Gestão e operação da rede de produção do Azure

Este artigo descreve como a Microsoft gerencia e opera a rede de produção do Azure para proteger os datacenters do Azure.

Monitorar, registrar e relatar

O gerenciamento e a operação da rede de produção do Azure são um esforço coordenado entre as equipes de operações do Azure e do Banco de Dados SQL do Azure. As equipas utilizam várias ferramentas de monitorização do desempenho de sistemas e aplicações no ambiente. E eles usam ferramentas apropriadas para monitorar dispositivos de rede, servidores, serviços e processos de aplicativos.

Para garantir a execução segura de serviços em execução no ambiente do Azure, as equipes de operações implementam vários níveis de monitoramento, registro em log e relatórios, incluindo as seguintes ações:

• Principalmente, o Microsoft Monitoring Agent (MMA) reúne informações de log de monitoramento e diagnóstico de muitos lugares, incluindo o controlador de malha (FC) e o sistema operacional raiz (SO), e as grava em arquivos de log. O agente eventualmente envia um subconjunto digerido das informações para uma conta de armazenamento do Azure pré-configurada. Além disso, o serviço autônomo de monitoramento e diagnóstico lê vários dados de log de monitoramento e diagnóstico e resume as informações. O serviço de monitoramento e diagnóstico grava as informações em um log integrado. O Azure usa o monitoramento de segurança personalizado do Azure, que é uma extensão do sistema de monitoramento do Azure. Possui componentes que observam, analisam e relatam eventos pertinentes à segurança de vários pontos da plataforma.

• A plataforma Windows Fabric do Banco de Dados SQL do Azure fornece serviços de gerenciamento, implantação, desenvolvimento e supervisão operacional para o Banco de Dados SQL do Azure. A plataforma oferece serviços de implantação distribuídos em várias etapas, monitoramento de integridade, reparos automáticos e conformidade com a versão do serviço. Presta os seguintes serviços:

  • Recursos de modelagem de serviços com ambiente de desenvolvimento de alta fidelidade (clusters de datacenter são caros e escassos).
  • Fluxos de trabalho de implantação e atualização com um clique para inicialização e manutenção do serviço.
  • Relatórios de integridade com fluxos de trabalho de reparo automatizados para permitir a autorrecuperação.
  • Recursos de monitoramento, alerta e depuração em tempo real nos nós de um sistema distribuído.
  • Coleta centralizada de dados operacionais e métricas para análise distribuída de causa raiz e perceção de serviços.
  • Ferramentas operacionais para implantação, gerenciamento de alterações e monitoramento.
  • A plataforma Windows Fabric do Banco de Dados SQL do Azure e os scripts de vigilância são executados continuamente e monitorados em tempo real.

Se ocorrer alguma anomalia, o processo de resposta a incidentes seguido pela equipe de triagem de incidentes do Azure será ativado. A equipe de suporte apropriada do Azure é notificada para responder ao incidente. O rastreamento e a resolução de problemas são documentados e gerenciados em um sistema centralizado de emissão de tíquetes. As métricas de tempo de atividade do sistema estão disponíveis sob o acordo de não divulgação (NDA) e mediante solicitação.

Rede corporativa e acesso multifator à produção

A base de usuários da rede corporativa inclui o pessoal de suporte do Azure. A rede corporativa dá suporte a funções corporativas internas e inclui acesso a aplicativos internos que são usados para suporte ao cliente do Azure. A rede corporativa está lógica e fisicamente separada da rede de produção do Azure. O pessoal do Azure acessa a rede corporativa usando estações de trabalho e laptops do Azure. Todos os usuários devem ter uma conta Microsoft Entra, incluindo um nome de usuário e senha, para acessar os recursos da rede corporativa. O acesso à rede corporativa usa contas do Microsoft Entra, que são emitidas para todos os funcionários, contratados e fornecedores da Microsoft e gerenciadas pela Microsoft Information Technology. Os identificadores de usuário exclusivos distinguem o pessoal com base em seu status de emprego na Microsoft.

O acesso a aplicativos internos do Azure é controlado por meio da autenticação com os Serviços de Federação do Ative Directory (AD FS). O AD FS é um serviço hospedado pela Microsoft Information Technology que fornece autenticação de usuários de rede corporativa por meio da aplicação de um token seguro e declarações de usuário. O AD FS permite que aplicativos internos do Azure autentiquem usuários no domínio do Ative Directory corporativo da Microsoft. Para acessar a rede de produção a partir do ambiente de rede corporativa, os usuários devem se autenticar usando a autenticação multifator.

Próximos passos

Para saber mais sobre o que a Microsoft faz para proteger a infraestrutura do Azure, consulte:

• Instalações, instalações e segurança física do Azure
• Disponibilidade da infraestrutura do Azure
• Componentes e limites do sistema de informações do Azure
• Arquitetura de rede do Azure
• Rede de produção do Azure
• Recursos de segurança do Banco de Dados SQL do Azure
• Monitoramento de infraestrutura do Azure
• Integridade da infraestrutura do Azure
• Proteção de dados do cliente do Azure