Onderdelen en grenzen van het Azure-informatiesysteem
Dit artikel bevat een algemene beschrijving van de Azure-architectuur en het beheer. De Azure-systeemomgeving bestaat uit de volgende netwerken:
- Microsoft Azure-productienetwerk (Azure-netwerk)
- Microsoft-bedrijfsnetwerk (corpnet)
Afzonderlijke IT-teams zijn verantwoordelijk voor de werking en het onderhoud van deze netwerken.
Azure-architectuur
Azure is een platform en infrastructuur voor cloudcomputing voor het bouwen, implementeren en beheren van toepassingen en services via een netwerk van datacenters. Microsoft beheert deze datacenters. Op basis van het aantal resources dat u opgeeft, maakt Azure virtuele machines (VM's) op basis van de resourcebehoefte. Deze VM's worden uitgevoerd op een Azure-hypervisor, die is ontworpen voor gebruik in de cloud en niet toegankelijk is voor het publiek.
Op elk fysiek Azure-serverknooppunt is er een hypervisor die rechtstreeks via de hardware wordt uitgevoerd. De hypervisor verdeelt een knooppunt in een variabel aantal gast-VM's. Elk knooppunt heeft ook één hoofd-VM, waarop het hostbesturingssysteem wordt uitgevoerd. Windows Firewall is ingeschakeld op elke VIRTUELE machine. U definieert welke poorten adresseerbaar zijn door het servicedefinitiebestand te configureren. Deze poorten zijn de enige poorten die intern of extern kunnen worden geopend en adresseerbaar. Al het verkeer en de toegang tot de schijf en het netwerk worden gemediateerd door de hypervisor en het hoofdbesturingssysteem.
Op de hostlaag voeren Azure-VM's een aangepaste en beperkte versie van de nieuwste Windows Server uit. Azure maakt gebruik van een versie van Windows Server die alleen die onderdelen bevat die nodig zijn voor het hosten van VM's. Dit verbetert de prestaties en vermindert de kwetsbaarheid voor aanvallen. Machinegrenzen worden afgedwongen door de hypervisor, die niet afhankelijk is van de beveiliging van het besturingssysteem.
Azure-beheer door infrastructuurcontrollers
In Azure worden VM's die worden uitgevoerd op fysieke servers (blades/knooppunten) gegroepeerd in clusters van ongeveer 1000. De VM's worden onafhankelijk beheerd door een uitgeschaald en redundant platformsoftwareonderdeel genaamd de infrastructuurcontroller (FC).
Elke FC beheert de levenscyclus van toepassingen die in het cluster worden uitgevoerd en richt de status van de hardware onder controle en bewaakt deze. Er worden automatische bewerkingen uitgevoerd, zoals het reïncarneren van VM-exemplaren op gezonde servers wanneer wordt vastgesteld dat een server is mislukt. De FC voert ook toepassingsbeheerbewerkingen uit, zoals het implementeren, bijwerken en uitschalen van toepassingen.
Het datacenter is onderverdeeld in clusters. Clusters isoleren fouten op FC-niveau en voorkomen dat bepaalde klassen fouten van invloed zijn op servers buiten het cluster waarin ze optreden. DC's die een bepaald Azure-cluster verwerken, worden gegroepeerd in een FC-cluster.
Hardware-inventaris
De FC bereidt een inventarisatie van Azure-hardware- en netwerkapparaten voor tijdens het bootstrap-configuratieproces. Nieuwe hardware- en netwerkonderdelen die de Azure-productieomgeving binnenkomen, moeten het bootstrap-configuratieproces volgen. De FC is verantwoordelijk voor het beheren van de volledige inventaris die wordt vermeld in het datacenter.xml-configuratiebestand.
Installatiekopieën van door FC beheerd besturingssysteem
Het besturingssysteemteam biedt installatiekopieën, in de vorm van virtuele harde schijven, die zijn geïmplementeerd op alle host- en gast-VM's in de Azure-productieomgeving. Het team bouwt deze basisinstallatiekopieën via een geautomatiseerd offline buildproces. De basisinstallatiekopieën zijn een versie van het besturingssysteem waarin de kernel en andere kernonderdelen zijn gewijzigd en geoptimaliseerd om de Azure-omgeving te ondersteunen.
Er zijn drie typen installatiekopieën van door infrastructuur beheerde besturingssystemen:
- Host: Een aangepast besturingssysteem dat wordt uitgevoerd op host-VM's.
- Systeemeigen: Een systeemeigen besturingssysteem dat wordt uitgevoerd op tenants (bijvoorbeeld Azure Storage). Dit besturingssysteem heeft geen hypervisor.
- Gast: een gastbesturingssysteem dat wordt uitgevoerd op gast-VM's.
De host- en systeemeigen door FC beheerde besturingssystemen zijn ontworpen voor gebruik in de cloud en zijn niet openbaar toegankelijk.
Host- en systeemeigen besturingssystemen
Host en systeemeigen zijn beveiligde installatiekopieën van besturingssystemen die als host fungeren voor de infrastructuuragenten en worden uitgevoerd op een rekenknooppunt (wordt uitgevoerd als eerste VM op het knooppunt) en opslagknooppunten. Het voordeel van het gebruik van geoptimaliseerde basisinstallatiekopieën van host en systeemeigen is dat het de oppervlakte vermindert die wordt weergegeven door API's of ongebruikte onderdelen. Deze kunnen hoge beveiligingsrisico's opleveren en de footprint van het besturingssysteem vergroten. Besturingssystemen met beperkte footprint bevatten alleen de onderdelen die nodig zijn voor Azure.
Gastbesturingssysteem
Interne Azure-onderdelen die worden uitgevoerd op vm's van het gastbesturingssysteem, hebben geen mogelijkheid om Remote Desktop Protocol uit te voeren. Wijzigingen in de basislijnconfiguratie-instellingen moeten het wijzigings- en releasebeheerproces doorlopen.
Azure-datacentrums
Het MCIO-team (Microsoft Cloud Infrastructure and Operations) beheert de fysieke infrastructuur en datacenterfaciliteiten voor alle Microsoft onlineservices. MCIO is voornamelijk verantwoordelijk voor het beheren van de fysieke en omgevingscontroles binnen de datacenters, evenals het beheren en ondersteunen van buitenste perimeternetwerkapparaten (zoals randrouters en datacenterrouters). MCIO is ook verantwoordelijk voor het instellen van de minimale serverhardware op racks in het datacenter. Klanten hebben geen directe interactie met Azure.
Servicebeheer en serviceteams
Verschillende technische groepen, ook wel serviceteams genoemd, beheren de ondersteuning van de Azure-service. Elk serviceteam is verantwoordelijk voor een ondersteuningsgebied voor Azure. Elk serviceteam moet een technicus 24x7 beschikbaar stellen om fouten in de service te onderzoeken en op te lossen. Serviceteams hebben standaard geen fysieke toegang tot de hardware die in Azure werkt.
De serviceteams zijn:
- Application-platform
- Microsoft Entra ID
- Azure Compute
- Azure Net
- Cloud Engineering Services
- ISSD: Beveiliging
- Multifactor Authentication
- SQL Database
- Storage
Typen gebruikers
Werknemers (of contractanten) van Microsoft worden beschouwd als interne gebruikers. Alle andere gebruikers worden beschouwd als externe gebruikers. Alle interne Azure-gebruikers hebben hun werknemersstatus gecategoriseerd met een vertrouwelijkheidsniveau dat de toegang tot klantgegevens definieert (toegang of geen toegang). Gebruikersbevoegdheden voor Azure (autorisatiemachtiging na verificatie) worden beschreven in de volgende tabel:
| - Rol | Intern of extern | Gevoeligheidsniveau | Geautoriseerde bevoegdheden en functies uitgevoerd | Toegangstype |
|---|---|---|---|---|
| Azure Datacenter Engineer | Internal | Geen toegang tot klantgegevens | De fysieke beveiliging van de locatie beheren. Voer patrouilles uit in en uit het datacenter en bewaak alle toegangspunten. Escort in en uit het datacenter bepaalde niet-gewiste medewerkers die algemene diensten leveren (zoals dineren of schoonmaken) of IT-werkzaamheden binnen het datacenter. Routinebewaking en onderhoud van netwerkhardware uitvoeren. Voer incidentbeheer en break-fix-werk uit met behulp van verschillende hulpprogramma's. Voer routinebewaking en onderhoud van de fysieke hardware in de datacenters uit. Toegang tot omgeving op aanvraag van eigenschapseigenaren. Kan forensisch onderzoek uitvoeren, incidentrapporten vastleggen en verplichte beveiligingstraining en beleidsvereisten vereisen. Operationeel eigendom en onderhoud van kritieke beveiligingshulpprogramma's, zoals scanners en logboekverzameling. | Permanente toegang tot de omgeving. |
| Azure Incident triage (snelle respons engineers) | Internal | Toegang tot klantgegevens | Beheer de communicatie tussen MCIO-, ondersteunings- en engineeringteams. Platformincidenten, implementatieproblemen en serviceaanvragen classificeren. | Just-In-Time-toegang tot de omgeving, met beperkte permanente toegang tot niet-klantsystemen. |
| Azure-implementatietechnici | Internal | Toegang tot klantgegevens | Platformonderdelen, software en geplande configuratiewijzigingen implementeren en upgraden ter ondersteuning van Azure. | Just-In-Time-toegang tot de omgeving, met beperkte permanente toegang tot niet-klantsystemen. |
| Ondersteuning voor azure-klantonderbreking (tenant) | Internal | Toegang tot klantgegevens | Foutopsporing en diagnose van platformstoringen en -fouten voor afzonderlijke rekentenants en Azure-accounts. Analyseer fouten. Essentiële oplossingen voor het platform of de klant stimuleren en technische verbeteringen aanbrengen in de ondersteuning. | Just-In-Time-toegang tot de omgeving, met beperkte permanente toegang tot niet-klantsystemen. |
| Azure Live Site Engineers (bewakingstechnici) en incident | Internal | Toegang tot klantgegevens | Stel de platformstatus vast en beperk deze met behulp van diagnostische hulpprogramma's. Oplossingen voor stations voor volumestuurprogramma's, reparatie-items als gevolg van storingen en hulp bij herstelacties voor storingen. | Just-In-Time-toegang tot de omgeving, met beperkte permanente toegang tot niet-klantsystemen. |
| Azure-klanten | External | N.v.t. | N.v.t. | N.v.t. |
Azure gebruikt unieke id's voor het verifiëren van organisatiegebruikers en klanten (of processen die handelen namens organisatiegebruikers). Dit geldt voor alle assets en apparaten die deel uitmaken van de Azure-omgeving.
Interne Azure-verificatie
Communicatie tussen interne Onderdelen van Azure wordt beveiligd met TLS-versleuteling. In de meeste gevallen zijn de X.509-certificaten zelfondertekend. Certificaten met verbindingen die toegankelijk zijn van buiten het Azure-netwerk zijn een uitzondering, net als certificaten voor de pc's. FCs hebben certificaten die zijn uitgegeven door een Microsoft Certificate of Authority (CA) die wordt ondersteund door een vertrouwde basis-CA. Hierdoor kunnen openbare sleutels van FC eenvoudig worden overgezet. Daarnaast maken microsoft-ontwikkelhulpprogramma's gebruik van openbare FC-sleutels. Wanneer ontwikkelaars nieuwe toepassingsinstallatiekopieën indienen, worden de installatiekopieën versleuteld met een openbare FC-sleutel om ingesloten geheimen te beveiligen.
Verificatie van Azure-hardwareapparaten
De FC onderhoudt een set referenties (sleutels en/of wachtwoorden) die worden gebruikt om zichzelf te verifiëren bij verschillende hardwareapparaten onder controle. Microsoft gebruikt een systeem om toegang tot deze referenties te voorkomen. Met name het transport, de persistentie en het gebruik van deze referenties is ontworpen om Te voorkomen dat Azure-ontwikkelaars, -beheerders en -back-upservices en -personeel toegang hebben tot gevoelige, vertrouwelijke of persoonlijke gegevens.
Microsoft gebruikt versleuteling op basis van de openbare sleutel van de hoofdidentiteit van de FC. Dit gebeurt bij fc-installatie en FC-herconfiguratietijden, om de referenties over te dragen die worden gebruikt voor toegang tot netwerkhardwareapparaten. Wanneer de FC de referenties nodig heeft, haalt de FC deze op en ontsleutelt deze.
Netwerkapparaten
Het Azure-netwerkteam configureert netwerkserviceaccounts om een Azure-client in staat te stellen zich te verifiëren bij netwerkapparaten (routers, switches en load balancers).
Beveiligd servicebeheer
Azure Operations-personeel is vereist voor het gebruik van beveiligde beheerwerkstations (SAW's). Klanten kunnen vergelijkbare besturingselementen implementeren met behulp van werkstations voor bevoegde toegang. Met SAW's gebruiken beheerders een afzonderlijk toegewezen beheerdersaccount dat losstaat van het standaardgebruikersaccount van de gebruiker. De SAW bouwt voort op die scheidingspraktijk voor accounts door een betrouwbaar werkstation te bieden voor deze gevoelige accounts.
Volgende stappen
Zie voor meer informatie over wat Microsoft doet om de Azure-infrastructuur te beveiligen:
- Azure-faciliteiten, -gebouwen en fysieke beveiliging
- Beschikbaarheid van Azure-infrastructuur
- Azure-netwerkarchitectuur
- Azure-productienetwerk
- Beveiligingsfuncties van Azure SQL Database
- Azure-productiebewerkingen en -beheer
- Bewaking van Azure-infrastructuur
- Integriteit van Azure-infrastructuur
- Gegevensbescherming van Azure-klanten