(master 資料庫、用戶資料庫等)之間需要協調時,閘道就會參與其中。 閘道服務會實作下列專案:
- TDS 連線 Proxy。 這包括在後端叢集中尋找使用者資料庫、實作登入順序,然後將 TDS 封包轉送至後端和返回。
- 資料庫管理。 這包括實作工作流程集合來執行 CREATE/ALTER/DROP 資料庫作業。 您可以透過探查 TDS 封包或明確 OData API 來叫用資料庫作業。
- CREATE/ALTER/DROP login/user operations
- 透過 OData API 的伺服器管理作業
閘道後面的層稱為「後端」。 這是所有數據以高可用性方式儲存的位置。 每個數據片段都據說屬於「分割區」或「故障轉移單位」,每一個都有至少三個複本。 複本會由 SQL Server 引擎儲存和複寫,並由故障轉移系統管理,通常稱為「網狀架構」。
一般而言,後端系統不會將輸出傳送給其他系統作為安全性預防措施。 這會保留給前端 (網關) 層中的系統。 閘道層機器在後端電腦上具有有限的許可權,可將受攻擊面降至最低,作為深度防禦機制。
依計算機函式和存取進行隔離
SQL 資料庫 是由在不同機器函式上執行的服務所組成。 SQL 資料庫 分為「後端」雲端資料庫和「前端」(網關/管理)環境,而流量的一般原則只會進入後端,而不是進入後端。前端環境可以與其他服務的外部世界通訊,一般而言,後端只有有限的許可權(足以呼叫它需要叫用的進入點)。
網路隔離
Azure 部署具有多層的網路隔離。 下圖顯示 Azure 提供給客戶的各種網路隔離層級。 這些層在 Azure 平臺本身和客戶定義功能中都是原生的。 從因特網輸入,Azure DDoS 會針對對 Azure 進行大規模攻擊提供隔離。 下一層隔離是客戶定義的公用IP位址(端點),用來判斷哪些流量可以透過雲端服務傳遞至虛擬網路。 原生 Azure 虛擬網路隔離可確保與所有其他網路完全隔離,且流量只會流經使用者設定的路徑和方法。 這些路徑和方法是下一層,其中 NSG、UDR 和網路虛擬設備可用來建立隔離界限來保護受保護網路中的應用程式部署。
流量隔離:虛擬網路是 Azure 平臺上的流量隔離界限。 一個虛擬網路中的虛擬機(VM)無法直接與不同虛擬網路中的 VM 通訊,即使這兩個虛擬網路都是由同一個客戶所建立。 隔離是一個重要屬性,可確保客戶 VM 和通訊在虛擬網路內保持私密性。
子網 會根據IP範圍,在虛擬網路中提供額外的隔離層。 虛擬網路中的IP位址,您可以將虛擬網路分割成多個子網,以用於組織和安全性。 部署至 VNet 內子網的 VM 和 PaaS 角色實例可以彼此通訊,而不需要任何額外的設定。 您也可以 根據 NSG 存取控制清單 (ACL) 中所設定的規則,設定網路安全組 (NSG) 允許或拒絕對 VM 實例的網路流量。 NSG 可與子網路或該子網路內的個別 VM 執行個體相關聯。 當 NSG 與子網路相關聯時,ACL 規則會套用到該子網路中的所有 VM 執行個體。
後續步驟
瞭解 Windows Azure 中機器的網路隔離選項 虛擬網絡。 這包括傳統前端和後端案例,其中特定後端網路或子網中的計算機只能允許特定用戶端或其他計算機根據IP位址允許清單連線到特定端點。
瞭解 Azure 中的虛擬機隔離。 Azure Compute 提供與特定硬體類型隔離且專用於單一客戶的虛擬機大小。