حدود ومكونات نظام معلومات Azure

توفر هذه المقالة وصفًا عامًا لبنية Azure وإدارتها. تتكون بيئة النظام Azure من الشبكات التالية:

• شبكة إنتاج Microsoft Azure (شبكة Azure)
• شبكة شركة Microsoft (corpnet)

فرق تكنولوجيا المعلومات المنفصلة مسؤولة عن عمليات وصيانة هذه الشبكات.

هيكل Azure

Azure هو نظام أساسي للحوسبة السحابية والبنية الأساسية لبناء التطبيقات والخدمات ونشرها وإدارتها من خلال شبكة من مراكز البيانات. تدير Microsoft مراكز البيانات هذه. استنادًا إلى عدد الموارد التي تحددها، ينشئ Azure الأجهزة الظاهرية (VMs) استنادًا إلى الحاجة إلى الموارد. تعمل هذه الأجهزة الظاهرية على برنامج تشغيل الآلة الافتراضية ل Azure، والذي تم تصميمه للاستخدام في السحابة ولا يمكن للجمهور الوصول إليه.

في كل عقدة خادم فعلي ل Azure، هناك برنامج تشغيل الآلة الافتراضية الذي يعمل مباشرة عبر الأجهزة. يقسم برنامج hypervisor عقدة إلى عدد متغير من الأجهزة الظاهرية الضيف. تحتوي كل عقدة أيضًا على جهاز ظاهري جذر واحد، والذي يقوم بتشغيل نظام التشغيل المضيف. يتم تمكين جدار حماية Windows على كل جهاز ظاهري. يمكنك تحديد المنافذ التي يمكن معالجتها عن طريق تكوين ملف تعريف الخدمة. هذه المنافذ هي المنافذ الوحيدة المفتوحة والقابلة للعنوان، داخليًا أو خارجيًا. تتم وساطة جميع نسبة استخدام الشبكة والوصول إلى القرص والشبكة بواسطة برنامج تشغيل الآلة الافتراضية ونظام التشغيل الجذر.

في طبقة المضيف، تقوم أجهزة Azure الظاهرية بتشغيل إصدار مخصص ومتصلب من أحدث Windows Server. يستخدم Azure إصدارًا من Windows Server يتضمن فقط تلك المكونات الضرورية لاستضافة الأجهزة الظاهرية. وهذا يحسن الأداء ويقلل من سطح الهجوم. يتم فرض حدود الجهاز بواسطة برنامج تشغيل الآلة الافتراضية، والذي لا يعتمد على أمان نظام التشغيل.

إدارة Azure بواسطة وحدات تحكم النسيج

في Azure، يتم تجميع الأجهزة الظاهرية التي تعمل على الخوادم الفعلية (الشفرات/العقد) في مجموعات تبلغ حوالي 1000. تتم إدارة الأجهزة الظاهرية بشكل مستقل بواسطة مكون برنامج نظام أساسي موسع ومكرر يسمى وحدة تحكم النسيج (FC).

يدير كل FC دورة حياة التطبيقات التي تعمل في نظام المجموعة الخاص به، ويدير ويراقب صحة الأجهزة الخاضعة لسيطرته. يقوم بتشغيل عمليات ذات استقلالية، مثل إعادة إنشاء مثيلات الجهاز الظاهري على خوادم صحية عندما يحدد فشل الخادم. ينفذ FC أيضا عمليات إدارة التطبيقات، مثل نشر التطبيقات وتحديثها وتوسيع نطاقها.

ينقسم مركز البيانات إلى مجموعات. تعزل المجموعات الأخطاء على مستوى FC، وتمنع فئات معينة من الأخطاء من التأثير على الخوادم خارج نظام المجموعة الذي تحدث فيه. يتم تجميع FCs التي تخدم مجموعة Azure معينة في مجموعة FC.

مخزون الأجهزة

يقوم FC بإعداد مخزون من أجهزة Azure وأجهزة الشبكة أثناء عملية تكوين bootstrap. يجب أن تتبع أي مكونات جديدة للأجهزة والشبكة تدخل بيئة إنتاج Azure عملية تكوين bootstrap. FC مسؤول عن إدارة المخزون بأكمله المدرج في ملف تكوين datacenter.xml.

صور نظام التشغيل المدارة بواسطة FC

يوفر فريق نظام التشغيل الصور، في شكل أقراص ثابتة ظاهرية، يتم نشرها على جميع الأجهزة الظاهرية للمضيف والضيف في بيئة إنتاج Azure. يقوم الفريق بإنشاء هذه الصور الأساسية من خلال عملية بناء تلقائية دون اتصال. الصورة الأساسية هي إصدار من نظام التشغيل الذي تم فيه تعديل النواة والمكونات الأساسية الأخرى وتحسينها لدعم بيئة Azure.

هناك ثلاثة أنواع من صور نظام التشغيل المدارة بواسطة النسيج:

• المضيف: نظام تشغيل مخصص يعمل على الأجهزة الظاهرية المضيفة.
• Native: نظام تشغيل أصلي يعمل على المستأجرين (على سبيل المثال، Azure Storage). لا يحتوي نظام التشغيل هذا على أي برنامج hypervisor.
• Guest: نظام تشغيل ضيف يعمل على الأجهزة الظاهرية للضيف.

تم تصميم أنظمة التشغيل المضيفة والأصلية المدارة بواسطة FC للاستخدام في السحابة، ولا يمكن الوصول إليها بشكل عام.

أنظمة التشغيل المضيفة والأصلية

المضيف والأصلي هما صور نظام التشغيل المتصلبة التي تستضيف عوامل النسيج، وتعمل على عقدة حساب (تعمل كأول جهاز ظاهري على العقدة) وعقد التخزين. تتمثل فائدة استخدام الصور الأساسية المحسنة للمضيف والأصلي في أنه يقلل من مساحة السطح التي تعرضها واجهات برمجة التطبيقات أو المكونات غير المستخدمة. يمكن أن تمثل هذه مخاطر أمنية عالية وتزيد من بصمة نظام التشغيل. تتضمن أنظمة التشغيل ذات البصمة المنخفضة فقط المكونات الضرورية لـAzure.

نظام التشغيل الضيف

لا تتوفر لمكونات Azure الداخلية التي تعمل على الأجهزة الظاهرية لنظام التشغيل الضيف فرصة لتشغيل بروتوكول سطح المكتب البعيد. يجب أن تمر أي تغييرات على إعدادات تكوين الأساس بعملية إدارة التغيير والإصدار.

مراكز بيانات Azure

يدير فريق البنية الأساسية والعمليات السحابية من Microsoft (MCIO) البنية التحتية الفعلية ومرافق مركز البيانات لجميع خدمات الإنترنت Microsoft. مسؤول MCIO بشكل أساسي عن إدارة الضوابط المادية والبيئية داخل مراكز البيانات، بالإضافة إلى إدارة ودعم أجهزة الشبكة الخارجية المحيطة (مثل أجهزة توجيه الحافة وأجهزة توجيه مراكز البيانات). MCIO هو أيضًا مسؤول عن إعداد الحد الأدنى من أجهزة الخادم على الرفوف في مركز البيانات. لا يتمتع العملاء بأي تفاعل مباشر مع Azure.

إدارة الخدمة وفرق الخدمة

تدير مجموعات هندسية مختلفة، تعرف باسم فرق الخدمة، دعم خدمة Azure. كل فريق خدمة مسؤول عن مجال دعم Azure. يجب أن يجعل كل فريق خدمة مهندسًا متاحًا على مدار الساعة و7 مرات للتحقيق في حالات الفشل في الخدمة وحلها. لا تتمتع فرق الخدمة، بشكل افتراضي، بالوصول الفعلي إلى الأجهزة التي تعمل في Azure.

فرق الخدمة هي:

• النظام الأساسي للتطبيق
• Microsoft Entra ID
• الحساب في Azure
• Azure Net
• الخدمات الهندسية السحابية
• ISSD: الأمان
• المصادقة متعددة العوامل
• قاعدة بيانات SQL
• التخزين

أنواع المستخدمين

يعتبر الموظفون (أو المقاولون) في Microsoft مستخدمين داخليين. يعتبر جميع المستخدمين الآخرين مستخدمين خارجيين. جميع مستخدمي Azure الداخليين لديهم حالة الموظف الخاصة بهم مصنفة بمستوى حساسية يحدد وصولهم إلى بيانات العميل (الوصول أو عدم الوصول). يتم وصف امتيازات المستخدم لـ Azure (إذن التخويل بعد إجراء المصادقة) في الجدول التالي:

الدور	داخلي أو خارجي	مستوى الحساسية	الامتيازات والوظائف المعتمدة التي يتم تنفيذها	نوع الوصول
مهندس مركز بيانات Azure	‏‏داخلي	لا يمكن الوصول إلى بيانات العملاء	إدارة الأمان المادي للأماكن. القيام بدوريات داخل وخارج مركز البيانات، ومراقبة جميع نقاط الدخول. مرافقة داخل وخارج مركز البيانات بعض الموظفين غير مسح الذين يقدمون الخدمات العامة (مثل الطعام أو التنظيف) أو تكنولوجيا المعلومات العمل داخل مركز البيانات. إجراء مراقبة وصيانة روتينية لأجهزة الشبكة. تنفيذ إدارة الحوادث وإصلاح العمل باستخدام أدوات مختلفة. إجراء مراقبة وصيانة روتينية للأجهزة الفعلية في مراكز البيانات. الوصول إلى البيئة عند الطلب من مالكي الممتلكات. قادر على إجراء تحقيقات الطب الشرعي، وتسجيل تقارير الحوادث، وتتطلب التدريب الأمني الإلزامي ومتطلبات النهج. الملكية التشغيلية وصيانة أدوات الأمان الهامة، مثل الماسحات الضوئية وجمع السجلات.	الوصول المستمر إلى البيئة.
فرز حوادث Azure (مهندسو الاستجابة السريعة)	‏‏داخلي	الوصول إلى بيانات العميل	إدارة الاتصالات بين MCIO والدعم والفرق الهندسية. فرز حوادث النظام الأساسي ومشكلات التوزيع وطلبات الخدمة.	الوصول في الوقت المناسب إلى البيئة، مع وصول مستمر محدود إلى الأنظمة غير الخاصة بالعميل.
مهندسو توزيع Azure	‏‏داخلي	الوصول إلى بيانات العميل	نشر مكونات النظام الأساسي والبرامج وتغييرات التكوين المجدولة وترقيتها لدعم Azure.	الوصول في الوقت المناسب إلى البيئة، مع وصول مستمر محدود إلى الأنظمة غير الخاصة بالعميل.
دعم انقطاع عملاء Azure (المستأجر)	‏‏داخلي	الوصول إلى بيانات العميل	تصحيح أخطاء النظام الأساسي وتشخيصها لمستأجري الحوسبة الفردية وحسابات Azure. تحليل الأخطاء. دفع الإصلاحات الهامة إلى النظام الأساسي أو العميل، ودفع التحسينات التقنية عبر الدعم.	الوصول في الوقت المناسب إلى البيئة، مع وصول مستمر محدود إلى الأنظمة غير الخاصة بالعميل.
مهندسو موقع Azure المباشر (مهندسو المراقبة) والحادث	‏‏داخلي	الوصول إلى بيانات العميل	تشخيص حالة النظام الأساسي والتخفيف من حدتها باستخدام أدوات التشخيص. إصلاحات محرك الأقراص لبرامج تشغيل وحدة التخزين، وإصلاح العناصر الناتجة عن الانقطاعات، ومساعدة إجراءات استعادة الانقطاع.	الوصول في الوقت المناسب إلى البيئة، مع وصول مستمر محدود إلى الأنظمة غير الخاصة بالعميل.
عملاء Azure	خارجي	غير متاح	غير متاح	غير متاح

يستخدم Azure معرفات فريدة لمصادقة المستخدمين والعملاء التنظيميين (أو العمليات التي تعمل نيابة عن المستخدمين التنظيميين). ينطبق هذا على جميع الأصول والأجهزة التي تعد جزءا من بيئة Azure.

مصادقة Azure الداخلية

الاتصالات بين مكونات Azure الداخلية محمية بتشفير TLS. في معظم الحالات، يتم توقيع شهادات X.509 ذاتيًا. الشهادات ذات الاتصالات التي يمكن الوصول إليها من خارج شبكة Azure هي استثناء، كما هي شهادات لأجهزة FCs. تحتوي FCs على شهادات صادرة عن شهادة مرجع Microsoft (CA) مدعومة من قبل مرجع مصدق جذري موثوق به. يسمح هذا بتدحرج المفاتيح العامة لـ FC بسهولة. بالإضافة إلى ذلك، تستخدم أدوات مطور Microsoft المفاتيح العامة لـFC. عندما يرسل المطورون صور تطبيق جديدة، يتم تشفير الصور باستخدام مفتاح عام FC من أجل حماية أي أسرار مضمنة.

مصادقة جهاز Azure

يحتفظ FC بمجموعة من بيانات الاعتماد (المفاتيح و/أو كلمات المرور) المستخدمة لمصادقة نفسه على أجهزة مختلفة تحت سيطرته. تستخدم Microsoft نظاما لمنع الوصول إلى بيانات الاعتماد هذه. على وجه التحديد، تم تصميم نقل بيانات الاعتماد هذه واستمرارها واستخدامها لمنع مطوري Azure والمسؤولين وخدمات النسخ الاحتياطي ووصول الموظفين إلى المعلومات الحساسة أو السرية أو الخاصة.

تستخدم Microsoft التشفير استنادا إلى المفتاح العام للهوية الرئيسية ل FC. يحدث هذا في أوقات إعداد FC وإعادة تكوين FC، لنقل بيانات الاعتماد المستخدمة للوصول إلى أجهزة الشبكات. عندما يحتاج FC إلى بيانات الاعتماد، يقوم FC باستردادها وفك تشفيرها.

أجهزة الشبكة

يقوم فريق شبكة Azure بتكوين حسابات خدمة الشبكة لتمكين عميل Azure من المصادقة على أجهزة الشبكة (أجهزة التوجيه ومفاتيح التبديل وموازنات التحميل).

إدارة الخدمة الآمنة

مطلوب من موظفي عمليات Azure استخدام محطات عمل المسؤول الآمنة (SAWs). يمكن للعملاء تنفيذ عناصر تحكم مماثلة باستخدام محطات عمل الوصول المتميزة. باستخدام SAWs، يستخدم الموظفون الإداريون حسابًا إداريًا معينًا بشكل فردي منفصل عن حساب المستخدم القياسي للمستخدم. يعتمد SAW على ممارسة فصل الحساب هذه من خلال توفير محطة عمل جديرة بالثقة لتلك الحسابات الحساسة.

الخطوات التالية

لمعرفة المزيد حول ما تفعله Microsoft للمساعدة في تأمين البنية الأساسية لـ Azure، راجع:

• منشآت Azure والمباني والأمان المادي
• توافر البنية الأساسية لـ Azure
• بنية شبكة Azure
• شبكة إنتاج Azure
• ميزات أمان Azure SQL Database
• عمليات الإنتاج والإدارة في Azure
• مراقبة البنية الأساسية لـ Azure
• تكامل البنية الأساسية لـ Azure
• حماية بيانات عملاء Azure