Partilhar via


Componentes e limites do sistema de informações do Azure

Este artigo fornece uma descrição geral da arquitetura e do gerenciamento do Azure. O ambiente do sistema Azure é composto pelas seguintes redes:

  • Rede de produção do Microsoft Azure (rede do Azure)
  • Rede corporativa da Microsoft (corpnet)

Equipes de TI separadas são responsáveis pelas operações e manutenção dessas redes.

Arquitetura do Azure

O Azure é uma plataforma e infraestrutura de computação em nuvem para criar, implantar e gerenciar aplicativos e serviços por meio de uma rede de datacenters. A Microsoft gerencia esses datacenters. Com base no número de recursos especificados, o Azure cria máquinas virtuais (VMs) com base na necessidade de recursos. Essas VMs são executadas em um hipervisor do Azure, que foi projetado para uso na nuvem e não é acessível ao público.

Em cada nó do servidor físico do Azure, há um hipervisor que é executado diretamente sobre o hardware. O hipervisor divide um nó em um número variável de VMs convidadas. Cada nó também tem uma VM raiz, que executa o sistema operacional host. O Firewall do Windows está habilitado em cada VM. Você define quais portas são endereçáveis configurando o arquivo de definição de serviço. Estas portas são as únicas abertas e endereçáveis, interna ou externamente. Todo o tráfego e acesso ao disco e à rede é mediado pelo hipervisor e pelo sistema operacional raiz.

Na camada de host, as VMs do Azure executam uma versão personalizada e protegida do Windows Server mais recente. O Azure usa uma versão do Windows Server que inclui apenas os componentes necessários para hospedar VMs. Isso melhora o desempenho e reduz a superfície de ataque. Os limites da máquina são impostos pelo hipervisor, que não depende da segurança do sistema operacional.

Gerenciamento do Azure por controladores de malha

No Azure, as VMs em execução em servidores físicos (blades/nós) são agrupadas em clusters de cerca de 1000. As VMs são gerenciadas de forma independente por um componente de software de plataforma redundante e escalável chamado controlador de malha (FC).

Cada FC gerencia o ciclo de vida dos aplicativos em execução em seu cluster e provisiona e monitora a integridade do hardware sob seu controle. Ele executa operações autônomas, como reencarnar instâncias de VM em servidores íntegros quando determina que um servidor falhou. O FC também executa operações de gerenciamento de aplicativos, como implantação, atualização e dimensionamento de aplicativos.

O datacenter é dividido em clusters. Os clusters isolam falhas no nível FC e impedem que determinadas classes de erros afetem os servidores além do cluster em que ocorrem. FCs que atendem a um cluster específico do Azure são agrupados em um cluster FC.

Inventário de Hardware

O FC prepara um inventário de hardware e dispositivos de rede do Azure durante o processo de configuração de bootstrap. Todos os novos componentes de hardware e rede que entram no ambiente de produção do Azure devem seguir o processo de configuração de bootstrap. O FC é responsável por gerenciar todo o inventário listado no arquivo de configuração .xml datacenter.

Imagens do sistema operacional gerenciadas por FC

A equipe do sistema operacional fornece imagens, na forma de Discos Rígidos Virtuais, implantadas em todas as VMs host e convidadas no ambiente de produção do Azure. A equipe constrói essas imagens base por meio de um processo de compilação offline automatizado. A imagem base é uma versão do sistema operacional na qual o kernel e outros componentes principais foram modificados e otimizados para dar suporte ao ambiente do Azure.

Há três tipos de imagens de sistema operacional gerenciadas por malha:

  • Host: um sistema operacional personalizado que é executado em VMs host.
  • Nativo: um sistema operacional nativo que é executado em locatários (por exemplo, Armazenamento do Azure). Este sistema operacional não tem nenhum hipervisor.
  • Convidado: um sistema operacional convidado que é executado em VMs convidadas.

O host e os sistemas operacionais nativos gerenciados pelo FC são projetados para uso na nuvem e não são acessíveis publicamente.

Sistemas operacionais nativos e de host

Host e nativo são imagens protegidas do sistema operacional que hospedam os agentes de malha e são executadas em um nó de computação (executado como primeira VM no nó) e nós de armazenamento. O benefício de usar imagens base otimizadas de host e nativo é que ele reduz a área de superfície exposta por APIs ou componentes não utilizados. Estes podem apresentar elevados riscos de segurança e aumentar a pegada do sistema operativo. Os sistemas operacionais de pegada reduzida incluem apenas os componentes necessários para o Azure.

Sistema operativo convidado

Os componentes internos do Azure em execução em VMs do sistema operacional convidado não têm oportunidade de executar o Protocolo de Área de Trabalho Remota. Quaisquer alterações nas definições de configuração da linha de base devem passar pelo processo de gerenciamento de alterações e liberações.

Datacenters do Azure

A equipe do Microsoft Cloud Infrastructure and Operations (MCIO) gerencia a infraestrutura física e as instalações do datacenter para todos os serviços online da Microsoft. O MCIO é o principal responsável por gerenciar os controles físicos e ambientais dentro dos datacenters, bem como gerenciar e dar suporte a dispositivos de rede de perímetro externo (como roteadores de borda e roteadores de datacenter). MCIO também é responsável por configurar o hardware mínimo do servidor em racks no datacenter. Os clientes não têm interação direta com o Azure.

Gestão de serviços e equipas de serviço

Vários grupos de engenharia, conhecidos como equipes de serviço, gerenciam o suporte do serviço do Azure. Cada equipe de serviço é responsável por uma área de suporte para o Azure. Cada equipe de serviço deve disponibilizar um engenheiro 24 horas por dia, 7 dias por semana, para investigar e resolver falhas no serviço. As equipes de serviço não têm, por padrão, acesso físico ao hardware que opera no Azure.

As equipas de serviço são:

  • Plataforma de Aplicações
  • Microsoft Entra ID
  • Computação do Azure
  • Azure Net
  • Serviços de engenharia na nuvem
  • ISSD: Segurança
  • Autenticação Multifator
  • Base de Dados SQL
  • Armazenamento

Tipos de utilizadores

Os funcionários (ou contratados) da Microsoft são considerados utilizadores internos. Todos os outros utilizadores são considerados utilizadores externos. Todos os usuários internos do Azure têm seu status de funcionário categorizado com um nível de sensibilidade que define seu acesso aos dados do cliente (acesso ou não acesso). Os privilégios de usuário para o Azure (permissão de autorização após a autenticação) são descritos na tabela a seguir:

Função Interno ou externo Nível de sensibilidade Privilégios autorizados e funções desempenhadas Tipo de acesso
Engenheiro de datacenter do Azure Interno Sem acesso aos dados dos clientes Gerir a segurança física das instalações. Realize patrulhas dentro e fora do datacenter e monitore todos os pontos de entrada. Escolta para dentro e para fora do datacenter certos funcionários não autorizados que fornecem serviços gerais (como refeições ou limpeza) ou trabalho de TI dentro do datacenter. Realizar monitoramento de rotina e manutenção de hardware de rede. Execute o gerenciamento de incidentes e o trabalho de correção de falhas usando várias ferramentas. Realizar monitoramento de rotina e manutenção do hardware físico nos datacenters. Acesso ao ambiente sob demanda dos proprietários. Capaz de realizar investigações forenses, registrar relatórios de incidentes e exigir treinamento obrigatório de segurança e requisitos de política. Propriedade operacional e manutenção de ferramentas de segurança críticas, como scanners e coleta de logs. Acesso persistente ao ambiente.
Triagem de incidentes do Azure (engenheiros de resposta rápida) Interno Acesso a dados de cliente Gerencie as comunicações entre as equipes MCIO, suporte e engenharia. Triagem de incidentes da plataforma, problemas de implantação e solicitações de serviço. Acesso just-in-time ao ambiente, com acesso persistente limitado a sistemas não clientes.
Engenheiros de implantação do Azure Interno Acesso a dados de cliente Implante e atualize componentes da plataforma, software e alterações de configuração agendadas no suporte ao Azure. Acesso just-in-time ao ambiente, com acesso persistente limitado a sistemas não clientes.
Suporte a interrupções do cliente do Azure (locatário) Interno Acesso a dados de cliente Depure e diagnostique interrupções e falhas da plataforma para locatários de computação individuais e contas do Azure. Analise falhas. Conduza correções críticas para a plataforma ou o cliente e impulsione melhorias técnicas em todo o suporte. Acesso just-in-time ao ambiente, com acesso persistente limitado a sistemas não clientes.
Engenheiros de site ao vivo do Azure (engenheiros de monitoramento) e incidentes Interno Acesso a dados de cliente Diagnostique e reduza a integridade da plataforma usando ferramentas de diagnóstico. Corrija correções para drivers de volume, repare itens resultantes de interrupções e ajude as ações de restauração de interrupções. Acesso just-in-time ao ambiente, com acesso persistente limitado a sistemas não clientes.
Clientes do Azure Externo N/A N/D N/A

O Azure usa identificadores exclusivos para autenticar usuários e clientes organizacionais (ou processos que atuam em nome de usuários organizacionais). Isso se aplica a todos os ativos e dispositivos que fazem parte do ambiente do Azure.

Autenticação interna do Azure

As comunicações entre componentes internos do Azure são protegidas com criptografia TLS. Na maioria dos casos, os certificados X.509 são autoassinados. Os certificados com conexões que podem ser acessadas de fora da rede do Azure são uma exceção, assim como os certificados para os FCs. Os FCs têm certificados emitidos por um Certificado de Autoridade (CA) da Microsoft que é apoiado por uma CA raiz confiável. Isso permite que as chaves públicas FC sejam roladas facilmente. Além disso, as ferramentas de desenvolvedor da Microsoft usam chaves públicas FC. Quando os desenvolvedores enviam novas imagens de aplicativos, as imagens são criptografadas com uma chave pública FC para proteger quaisquer segredos incorporados.

Autenticação de dispositivo de hardware do Azure

O FC mantém um conjunto de credenciais (chaves e/ou senhas) usadas para autenticar-se em vários dispositivos de hardware sob seu controle. A Microsoft usa um sistema para impedir o acesso a essas credenciais. Especificamente, o transporte, a persistência e o uso dessas credenciais foram projetados para impedir que desenvolvedores, administradores e serviços de backup do Azure e o pessoal acessem informações confidenciais, confidenciais ou privadas.

A Microsoft usa criptografia baseada na chave pública de identidade mestra do FC. Isso ocorre nos momentos de instalação e reconfiguração do FC, para transferir as credenciais usadas para acessar dispositivos de hardware de rede. Quando o FC precisa das credenciais, ele as recupera e descriptografa.

Dispositivos de rede

A equipe de rede do Azure configura contas de serviço de rede para permitir que um cliente do Azure se autentique em dispositivos de rede (roteadores, switches e balanceadores de carga).

Administração segura de serviços

O pessoal de operações do Azure é obrigado a usar estações de trabalho de administração seguras (SAWs). Os clientes podem implementar controles semelhantes usando estações de trabalho de acesso privilegiado. Com SAWs, o pessoal administrativo usa uma conta administrativa atribuída individualmente que é separada da conta de usuário padrão do usuário. O SAW baseia-se nessa prática de separação de contas, fornecendo uma estação de trabalho confiável para essas contas confidenciais.

Próximos passos

Para saber mais sobre o que a Microsoft faz para ajudar a proteger a infraestrutura do Azure, consulte: