تكامل بيانات بنية Azure الأساسية

تثبيت البرامج

تم إنشاء جميع المكونات في برامج مكدس ذاكرة مؤقتة مثبتة في بيئة Azure المخصصة بعد عملية دورة تطوير الأمان من Microsoft (SDL). تنشر جميع مكونات البرامج بما في ذلك صور نظام التشغيل (OS) وقاعدة بيانات SQL كجزء من عملية إدارة التغيير وإدارة الإصدار. نظام التشغيل الذي يعمل على جميع العقد هو إصدار مخصص. يتم اختيار النسخة الدقيقة من قبل وحدة تحكم النسيج (FC) وفقًا للدور المخطط أن يلعبه نظام التشغيل. بالإضافة إلى ذلك، لا يسمح نظام التشغيل المضيف بتثبيت أي مكونات برامج غير مصرح بها.

يتم نشر بعض مكونات Azure كعملاء Azure على جهاز ظاهري ضيف يعمل على نظام تشغيل ضيف.

عمليات فحص الفيروسات على البنى

ينبغي أن تخضع بنى مكون برنامج Azure (بما في ذلك نظام التشغيل) لفحص الفيروسات الذي يستخدم أداة الحماية من الفيروسات لنقطة النهاية. ينشئ كل فحص فيروس سجلاً داخل دليل البناء المقترن، مفصلاً لما تم مسحه ضوئيا ونتائج الفحص. يعد فحص الفيروسات جزءًا من تعليمات مصدر برمجية للبنية لكل مكون داخل Azure. لا يتم نقل التعليمات البرمجية إلى الإنتاج دون إجراء فحص نظيف وناجح للفيروسات. إذا تمت الإشارة إلى المشكلات، يتم تجميد البنية. ينتقل الإصدار إلى فرق الأمان داخل Microsoft Security لتحديد مكان إدخال التعليمات البرمجية "المخادعة" للبنية.

البيئة المغلقة والمقفلة

بشكل افتراضي، لا تحتوي عقد البنية الأساسية ل Azure والأجهزة الظاهرية الضيف على حسابات مستخدمين تم إنشاؤها عليها. إضافة إلى ذلك، يتم أيضا تعطيل حسابات Windows المسؤولة الافتراضية. يمكن للمسؤولين من دعم Azure المباشر، من خلال المصادقة المناسبة، تسجيل الدخول إلى هذه الأجهزة وإدارة شبكة إنتاج Azure للإصلاحات الطارئة.

مصادقة قاعدة بيانات SQL من Azure

كما هو الحال مع أي تنفيذ SQL Server، ينبغي التحكم بإحكام في إدارة حساب المستخدم. تدعم Azure SQL Database مصادقة SQL Server فقط. لاستكمال نموذج أمان بيانات العميل ينبغي أيضًا استخدام حسابات المستخدمين بكلمات مرور قوية ومجهزة بحقوق معينة.

قوائم التحكم بالوصول وجدران الحماية بين شبكة شركة Microsoft ونظام مجموعة Azure

تحمي قوائم التحكم بالوصول (ACLs) وجدران الحماية بين النظام الأساسي للخدمة وشبكة شركة Microsoft مثيلات SQL Database من الوصول الداخلي غير المصرح به. إضافة إلى ذلك، يمكن فقط للمستخدمين من نطاقات عناوين IP من شبكة شركة Microsoft الوصول إلى نقطة نهاية إدارة النظام الأساسي لـWindows Fabric.

قوائم التحكم بالوصول وجدران الحماية بين العقد في نظام مجموعة SQL Database

كجزء من استراتيجية الدفاع في العمق، تم تنفيذ قوائم التحكم في الوصول وجدار الحماية بين العقد في مجموعة قاعدة بيانات SQL. جميع الاتصالات داخل نظام مجموعة النظام الأساسي ل Windows Fabric وجميع التعليمات البرمجية قيد التشغيل موثوق بها.

عامل مراقبة مخصص

تستعمل SQL Database عوامل مراقبة مخصصة (MAs)، تسمى أيضًا watchdogs، لمراقبة صحة نظام مجموعة SQL Database.

بروتوكولات ويب

مراقبة وإعادة تشغيل مثيل الدور

يضمن Azure أن جميع الأدوار الموزعة أو قيد التشغيل (الويب المواجه للإنترنت أو أدوار عامل المعالجة الخلفية) تخضع لمراقبة صحية مستمرة. تضمن مراقبة الصحة أنها تقدم الخدمات التي تم توفيرها من أجلها بفعالية وكفاءة. في حال أصبح الدور غير صحي إما عن طريق خطأ فادح في التطبيق الذي تتم استضافته أو مشكلة تكوين أساسية داخل مثيل الدور نفسه يكتشف FC المشكلة داخل مثيل الدور ويبدأ حالة تصحيحية.

حساب الاتصالية

يضمن Azure إمكانية الوصول إلى التطبيق أو الخدمة المنشورة من خلال البروتوكولات القياسية المستندة إلى الويب. المثيلات الظاهرية لأدوار الويب المواجهة للإنترنت لها اتصال خارجي بالإنترنت ويمكن الوصول إليها مباشرة من جانب مستخدمي الويب. لحماية حساسية وسلامة العمليات التي تقوم بها أدوار العامل نيابة عن المثيلات الظاهرية لدور الويب التي يمكن الوصول إليها بشكل عام، تتمتع المثيلات الظاهرية لأدوار عامل المعالجة الخلفية باتصال خارجي بالإنترنت ولكن لا يمكن الوصول إليها مباشرة من قبل مستخدمي الويب الخارجيين.

الخطوات التالية

لمعرفة المزيد حول ما تفعله Microsoft لتأمين البنية الأساسية لـ Azure، راجع:

• مرافق Azure ومبانيها وأمانها المادي
• توفّر البنية التحتية Azure
• حدود ومكونات نظام معلومات Azure
• بنية شبكة Azure
• شبكة إنتاج Azure
• ميزات أمان قاعدة بيانات Azure SQL
• عمليات الإنتاج والإدارة في Azure
• مراقبة بنية Azure الأساسية
• حماية Azure لبيانات العملاء