Sdílet prostřednictvím


Oprávnění a zabezpečení v nástroji Azure Chaos Studio

Azure Chaos Studio umožňuje zlepšit odolnost služeb tím, že systematicky vloží chyby do prostředků Azure. Injektáž chyb je účinný způsob, jak zlepšit odolnost služeb, ale může být také nebezpečná. Příčinou selhání ve vaší aplikaci může být větší dopad než původně zamýšlený a otevřené příležitosti pro škodlivé aktéry k infiltrování vašich aplikací.

Chaos Studio má robustní model oprávnění, který brání neúmyslnému spuštění chyb nebo špatným aktérem. V tomto článku se dozvíte, jak zabezpečit prostředky cílené na injektáž chyb pomocí nástroje Chaos Studio.

Jak můžu omezit schopnost vkládat chyby pomocí nástroje Chaos Studio?

Chaos Studio má tři úrovně zabezpečení, které vám pomůžou řídit, jak a kdy může dojít k injektáži chyb u prostředku:

  • Za prvé, chaos experiment je prostředek Azure, který je nasazený do oblasti, skupiny prostředků a předplatného. Uživatelé musí mít příslušná oprávnění Azure Resource Manageru k vytvoření, aktualizaci, spuštění, zrušení, odstranění nebo zobrazení experimentu.

    Každé oprávnění je operace Resource Manageru, která může být podrobně přiřazena k identitě nebo přiřazena jako součást role s oprávněními se zástupnými cardy. Například role Přispěvatel v Azure má */write oprávnění v přiřazeném oboru, který zahrnuje Microsoft.Chaos/experiments/write oprávnění.

    Když se pokusíte řídit schopnost vkládat chyby do prostředku, je nejdůležitější operací omezit Microsoft.Chaos/experiments/start/action. Tato operace spustí experiment chaosu, který vloží chyby.

  • Za druhé, experiment chaosu má spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem, která provádí chyby na prostředku. Pokud se rozhodnete pro experiment použít spravovanou identitu přiřazenou systémem, vytvoří se identita v době vytvoření experimentu ve vašem tenantovi Microsoft Entra. Spravované identity přiřazené uživatelem je možné použít v jakémkoli počtu experimentů.

    V rámci experimentu s chaosem můžete povolit vlastní přiřazení role u výběru spravované identity přiřazené systémem nebo přiřazené uživatelem. Povolení této funkce umožňuje aplikaci Chaos Studio vytvořit a přiřadit vlastní roli obsahující všechny nezbytné možnosti akce experimentu identitě experimentu (které ještě ve výběru identity neexistují). Pokud experiment chaosu používá spravovanou identitu přiřazenou uživatelem, všechny vlastní role přiřazené k identitě experimentu nástrojem Chaos Studio se po odstranění experimentu zachovají.

    Pokud se rozhodnete udělit oprávnění experimentu ručně, musíte jeho identitě udělit příslušná oprávnění pro všechny cílové prostředky. Pokud identita experimentu nemá odpovídající oprávnění k prostředku, nemůže s tímto prostředkem provést chybu.

  • Za třetí musí být každý prostředek nasazený do Chaos Studia jako cíl s povolenými odpovídajícími možnostmi. Pokud cíl nebo schopnost spuštěné chyby neexistuje, experiment selže bez ovlivnění prostředku.

Spravovaná identita přiřazená uživatelem

Experiment chaosu může využít spravovanou identitu přiřazenou uživatelem k získání dostatečných oprávnění k vložení chyb do cílových prostředků experimentu. Kromě toho se spravované identity přiřazené uživatelem můžou používat napříč libovolným počtem experimentů v aplikaci Chaos Studio. Pokud chcete tuto funkci využít, musíte:

  • Nejprve vytvořte spravovanou identitu přiřazenou uživatelem ve službě Spravované identity . V tuto chvíli můžete přiřadit spravovanou identitu přiřazenou uživatelem požadovaná oprávnění ke spouštění experimentů chaosu.
  • Za druhé při vytváření experimentu chaosu vyberte spravovanou identitu přiřazenou uživatelem z vašeho předplatného. V tomto kroku můžete povolit vlastní přiřazení role. Povolení této funkce by vaší identitě udělilo všechna požadovaná oprávnění, která může potřebovat na základě chyb obsažených v experimentu.
  • Za třetí, po přidání všech chyb do experimentu chaosu zkontrolujte, jestli konfigurace vaší identity obsahuje všechny nezbytné akce pro úspěšné spuštění experimentu chaosu. Pokud tomu tak není, požádejte správce systému o přístup nebo upravte výběry chyb experimentu.

Ověřování agenta

Při spouštění chyb založených na agentech je nutné nainstalovat agenta Chaos Studio na virtuální počítač nebo škálovací sadu virtuálních počítačů. Agent používá spravovanou identitu přiřazenou uživatelem k ověření ve službě Chaos Studio a profilu agenta k navázání vztahu ke konkrétnímu prostředku virtuálního počítače.

Když nasadíte virtuální počítač nebo škálovací sadu virtuálních počítačů pro chyby založené na agentech, nejprve vytvoříte cíl agenta. Cíl agenta musí mít odkaz na spravovanou identitu přiřazenou uživatelem, která se používá k ověřování. Cíl agenta obsahuje ID profilu agenta, které se poskytuje jako konfigurace při instalaci agenta. Profily agentů jsou jedinečné pro každý cíl a cíle jsou jedinečné pro jednotlivé prostředky.

Operace a role Azure Resource Manageru

Chaos Studio má následující operace:

Operation Popis
Microsoft.Chaos/targets/[Číst,Zapisovat,Odstranit] Získejte, vytvořte, aktualizujte nebo odstraňte cíl.
Microsoft.Chaos/targets/capabilities/[Read,Write,Delete] Získejte, vytvořte, aktualizujte nebo odstraňte funkci.
Microsoft.Chaos/locations/targetTypes/Read Získejte všechny cílové typy.
Microsoft.Chaos/locations/targetTypes/capabilityTypes/Read Získejte všechny typy schopností.
Microsoft.Chaos/experiments/[Číst,Zapisovat,Odstranit] Získejte, vytvořte, aktualizujte nebo odstraňte experiment chaosu.
Microsoft.Chaos/experiments/start/action Spusťte experiment chaosu.
Microsoft.Chaos/experiments/cancel/action Zastavte experiment chaosu.
Microsoft.Chaos/experiments/executions/Read Získejte stav spuštění pro spuštění experimentu chaosu.
Microsoft.Chaos/experiments/executions/getExecutionDetails/action Získejte podrobnosti o spuštění (stav a chyby jednotlivých akcí) pro spuštění experimentu chaosu.

Pokud chcete tato oprávnění přiřadit podrobněji, můžete vytvořit vlastní roli.

Zabezpečení sítě

Všechny interakce uživatelů s Chaos Studio probíhají prostřednictvím Azure Resource Manageru. Pokud uživatel spustí experiment, může experiment v závislosti na chybě pracovat s jinými koncovými body než s Resource Managerem:

  • Chyby přímé služby: Většina chyb přímých služeb se provádí prostřednictvím Azure Resource Manageru a nevyžadují žádné povolené koncové body sítě.
  • Chyby AKS Chaos Mesh s přímým přístupem služby: Chyby přímé služby pro službu Azure Kubernetes Service, které používají Službu Chaos Mesh, vyžadují přístup k serveru rozhraní KUBERNEtes API clusteru AKS. Několik metod přidání potřebných IP adres je součástí autorizace IP adres aplikace Chaos Studio pro cluster AKS.
  • Chyby založené na agentech: K používání chyb založených na agentech potřebuje agent přístup ke službě agenta Chaos Studio. Virtuální počítač nebo škálovací sada virtuálních počítačů musí mít odchozí přístup ke koncovému bodu služby agenta, aby se agent mohl úspěšně připojit. Koncový bod služby agenta je https://acs-prod-<region>.chaosagent.trafficmanager.net. Zástupný symbol musíte nahradit <region> oblastí, ve které je virtuální počítač nasazený. Příkladem je https://acs-prod-eastus.chaosagent.trafficmanager.net virtuální počítač v oblasti USA – východ.
  • Privátní sítě založené na agentech: Agent Chaos Studio teď podporuje privátní sítě. Další informace najdete v tématu Privátní sítě pro agenta chaosu.

Značky služeb

Značka služby je skupina předpon IP adres, které je možné přiřadit příchozím a odchozím pravidlům pro skupiny zabezpečení sítě. Automaticky zpracovává aktualizace skupiny předpon IP adres bez zásahu. Vzhledem k tomu, že značky služeb primárně umožňují filtrování IP adres, samotné značky služeb nestačí k zabezpečení provozu.

Značky služeb můžete použít k explicitní povolení příchozího provozu z Chaos Studia, aniž byste museli znát IP adresy platformy. Značka služby Chaos Studio je ChaosStudio.

Omezení značek služeb spočívá v tom, že se dají používat jenom u aplikací s veřejnou IP adresou. Pokud má prostředek jenom privátní IP adresu, značky služeb do něj nemůžou směrovat provoz.

Případy použití

Chaos Studio používá značky služeb pro několik případů použití.

  • Aby bylo možné používat chyby založené na agentech, musí agent Chaos Studio spuštěný uvnitř virtuálních počítačů zákazníka komunikovat se službou Back-end Chaos Studio. Značka služby umožňuje zákazníkům povolit provoz z virtuálního počítače do služby Chaos Studio.
  • Pokud chcete použít určité chyby, které vyžadují komunikaci mimo management.azure.com obor názvů, jako jsou chyby Chaos Mesh pro službu Azure Kubernetes Service, provoz pochází ze služby Chaos Studio do prostředku zákazníka. Značka služby umožňuje zákazníkům povolit provoz ze služby Chaos Studio do cílového prostředku.
  • Zákazníci můžou v rámci chyb pravidel skupiny zabezpečení sítě používat jiné značky služeb, aby ovlivnili provoz do a z určitých služeb Azure.

Zadáním značky ChaosStudio služby v pravidlech zabezpečení je možné povolit nebo zamítnout provoz pro službu Chaos Studio bez nutnosti zadat jednotlivé IP adresy.

Bezpečnostní aspekty

Při vyhodnocování a používání značek služeb je důležité si uvědomit, že neposkytují podrobnou kontrolu nad jednotlivými IP adresami a neměli byste se spoléhat jako na jediný způsob zabezpečení sítě. Nejsou náhradou za správná bezpečnostní opatření sítě.

Šifrování dat

Chaos Studio ve výchozím nastavení šifruje všechna data. Chaos Studio přijímá vstup pouze pro systémové vlastnosti, jako jsou ID objektů spravované identity, názvy experimentů, kroků nebo větví a parametry selhání. Příkladem je rozsah síťových portů, který se má blokovat v chybě odpojení sítě.

Tyto vlastnosti by se neměly používat k ukládání citlivých dat, jako jsou platební údaje nebo hesla. Další informace o tom, jak Chaos Studio chrání vaše data, najdete v tématu Ochrana zákaznických dat Azure.

Customer Lockbox

Lockbox vám umožňuje schválit nebo odmítnout žádost inženýra Microsoftu o přístup k datům experimentu během žádosti o podporu.

Lockbox může být povolený pro informace o experimentech chaosu a pokud je povolen lockbox, udělí mu oprávnění pro přístup k datům na úrovni předplatného.

Další informace o Customer Lockboxu pro Microsoft Azure

Další kroky

Teď, když rozumíte tomu, jak zabezpečit experiment chaosu, jste připraveni: