Sdílet prostřednictvím


Komponenty a hranice informačního systému Azure

Tento článek obsahuje obecný popis architektury a správy Azure. Systémové prostředí Azure se skládá z následujících sítí:

  • Produkční síť Microsoft Azure (síť Azure)
  • Podniková síť Microsoftu (corpnet)

Samostatné IT týmy zodpovídají za provoz a údržbu těchto sítí.

Architektura Azure

Azure je platforma a infrastruktura cloud computingu pro vytváření, nasazování a správu aplikací a služeb prostřednictvím sítě datacenter. Microsoft spravuje tato datová centra. Na základě zadaného počtu prostředků Vytvoří Azure virtuální počítače na základě potřeb prostředků. Tyto virtuální počítače běží na hypervisoru Azure, který je navržený pro použití v cloudu a není přístupný veřejnosti.

Na každém fyzickém uzlu serveru Azure je hypervisor, který běží přímo přes hardware. Hypervisor rozdělí uzel na proměnný počet hostovaných virtuálních počítačů. Každý uzel má také jeden kořenový virtuální počítač, na kterém běží hostitelský operační systém. Na každém virtuálním počítači je povolená brána Windows Firewall. Definujete, které porty se dají adresovat konfigurací definičního souboru služby. Tyto porty jsou jediné otevřené a adresovatelné interně nebo externě. Veškerý provoz a přístup k disku a síti je mediánem hypervisoru a kořenového operačního systému.

Virtuální počítače Azure na úrovni hostitele používají přizpůsobenou a posílenou verzi nejnovějšího Windows Serveru. Azure používá verzi Windows Serveru, která zahrnuje pouze ty komponenty potřebné k hostování virtuálních počítačů. Tím se zlepší výkon a sníží se prostor pro útoky. Hranice počítačů vynucuje hypervisor, který nezávisí na zabezpečení operačního systému.

Správa Azure podle kontrolerů prostředků infrastruktury

V Azure jsou virtuální počítače spuštěné na fyzických serverech (v ostřích a uzlech) seskupené do clusterů přibližně 1 000. Virtuální počítače jsou nezávisle spravované škálovanou a redundantní softwarovou komponentou platformy označovanou jako kontroler prostředků infrastruktury (FC).

Každý FC spravuje životní cyklus aplikací spuštěných v clusteru a zřizuje a monitoruje stav hardwaru pod jeho kontrolou. Spouští autonomní operace, jako je reinkarnace instancí virtuálních počítačů na serverech, které jsou v pořádku, když zjistí, že server selhal. FC také provádí operace správy aplikací, jako je nasazení, aktualizace a horizontální navýšení kapacity aplikací.

Datacentrum je rozdělené na clustery. Clustery izolují chyby na úrovni FC a brání určitým třídám chyb, aby ovlivnily servery mimo cluster, ve kterém k nim dochází. FCS, které obsluhují konkrétní cluster Azure, jsou seskupené do clusteru FC.

Inventář hardwaru

FC připraví inventář hardwaru a síťových zařízení Azure během procesu konfigurace bootstrap. Všechny nové hardwarové a síťové komponenty vstupující do produkčního prostředí Azure musí dodržovat proces konfigurace bootstrap. FC zodpovídá za správu celého inventáře uvedeného v konfiguračním souboru datacenter.xml.

Image operačního systému spravovaného FC

Tým operačního systému poskytuje image ve formě virtuálních pevných disků nasazených na všech hostitelských a hostovaných virtuálních počítačích v produkčním prostředí Azure. Tým tyto základní image sestaví prostřednictvím automatizovaného offline procesu sestavení. Základní image je verze operačního systému, ve kterém bylo jádro a další základní komponenty upraveny a optimalizovány pro podporu prostředí Azure.

Existují tři typy imagí operačního systému spravovaných prostředky infrastruktury:

  • Hostitel: Přizpůsobený operační systém, který běží na hostitelských virtuálních počítačích.
  • Nativní: Nativní operační systém, který běží na tenantech (například Azure Storage). Tento operační systém nemá žádný hypervisor.
  • Host: Hostovaný operační systém, který běží na hostovaném virtuálním počítači.

Hostitelské a nativní operační systémy spravované FC jsou navržené pro použití v cloudu a nejsou veřejně přístupné.

Hostování a nativní operační systémy

Hostitel a nativní jsou posílené image operačního systému, které hostují agenty prostředků infrastruktury, a běží na výpočetním uzlu (běží jako první virtuální počítač na uzlu) a uzlech úložiště. Výhodou použití optimalizovaných základních imagí hostitele a nativních je, že snižuje plochu vystavenou rozhraními API nebo nepoužívanými komponentami. To může představovat vysoká rizika zabezpečení a zvýšit nároky na operační systém. Operační systémy s nižšími nároky zahrnují pouze komponenty nezbytné pro Azure.

Hostovaný operační systém

Interní komponenty Azure spuštěné na virtuálních počítačích hostovaného operačního systému nemají možnost spustit protokol Remote Desktop Protocol. Všechny změny standardních nastavení konfigurace musí projít procesem správy změn a verzí.

datacentra Azure

Tým MCIO (Cloud Infrastructure and Operations) Microsoftu spravuje fyzickou infrastrukturu a zařízení datacenter pro všechny online služby Microsoftu. MCIO je primárně zodpovědný za správu fyzických a environmentálních kontrol v datacentrech a také za správu a podporu vnějších hraničních síťových zařízení (například hraničních směrovačů a směrovačů datacenter). MCIO také zodpovídá za nastavení holého hardwaru serveru na rackech v datacentru. Zákazníci nemají žádnou přímou interakci s Azure.

Správa služeb a servisní týmy

Různé technické skupiny, označované jako servisní týmy, spravují podporu služby Azure. Každý tým služeb zodpovídá za oblast podpory Azure. Každý tým služeb musí zpřístupnit technika 24x7, aby mohli prošetřit a vyřešit chyby ve službě. Týmy služeb ve výchozím nastavení nemají fyzický přístup k hardwaru provozovanému v Azure.

Týmy služeb jsou:

  • Aplikační platforma
  • Microsoft Entra ID
  • Azure Compute
  • Azure Net
  • Cloud Engineering Services
  • ISSD: Zabezpečení
  • Multifactor Authentication
  • Databáze SQL
  • Úložiště

Typy uživatelů

Zaměstnanci (nebo dodavatelé) Microsoftu se považují za interní uživatele. Všichni ostatní uživatelé se považují za externí uživatele. Všichni interní uživatelé Azure mají kategorizovaný stav zaměstnance s úrovní citlivosti, která definuje jejich přístup k zákaznickým datům (přístup nebo žádný přístup). Uživatelská oprávnění k Azure (autorizační oprávnění po ověření) jsou popsaná v následující tabulce:

Role Interní nebo externí Úroveň citlivosti Oprávnění a prováděné funkce Typ přístupu
Technik datacentra Azure Interní Žádný přístup k zákaznickým datům Spravujte fyzické zabezpečení místního prostředí. Proveďte hlídky v datacentru a mimo něj a monitorujte všechny vstupní body. Doprovod do a ven z datacentra, kteří neschválí personál, který poskytuje obecné služby (například stravování nebo čištění) nebo IT pracovníky v rámci datacentra. Proveďte pravidelné monitorování a údržbu síťového hardwaru. Pomocí různých nástrojů můžete provádět správu incidentů a opravovat přerušení. Proveďte pravidelné monitorování a údržbu fyzického hardwaru v datacentrech. Přístup k prostředí na vyžádání od vlastníků nemovitostí Dokáže provádět forenzní vyšetřování, protokolovat sestavy incidentů a vyžadovat povinné požadavky na školení zabezpečení a zásady. Provozní vlastnictví a údržba důležitých nástrojů zabezpečení, jako jsou skenery a shromažďování protokolů. Trvalý přístup k prostředí.
Třídění incidentů Azure (technici rychlé reakce) Interní Přístup k datům zákazníků Spravujte komunikaci mezi MCIO, podporou a technickými týmy. Incidenty platformy pro třídění, problémy s nasazením a žádosti o služby Přístup k prostředí za běhu s omezeným trvalým přístupem k systémům, které nejsou zákazníky.
Technici nasazení Azure Interní Přístup k datům zákazníků Nasaďte a upgradujte komponenty platformy, software a plánované změny konfigurace v podpoře Azure. Přístup k prostředí za běhu s omezeným trvalým přístupem k systémům, které nejsou zákazníky.
Podpora výpadku zákazníků Azure (tenant) Interní Přístup k datům zákazníků Ladění a diagnostika výpadků platformy a chyb pro jednotlivé výpočetní tenanty a účty Azure Analýza chyb Provádět kritické opravy platformy nebo zákazníka a řídit technická vylepšení napříč podporou. Přístup k prostředí za běhu s omezeným trvalým přístupem k systémům, které nejsou zákazníky.
Technici živého webu Azure (monitorovací technici) a incidenty Interní Přístup k datům zákazníků Diagnostika a zmírnění stavu platformy pomocí diagnostických nástrojů Opravy jednotek pro ovladače svazků, položky opravy způsobené výpadky a pomoc s akcemi obnovení výpadku. Přístup k prostředí za běhu s omezeným trvalým přístupem k systémům, které nejsou zákazníky.
Zákazníci Azure Externí N/A

Azure používá jedinečné identifikátory k ověřování uživatelů organizace a zákazníků (nebo procesů jménem uživatelů organizace). To platí pro všechny prostředky a zařízení, která jsou součástí prostředí Azure.

Interní ověřování Azure

Komunikace mezi interními komponentami Azure je chráněná šifrováním TLS. Ve většině případů jsou certifikáty X.509 podepsané svým držitelem. Certifikáty s připojeními, ke kterým je možné přistupovat mimo síť Azure, jsou výjimkou, stejně jako certifikáty pro FCS. Řadiče domény mají certifikáty vydané certifikátem certifikační autority (CA), která je podporována důvěryhodnou kořenovou certifikační autoritou. To umožňuje snadné převrácené veřejné klíče FC. Kromě toho vývojářské nástroje Microsoftu používají veřejné klíče FC. Když vývojáři odesílají nové image aplikací, obrázky se šifrují pomocí veřejného klíče FC, aby chránili všechny vložené tajné kódy.

Ověřování hardwarových zařízení Azure

FC udržuje sadu přihlašovacích údajů (klíčů a hesel) sloužících k ověření na různých hardwarových zařízeních pod jeho kontrolou. Microsoft používá systém k zabránění přístupu k těmto přihlašovacím údajům. Konkrétně je přenos, trvalost a použití těchto přihlašovacích údajů navržen tak, aby zabránil vývojářům, správcům a službám Zálohování Azure a pracovníkům přístupu k citlivým, důvěrným nebo soukromým informacím.

Microsoft používá šifrování založené na veřejném klíči hlavní identity FC. K tomu dochází v době instalace FC a rekonfigurace FC pro přenos přihlašovacích údajů používaných pro přístup k síťovým hardwarovým zařízením. Když FC potřebuje přihlašovací údaje, FC je načte a dešifruje.

Síťová zařízení

Síťový tým Azure konfiguruje účty síťových služeb tak, aby se klient Azure mohl ověřovat na síťových zařízeních (směrovačích, přepínačích a nástrojích pro vyrovnávání zatížení).

Správa zabezpečených služeb

K používání zabezpečených pracovních stanic pro správu (SAWs) se vyžadují provozní pracovníci Azure. Zákazníci můžou implementovat podobné ovládací prvky pomocí pracovních stanic s privilegovaným přístupem. V případě SAWs správci používají individuálně přiřazený účet pro správu, který je oddělený od standardního uživatelského účtu uživatele. Služba SAW vychází z tohoto postupu oddělení účtů tím, že těmto citlivým účtům poskytuje důvěryhodnou pracovní stanici.

Další kroky

Další informace o tom, co Microsoft dělá, aby pomohl zabezpečit infrastrukturu Azure, najdete tady: