العزلة في سحابة Azure العامة
يسمح لك Azure بتشغيل التطبيقات والأجهزة الظاهرية (VMs) على البنية الأساسية المادية المشتركة. أحد الدوافع الاقتصادية الرئيسية لتشغيل التطبيقات في بيئة سحابية هو القدرة على توزيع تكلفة الموارد المشتركة بين العديد من العملاء. تعمل هذه الممارسة المتمثلة في تعدد الإيجارات على تحسين الكفاءة من خلال تعدد الموارد بين العملاء المختلفين بتكاليف منخفضة. لسوء الحظ ، فإنه يعرض أيضا خطر مشاركة الخوادم الفعلية وموارد البنية التحتية الأخرى لتشغيل تطبيقاتك الحساسة وأجهزة VM التي قد تنتمي إلى مستخدم تعسفي وربما ضار.
توضح هذه المقالة كيف يوفر Azure العزلة ضد كل من المستخدمين الضارين وغير الضارين ويعمل كدليل لتصميم الحلول السحابية من خلال تقديم خيارات عزل مختلفة للمهندسين المعماريين.
عزل مستوى المستأجر
تتمثل إحدى الفوائد الأساسية للحوسبة السحابية في مفهوم البنية التحتية المشتركة والمشتركة عبر العديد من العملاء في وقت واحد ، مما يؤدي إلى وفورات الحجم. ويسمى هذا المفهوم الإيجار المتعدد. تعمل Microsoft باستمرار للتأكد من أن البنية متعددة المستأجرين ل Microsoft Cloud Azure تدعم معايير الأمان والسرية والخصوصية والنزاهة والتوافر.
في مكان العمل الذي تم تمكينه عبر السحابة، يمكن تعريف المستأجر على أنه عميل أو مؤسسة تمتلك مثيلا معينا من تلك الخدمة السحابية وتديره. باستخدام النظام الأساسي للهوية الذي يوفره Microsoft Azure، يعد المستأجر مجرد مثيل مخصص ل Azure Active Directory (Azure AD) الذي تتلقاه مؤسستك وتمتلكه عند الاشتراك في خدمة سحابة Microsoft.
كل دليل Azure AD متميز ومنفصل عن أدلة Azure AD الأخرى. تماما كما أن مبنى مكاتب الشركة هو أصل آمن خاص بمؤسستك فقط ، فقد تم تصميم دليل Azure AD أيضا ليكون أصلا آمنا للاستخدام من قبل مؤسستك فقط. تعزل بنية Azure AD بيانات العملاء ومعلومات الهوية عن الاختلاط. وهذا يعني أن مستخدمي ومسؤولي أحد Azure AD الدليل لا يمكنهم الوصول عن طريق الخطأ أو بشكل ضار إلى البيانات الموجودة في دليل آخر.
Azure Leaseancy
يشير عقد إيجار Azure (اشتراك Azure) إلى علاقة "عميل/فوترة" ومستأجر فريد في Azure Active Directory. يتم تحقيق عزل مستوى المستأجر في Microsoft Azure باستخدام Azure Active Directory والتحكم في الوصول المستند إلى دور Azure الذي يقدمه. يرتبط كل اشتراك في Azure بدليل Azure Active Directory (AD) واحد.
يمكن للمستخدمين والمجموعات والتطبيقات من هذا الدليل إدارة الموارد في اشتراك Azure. يمكنك تعيين حقوق الوصول هذه باستخدام مدخل Azure وأدوات سطر أوامر Azure وواجهات برمجة تطبيقات إدارة Azure. يتم عزل مستأجر Azure AD منطقيا باستخدام حدود الأمان بحيث لا يمكن لأي عميل الوصول إلى المستأجرين المشاركين أو تعريضهم للخطر ، إما بشكل ضار أو عرضي. يعمل Azure AD على خوادم "معدنية عارية" معزولة على شريحة شبكة منفصلة ، حيث تمنع تصفية الحزم على مستوى المضيف وجدار الحماية Windows الاتصالات وحركة المرور غير المرغوب فيها.
يتطلب الوصول إلى البيانات في Azure AD مصادقة المستخدم عبر خدمة رمز أمان (STS). يتم استخدام معلومات حول وجود المستخدم وحالته الممكنة ودوره بواسطة نظام التخويل لتحديد ما إذا كان الوصول المطلوب إلى المستأجر المستهدف مصرح به لهذا المستخدم في جلسة العمل هذه.
المستأجرون عبارة عن حاويات منفصلة ولا توجد علاقة بينهما.
لا يمكن الوصول عبر المستأجرين ما لم يمنحه مسؤول المستأجر من خلال الاتحاد أو توفير حسابات المستخدمين من مستأجرين آخرين.
يتم تقييد الوصول الفعلي إلى الخوادم التي تشكل خدمة Azure AD ، والوصول المباشر إلى الأنظمة الخلفية Azure AD.
Azure AD المستخدمين ليس لديهم حق الوصول إلى الأصول أو المواقع الفعلية، وبالتالي لا يمكنهم تجاوز عمليات التحقق المنطقية من نهج Azure RBAC المذكورة أدناه.
بالنسبة لاحتياجات التشخيص والصيانة ، يلزم استخدام نموذج تشغيلي يستخدم نظام رفع امتياز في الوقت المناسب. يقدم Azure AD إدارة الهويات المتميزة (PIM) مفهوم المسؤول المؤهل. يجب أن يكون المشرفون المؤهلون هم المستخدمون الذين يحتاجون إلى وصول مميز بين الحين والآخر، ولكن ليس كل يوم. يكون الدور غير نشط حتى يحتاج المستخدم إلى الوصول ، ثم يكمل عملية التنشيط ويصبح مسؤولا نشطا لفترة زمنية محددة مسبقا.
يستضيف Azure Active Directory كل مستأجر في حاوية محمية خاصة به، مع نهج وأذونات للحاوية التي يملكها المستأجر ويديرها وحده وداخلها.
مفهوم حاويات المستأجرين متأصل بعمق في خدمة الدليل على جميع الطبقات ، من البوابات على طول الطريق إلى التخزين المستمر.
حتى عندما يتم تخزين بيانات التعريف من مستأجري Azure Active Directory متعددين على نفس القرص الفعلي، لا توجد علاقة بين الحاويات بخلاف ما يتم تعريفه بواسطة خدمة الدليل، والتي بدورها يمليها مسؤول المستأجر.
التحكم في الوصول إلى Azure استناداً إلى الدور (Azure RBAC)
يساعدك التحكم في الوصول المستند إلى دور Azure (Azure RBAC) على مشاركة المكونات المختلفة المتوفرة ضمن اشتراك Azure من خلال توفير إدارة وصول دقيقة ل Azure. يمكنك Azure RBAC من فصل الواجبات داخل مؤسستك ومنح حق الوصول استنادا إلى ما يحتاجه المستخدمون لأداء وظائفهم. بدلا من منح الجميع أذونات غير مقيدة في اشتراك Azure أو موارده، يمكنك السماح بإجراءات معينة فقط.
يحتوي Azure RBAC على ثلاثة أدوار أساسية تنطبق على جميع أنواع الموارد:
يتمتع المالك بحق الوصول الكامل إلى جميع الموارد بما في ذلك الحق في تفويض حق الوصول إلى الآخرين.
يمكن للمساهم إنشاء وإدارة جميع أنواع موارد Azure ولكن لا يمكنه منح حق الوصول إلى الآخرين.
يمكن للقارئ عرض موارد Azure الموجودة.
تسمح بقية أدوار Azure في Azure بإدارة موارد Azure محددة. على سبيل المثال، يسمح دور مساهم الجهاز الظاهري للمستخدم بإنشاء الأجهزة الظاهرية وإدارتها. لا يمنحهم حق الوصول إلى شبكة Azure الظاهرية أو الشبكة الفرعية التي يتصل بها الجهاز الظاهري.
تسرد أدوار Azure المضمنة الأدوار المتوفرة في Azure. وهو يحدد العمليات والنطاق الذي يمنحه كل دور مضمن للمستخدمين. إذا كنت تتطلع إلى تحديد أدوارك الخاصة لمزيد من التحكم، فراجع كيفية إنشاء أدوار مخصصة في Azure RBAC.
تتضمن بعض الإمكانات الأخرى ل Azure Active Directory ما يلي:
Azure AD تمكين الدخول الموحد (SSO) لتطبيقات SaaS، بغض النظر عن مكان استضافتها. يتم توحيد بعض التطبيقات مع Azure AD ، والبعض الآخر يستخدم SSO كلمة المرور. يمكن للتطبيقات الموحدة أيضا دعم إدارة حسابات المستخدمين وتخزين كلمة المرور.
يتم التحكم في الوصول إلى البيانات في Azure Storage عبر المصادقة. يحتوي كل حساب تخزين على مفتاح أساسي (مفتاح حساب التخزين أو SAK) ومفتاح سري ثانوي (توقيع الوصول المشترك أو SAS).
يوفر Azure AD الهوية كخدمة من خلال الاتحاد باستخدام خدمات الأمان المشترك لـ Active Directory والمزامنة والنسخ المتماثل مع الدلائل المحلية.
تتطلب Azure AD المصادقة متعددة العوامل من المستخدمين التحقق من عمليات تسجيل الدخول باستخدام تطبيق جوال أو مكالمة هاتفية أو رسالة نصية. يمكن استخدامه مع Azure AD للمساعدة في تأمين الموارد المحلية باستخدام خادم المصادقة متعدد العوامل، وكذلك مع التطبيقات والدلائل المخصصة باستخدام SDK.
تتيح لك Azure AD Domain Services الانضمام إلى أجهزة Azure الظاهرية إلى مجال Active Directory دون نشر وحدات تحكم المجال. يمكنك تسجيل الدخول إلى هذه الأجهزة الظاهرية باستخدام بيانات اعتماد Active Directory الخاصة بشركتك وإدارة الأجهزة الظاهرية المرتبطة بالمجال باستخدام نهج المجموعة لفرض خطوط أساس الأمان على جميع أجهزة Azure الظاهرية.
يوفر Azure Active Directory B2C خدمة إدارة هوية عالمية متوفرة بشكل كبير للتطبيقات التي تواجه المستهلك والتي يمكن توسيعها إلى مئات الملايين من الهويات. يمكن دمجه عبر منصات الجوال والويب. يمكن للمستهلكين تسجيل الدخول إلى جميع تطبيقاتك من خلال تجارب قابلة للتخصيص باستخدام حساباتهم الاجتماعية الحالية أو عن طريق إنشاء بيانات اعتماد.
العزل عن حذف بيانات مسؤولي & Microsoft
تتخذ Microsoft تدابير قوية لحماية بياناتك من الوصول أو الاستخدام غير المناسبين من قبل أشخاص غير مصرح لهم. يتم دعم هذه العمليات والضوابط التشغيلية من خلال شروط الخدمات عبر الإنترنت، والتي تقدم التزامات تعاقدية تحكم الوصول إلى بياناتك.
- لا يتمتع مهندسو Microsoft بإمكانية الوصول الافتراضي إلى بياناتك في السحابة. وبدلاً من ذلك، يتم منحهم حق الوصول، تحت إشراف الإدارة، عند الضرورة فقط. يتم التحكم في هذا الوصول وتسجيله بعناية ، ويتم إلغاؤه عندما لا تكون هناك حاجة إليه.
- يجوز لشركة Microsoft توظيف شركات أخرى لتقديم خدمات محدودة نيابة عنها. يجوز للمقاولين من الباطن الوصول إلى بيانات العملاء فقط لتقديم الخدمات التي قمنا بتوظيفهم لتقديمها ، ويحظر عليهم استخدامها لأي غرض آخر. علاوة على ذلك ، فهي ملزمة تعاقديا بالحفاظ على سرية معلومات عملائنا.
يتم التحقق من خدمات الأعمال الحاصلة على شهادات مدققة مثل ISO/IEC 27001 بانتظام من قبل Microsoft وشركات التدقيق المعتمدة، والتي تقوم بإجراء عمليات تدقيق العينات للتصديق على هذا الوصول، فقط لأغراض تجارية مشروعة. يمكنك دائما الوصول إلى بيانات العملاء الخاصة بك في أي وقت ولأي سبب.
إذا قمت بحذف أي بيانات، يقوم Microsoft Azure بحذف البيانات، بما في ذلك أي نسخ مخزنة مؤقتا أو نسخ احتياطية. بالنسبة للخدمات داخل النطاق، سيحدث هذا الحذف في غضون 90 يوما بعد نهاية فترة الاستبقاء. (يتم تعريف الخدمات داخل النطاق في قسم شروط معالجة البيانات في شروط الخدمات عبر الإنترنت الخاصة بنا.)
إذا كان محرك الأقراص المستخدم للتخزين يعاني من فشل في الأجهزة، مسحه أو تدميره بشكل آمن قبل أن تقوم Microsoft بإعادته إلى الشركة المصنعة لاستبداله أو إصلاحه. يتم الكتابة فوق البيانات الموجودة على محرك الأقراص لضمان عدم إمكانية استرداد البيانات بأي وسيلة.
عزل الحوسبة
يوفر Microsoft Azure العديد من خدمات الحوسبة المستندة إلى السحابة التي تتضمن مجموعة كبيرة من خدمات مثيلات & الحوسبة التي يمكن توسيعها وخفضها تلقائيا لتلبية احتياجات التطبيق أو المؤسسة. يوفر مثيل الحوسبة والخدمة هذه العزلة على مستويات متعددة لتأمين البيانات دون التضحية بالمرونة في التكوين التي يطلبها العملاء.
أحجام الأجهزة الظاهرية المعزولة
يوفر Azure Compute أحجام أجهزة ظاهرية معزولة لنوع معين من الأجهزة ومخصصة لعميل واحد. تعمل الأحجام المعزولة وتعمل على إنشاء أجهزة محددة وسيتم إهمالها عند إيقاف إنشاء الأجهزة.
تعد أحجام الأجهزة الظاهرية المعزولة الأنسب لأحمال العمل التي تتطلب درجة عالية من العزلة عن أعباء عمل العملاء الآخرين لأسباب تشمل تلبية متطلبات الامتثال والمتطلبات التنظيمية. يضمن استخدام حجم معزول أن جهازك الظاهري سيكون الجهاز الوحيد الذي يعمل على مثيل الخادم المحدد هذا.
بالإضافة إلى ذلك، نظرا لأن الأجهزة الظاهرية ذات الحجم المعزول كبيرة، قد يختار العملاء تقسيم موارد هذه الأجهزة الظاهرية باستخدام دعم Azure للأجهزة الظاهرية المتداخلة.
تتضمن عروض الأجهزة الظاهرية المعزولة الحالية ما يلي:
- Standard_E80ids_v4
- Standard_E80is_v4
- Standard_E104i_v5
- Standard_E104is_v5
- Standard_E104id_v5
- Standard_E104ids_v5
- Standard_M192is_v2
- Standard_M192ims_v2
- Standard_M192ids_v2
- Standard_M192idms_v2
- Standard_F72s_v2
- Standard_M128ms
ملاحظة
أحجام VM المعزولة لها عمر محدود للأجهزة. يرجى الاطلاع أدناه للحصول على التفاصيل
إهمال أحجام VM المعزولة
أحجام VM المعزولة لها عمر محدود للأجهزة. ستصدر Azure تذكيرات قبل 12 شهرا من تاريخ الإهمال الرسمي للأحجام وستوفر عرضا معزولا محدثا للنظر فيه.
| الحجم | تاريخ التقاعد العزل |
|---|---|
| Standard_DS15_v2 | مايو 15, 2021 |
| Standard_D15_v2 | مايو 15, 2021 |
| Standard_G5 | فبراير 15, 2022 |
| Standard_GS5 | فبراير 15, 2022 |
| Standard_E64i_v3 | فبراير 15, 2022 |
| Standard_E64is_v3 | فبراير 15, 2022 |
الأسئلة المتداولة
س: هل سيتم تقاعد الحجم أم ميزة "العزل" فقط؟
ج: في الوقت الحالي ، يتم سحب ميزة العزل الخاصة بأحجام VM فقط. ستستمر الأحجام المعزولة المهملة في الوجود في حالة غير معزولة. إذا لم تكن هناك حاجة إلى العزل ، فلا يوجد أي إجراء يجب اتخاذه وسيستمر VM في العمل كما هو متوقع.
س: هل هناك وقت توقف عندما يهبط جهاز VM الخاص بي على جهاز غير معزول؟
ج: إذا لم تكن هناك حاجة إلى العزلة ، فلن تكون هناك حاجة إلى اتخاذ أي إجراء ولن يكون هناك توقف. على العكس من ذلك ، إذا كان العزل مطلوبا ، فسيتضمن إعلاننا حجم الاستبدال الموصى به. سيتطلب اختيار حجم الاستبدال من عملائنا تغيير حجم أجهزتهم الظاهرية.
س: هل هناك أي تكلفة دلتا للانتقال إلى جهاز ظاهري غير معزول؟
ج: لا
س: متى ستتقاعد الأحجام المعزولة الأخرى؟
ج: سنقدم تذكيرات قبل 12 شهرا من الإهمال الرسمي للحجم المعزول. يتضمن إعلاننا الأخير ميزة عزل تقاعد Standard_G5 Standard_GS5 Standard_E64i_v3 Standard_E64i_v3.
س: أنا أحد عملاء Azure Service Fabric الذين يعتمدون على مستويات المتانة الفضية أو الذهبية. هل يؤثر هذا التغيير علي؟
ج: لا. ستستمر الضمانات التي توفرها مستويات متانة Service Fabric في العمل حتى بعد هذا التغيير. إذا كنت بحاجة إلى عزل الأجهزة الفعلية لأسباب أخرى، فقد تظل بحاجة إلى اتخاذ أحد الإجراءات الموضحة أعلاه.
س: ما هي المعالم الرئيسية لتقاعد D15_v2 أو DS15_v2 العزلة؟
ج:
| التاريخ | إجراء |
|---|---|
| مايو 15, 20201 | D/DS15_v2 إعلان التقاعد العزل |
| مايو 15, 2021 | إزالة ضمان عزل D/DS15_v2 |
1 سيتلقى العميل الحالي الذي يستخدم هذه الأحجام رسالة بريد إلكتروني للإعلان تحتوي على تعليمات مفصلة حول الخطوات التالية.
س: ما هي المعالم البارزة لتقاعد G5 و Gs5 و E64i_v3 وعزل E64is_v3؟
ج:
| التاريخ | إجراء |
|---|---|
| فبراير 15, 20211 | G5/GS5/E64i_v3/E64is_v3 إعلان التقاعد عن العزل |
| فبراير ۲۸, ۲۰۲۲ | إزالة ضمان عزل G5/GS5/E64i_v3/E64is_v3 |
1 سيتلقى العميل الحالي الذي يستخدم هذه الأحجام رسالة بريد إلكتروني للإعلان تحتوي على تعليمات مفصلة حول الخطوات التالية.
الخطوات التالية
يمكن للعملاء أيضا اختيار تقسيم موارد هذه الأجهزة الظاهرية المعزولة بشكل أكبر باستخدام دعم Azure للأجهزة الظاهرية المتداخلة.
مضيفون مخصصون
بالإضافة إلى المضيفين المعزولين الموصوفين في القسم السابق، يقدم Azure أيضا مضيفين مخصصين. المضيفون المخصصون في Azure هي خدمة توفر خوادم فعلية يمكنها استضافة جهاز ظاهري واحد أو أكثر، ومخصصة لاشتراك Azure واحد. توفر المضيفات المخصصة عزل الأجهزة على مستوى الخادم الفعلي. لن يتم وضع أي أجهزة ظاهرية أخرى على مضيفيك. يتم نشر المضيفين المخصصين في نفس مراكز البيانات ويشاركون نفس الشبكة والبنية التحتية للتخزين الأساسية مثل المضيفين الآخرين غير المعزولين. لمزيد من المعلومات، راجع نظرة عامة مفصلة على مضيفي Azure المخصصين.
عزل نظام التشغيل Hyper-V & الجذر بين الأجهزة الظاهرية لضيف الجذر VM &
يعتمد النظام الأساسي للحوسبة في Azure على المحاكاة الافتراضية للجهاز - مما يعني أن جميع التعليمات البرمجية للعميل يتم تنفيذها في جهاز ظاهري Hyper-V. في كل عقدة Azure (أو نقطة نهاية الشبكة)، يوجد Hypervisor يعمل مباشرة فوق الجهاز ويقسم عقدة إلى عدد متغير من الأجهزة الظاهرية للضيف (VMs).
تحتوي كل عقدة أيضًا على Root VM خاص واحد، والذي يدير نظام التشغيل المضيف. الحدود الحرجة هي عزل VM الجذر عن الأجهزة الظاهرية للضيوف والأجهزة الظاهرية للضيف عن بعضها البعض ، والتي يديرها برنامج hypervisor ونظام التشغيل الجذر. يستفيد الاقتران بين نظام التشغيل Hypervisor/root OS من عقود من خبرة Microsoft في أمان نظام التشغيل، والتعلم الأحدث من Hyper-V من Microsoft، لتوفير عزلة قوية للأجهزة الظاهرية للضيوف.
يستخدم النظام الأساسي Azure بيئة افتراضية. تعمل مثيلات المستخدم كأجهزة ظاهرية مستقلة لا يمكنها الوصول إلى خادم مضيف فعلي.
يعمل برنامج Azure hypervisor مثل نواة صغيرة ويمرر جميع طلبات الوصول إلى الأجهزة من الأجهزة الظاهرية للضيف إلى المضيف للمعالجة باستخدام واجهة ذاكرة مشتركة تسمى VM Bus. يمنع هذا المستخدمين من الحصول على وصول أولي للقراءة / الكتابة / التنفيذ إلى النظام ويخفف من مخاطر مشاركة موارد النظام.
حماية خوارزمية & متقدمة لوضع VM من هجمات القنوات الجانبية
يتضمن أي هجوم عبر VM خطوتين: وضع VM يسيطر عليه الخصم على نفس المضيف مثل أحد الأجهزة الظاهرية للضحية ، ثم اختراق حدود العزل إما لسرقة معلومات الضحية الحساسة أو التأثير على أدائها للجشع أو التخريب. يوفر Microsoft Azure الحماية في كلتا الخطوتين باستخدام خوارزمية متقدمة لوضع الجهاز الظاهري والحماية من جميع هجمات القنوات الجانبية المعروفة بما في ذلك الأجهزة الظاهرية المجاورة الصاخبة.
وحدة تحكم Azure Fabric
وحدة تحكم Azure Fabric مسؤولة عن تخصيص موارد البنية الأساسية لأحمال عمل المستأجر، وتدير الاتصالات أحادية الاتجاه من المضيف إلى الأجهزة الظاهرية. خوارزمية وضع VM الخاصة بوحدة تحكم النسيج Azure متطورة للغاية ويكاد يكون من المستحيل التنبؤ بها كمستوى مضيف فعلي.
يفرض برنامج Azure hypervisor فصل الذاكرة والعمليات بين الأجهزة الظاهرية، ويوجه حركة مرور الشبكة بأمان إلى مستأجري نظام التشغيل الضيف. هذا يلغي إمكانية هجوم القناة الجانبية على مستوى VM.
في Azure ، يكون الجذر VM خاصا: فهو يشغل نظام تشغيل صلبا يسمى نظام التشغيل الجذر الذي يستضيف وكيل النسيج (FA). يتم استخدام FAs بدورها لإدارة وكلاء الضيوف (GA) داخل أنظمة تشغيل الضيوف على الأجهزة الظاهرية للعملاء. تدير FAs أيضا عقد التخزين.
تتكون مجموعة Azure hypervisor ونظام التشغيل الجذر/FA والأجهزة الظاهرية/GAs للعملاء من عقدة حوسبة. تتم إدارة FAs بواسطة وحدة تحكم النسيج (FC) ، والتي توجد خارج عقد الحوسبة والتخزين (تتم إدارة مجموعات الحوسبة والتخزين بواسطة FCs منفصلة). إذا قام أحد العملاء بتحديث ملف تكوين التطبيق أثناء تشغيله، فسيتصل FC باتحاد كرة القدم، الذي يتصل بعد ذلك ب GAs، التي تقوم بإخطار التطبيق بتغيير التكوين. في حالة حدوث عطل في الأجهزة ، سيقوم FC تلقائيا بالعثور على الأجهزة المتاحة وإعادة تشغيل الجهاز الظاهري هناك.
الاتصال من وحدة تحكم النسيج إلى وكيل هو أحادي الاتجاه. يقوم العامل بتنفيذ خدمة محمية بواسطة SSL تستجيب فقط للطلبات الواردة من وحدة التحكم. لا يمكنه بدء الاتصالات بوحدة التحكم أو العقد الداخلية المميزة الأخرى. يتعامل FC مع جميع الاستجابات كما لو كانت غير موثوق بها.
تمتد العزلة من Root VM من الأجهزة الظاهرية للضيوف ، و VMs Guest من بعضها البعض. يتم عزل عقد الحوسبة أيضا عن عقد التخزين لزيادة الحماية.
يوفر برنامج hypervisor ونظام التشغيل المضيف مرشحات حزم الشبكة للمساعدة في ضمان عدم قدرة الأجهزة الظاهرية غير الموثوق بها على توليد حركة مرور مخادعة أو تلقي حركة مرور غير موجهة إليها، أو توجيه حركة المرور إلى نقاط نهاية البنية التحتية المحمية، أو إرسال/استقبال حركة مرور بث غير مناسبة.
قواعد إضافية تم تكوينها بواسطة عامل وحدة تحكم النسيج لعزل الجهاز الظاهري
بشكل افتراضي، يتم حظر كل حركة المرور عند إنشاء جهاز ظاهري، ثم يقوم عامل وحدة التحكم في النسيج بتكوين عامل تصفية الحزمة لإضافة قواعد واستثناءات للسماح بحركة المرور المصرح بها.
هناك فئتان من القواعد المبرمجة:
- قواعد تكوين الماكينة أو البنية التحتية: بشكل افتراضي، يتم حظر جميع الاتصالات. هناك استثناءات للسماح للجهاز الظاهري بإرسال واستقبال حركة مرور DHCP وDNS. يمكن للأجهزة الظاهرية أيضا إرسال حركة المرور إلى الإنترنت "العام" وإرسال حركة المرور إلى الأجهزة الظاهرية الأخرى داخل نفس شبكة Azure الظاهرية وخادم تنشيط نظام التشغيل. لا تتضمن قائمة الأجهزة الظاهرية للوجهات الصادرة المسموح بها الشبكات الفرعية لجهاز توجيه Azure وإدارة Azure وخصائص Microsoft الأخرى.
- ملف تكوين الدور: يحدد هذا قوائم التحكم في الوصول الواردة (ACLs) استنادا إلى نموذج خدمة المستأجر.
عزل الشبكة المحلية الظاهرية (VLAN)
هناك ثلاثة شبكات محلية ظاهرية ظاهرية في كل مجموعة:
- شبكة VLAN الرئيسية - تربط بين عقد العملاء غير الموثوق بها
- FC VLAN - يحتوي على FCs موثوق بها وأنظمة داعمة
- شبكة VLAN للجهاز - تحتوي على شبكة موثوق بها وأجهزة بنية تحتية أخرى
يسمح بالاتصال من شبكة محلية افتراضية FC إلى شبكة محلية ظاهرية (VLAN) الرئيسية، ولكن لا يمكن البدء بها من الشبكة المحلية الظاهرية (VLAN) الرئيسية إلى شبكة VLAN التابعة لنادي FC. يتم حظر الاتصال أيضا من الشبكة المحلية الظاهرية (VLAN) الرئيسية إلى شبكة VLAN الخاصة بالجهاز. وهذا يضمن أنه حتى إذا تم اختراق عقدة تقوم بتشغيل رمز العميل، فإنه لا يمكن مهاجمة العقد على FC أو شبكات VLAN الخاصة بالجهاز.
عزل التخزين
العزل المنطقي بين الحوسبة والتخزين
كجزء من تصميمه الأساسي ، يفصل Microsoft Azure الحساب المستند إلى VM عن التخزين. يتيح هذا الفصل للحساب والتخزين التوسع بشكل مستقل ، مما يسهل توفير الإيجارات المتعددة والعزلة.
لذلك، يعمل Azure Storage على أجهزة منفصلة بدون اتصال بالشبكة ب Azure Compute إلا منطقيا. هذا يعني أنه عند إنشاء قرص ظاهري ، لا يتم تخصيص مساحة القرص لسعته بالكامل. بدلا من ذلك، يتم إنشاء جدول يقوم بتعيين العناوين الموجودة على القرص الظاهري إلى مناطق على القرص الفعلي وهذا الجدول فارغ في البداية. في المرة الأولى التي يكتب فيها العميل بيانات على القرص الظاهري ، يتم تخصيص مساحة على القرص الفعلي ، ويتم وضع مؤشر عليه في الجدول.
العزل باستخدام التحكم في الوصول إلى التخزين
يحتوي التحكم في الوصول في Azure Storage على نموذج بسيط للتحكم في الوصول. يمكن لكل اشتراك في Azure إنشاء حساب تخزين واحد أو أكثر. يحتوي كل حساب تخزين على مفتاح سري واحد يستخدم للتحكم في الوصول إلى جميع البيانات الموجودة في حساب التخزين هذا.
يمكن التحكم في الوصول إلى بيانات تخزين Azure (بما في ذلك الجداول) من خلال رمز SAS (توقيع الوصول المشترك)، الذي يمنح الوصول إلى النطاق. يتم إنشاء SAS من خلال قالب استعلام (URL) ، موقع باستخدام SAK (مفتاح حساب التخزين). يمكن إعطاء عنوان URL الموقع هذا لعملية أخرى (أي مفوضة) ، والتي يمكنها بعد ذلك ملء تفاصيل الاستعلام وتقديم طلب خدمة التخزين. يمكنك SAS من منح الوصول المستند إلى الوقت للعملاء دون الكشف عن المفتاح السري لحساب التخزين.
تعني SAS أنه يمكننا منح العميل أذونات محدودة ، للكائنات الموجودة في حساب التخزين الخاص بنا لفترة زمنية محددة ومع مجموعة محددة من الأذونات. يمكننا منح هذه الأذونات المحدودة دون الحاجة إلى مشاركة مفاتيح الوصول إلى حسابك.
عزل التخزين على مستوى IP
يمكنك إنشاء جدران حماية وتحديد نطاق عناوين IP لعملائك الموثوق بهم. باستخدام نطاق عناوين IP، يمكن فقط للعملاء الذين لديهم عنوان IP ضمن النطاق المحدد الاتصال ب Azure Storage.
يمكن حماية بيانات تخزين IP من المستخدمين غير المصرح لهم عبر آلية شبكة تستخدم لتخصيص نفق مخصص أو مخصص لحركة المرور لتخزين IP.
التشفير
يوفر Azure الأنواع التالية من التشفير لحماية البيانات:
- التشفير المتنقل
- التشفير الثابت
التشفير أثناء النقل
التشفير أثناء النقل هو آلية لحماية البيانات عند نقلها عبر الشبكات. باستخدام Azure Storage، يمكنك تأمين البيانات باستخدام:
- تشفير على مستوى النقل، مثل HTTPS عند نقل البيانات إلى تخزين Azure أو خارجه.
- تشفير الأسلاك، مثل تشفير SMB 3.0 لمشاركات ملفات Azure.
- التشفير من جانب العميل، لتشفير البيانات قبل نقلها إلى التخزين وفك تشفير البيانات بعد نقلها خارج التخزين.
التشفير في حالة السكون
بالنسبة للعديد من المؤسسات ، يعد تشفير البيانات في حالة عدم الراحة خطوة إلزامية نحو خصوصية البيانات والامتثال لها وسيادتها. هناك ثلاث ميزات Azure توفر تشفير البيانات "في حالة السكون":
- يتيح لك تشفير خدمة التخزين طلب قيام خدمة التخزين تلقائيا بتشفير البيانات عند كتابتها إلى Azure Storage.
- يوفر التشفير من جانب العميل أيضا ميزة التشفير في حالة السكون.
- يسمح لك تشفير قرص Azure بتشفير أقراص نظام التشغيل وأقراص البيانات المستخدمة من قبل جهاز IaaS الظاهري.
تشفير قرص Azure
يساعدك تشفير قرص Azure للأجهزة الظاهرية (VMs) على معالجة متطلبات الأمان والتوافق المؤسسي من خلال تشفير أقراص الأجهزة الظاهرية (بما في ذلك أقراص التمهيد والبيانات) باستخدام المفاتيح والنهج التي تتحكم فيها في Azure Key Vault.
يعتمد حل "تشفير القرص" Windows على تشفير محرك Microsoft BitLocker ، ويستند حل Linux إلى dm-crypt.
يدعم الحل السيناريوهات التالية لأجهزة IaaS الظاهرية عند تمكينها في Microsoft Azure:
- التكامل مع Azure Key Vault
- الأجهزة الظاهرية القياسية من الطبقات: A وD وDS وG وGS وما إلى ذلك، سلسلة IaaS VMs
- تمكين التشفير على Windows و Linux IaaS VMs
- تعطيل التشفير على نظام التشغيل ومحركات أقراص البيانات Windows الأجهزة الظاهرية IaaS
- تعطيل التشفير على محركات أقراص البيانات للأجهزة الظاهرية Linux IaaS
- تمكين التشفير على الأجهزة الظاهرية IaaS التي تعمل بنظام التشغيل العميل Windows
- تمكين التشفير على وحدات التخزين باستخدام مسارات التركيب
- تمكين التشفير على الأجهزة الظاهرية لينكس التي تم تكوينها باستخدام شريط القرص (RAID) باستخدام mdadm
- تمكين التشفير على الأجهزة الظاهرية لينكس باستخدام LVM (إدارة وحدة التخزين المنطقية) لأقراص البيانات
- تمكين التشفير على الأجهزة الظاهرية Windows التي تم تكوينها باستخدام مساحات التخزين
- يتم دعم جميع مناطق Azure العامة
لا يدعم الحل السيناريوهات والميزات والتكنولوجيا التالية في الإصدار:
- الأجهزة الظاهرية IaaS من المستوى الأساسي
- تعطيل التشفير على محرك أقراص نظام التشغيل للأجهزة الظاهرية لنظام التشغيل Linux IaaS
- IaaS الأجهزة الظاهرية التي تم إنشاؤها باستخدام أسلوب إنشاء VM الكلاسيكي
- التكامل مع خدمة إدارة المفاتيح المحلية
- Azure Files (نظام الملفات المشترك) ونظام ملفات الشبكة (NFS) ووحدات التخزين الديناميكية والأجهزة الظاهرية Windows التي تم تكوينها باستخدام أنظمة RAID المستندة إلى البرامج
عزل قاعدة بيانات SQL
قاعدة بيانات SQL هي خدمة قاعدة بيانات علائقية في سحابة Microsoft تستند إلى محرك Microsoft SQL Server الرائد في السوق وقادرة على التعامل مع أحمال العمل الحرجة للبعثات. توفر قاعدة بيانات SQL عزلا للبيانات يمكن التنبؤ به على مستوى الحساب والجغرافيا / المنطقة واستنادا إلى الشبكات - كل ذلك مع إدارة قريبة من الصفر.
نموذج تطبيق قاعدة بيانات SQL
Microsoft SQL Database هي خدمة قاعدة بيانات علائقية مستندة إلى مجموعة النظراء مبنية على تقنيات SQL Server. يوفر خدمة قاعدة بيانات متاحة للغاية وقابلة للتطوير ومتعددة المستأجرين تستضيفها Microsoft في السحابة.
من منظور التطبيق، توفر قاعدة بيانات SQL التسلسل الهرمي التالي: يحتوي كل مستوى على احتواء واحد إلى أكثر من المستويات أدناه.
الحساب والاشتراك هما مفهومان للنظام الأساسي ل Microsoft Azure لربط الفوترة والإدارة.
تعد خوادم SQL المنطقية وقواعد البيانات SQL المفاهيم الخاصة بقاعدة البيانات ويتم إدارتها باستخدام قاعدة بيانات SQL أو واجهات OData وTSQL المتوفرة أو عبر مدخل Azure.
الخوادم الموجودة في قاعدة بيانات SQL ليست مثيلات فعلية أو ظاهرية ، بل هي مجموعات من قواعد البيانات وسياسات إدارة المشاركة والأمان ، والتي يتم تخزينها في ما يسمى بقاعدة البيانات "الرئيسية المنطقية".
تتضمن قواعد البيانات الرئيسية المنطقية ما يلي:
- SQL عمليات تسجيل الدخول المستخدمة للاتصال بالخادم
- قواعد جدار الحماية
لا يضمن وجود الفوترة والمعلومات المتعلقة بالاستخدام لقواعد البيانات من نفس الخادم على نفس المثيل الفعلي في المجموعة، وبدلا من ذلك يجب أن توفر التطبيقات اسم قاعدة البيانات الهدف عند الاتصال.
من منظور العميل ، يتم إنشاء خادم في منطقة جغرافية رسومية بينما يحدث الإنشاء الفعلي للخادم في إحدى المجموعات في المنطقة.
العزلة من خلال طوبولوجيا الشبكة
عند إنشاء خادم وتسجيل اسم DNS الخاص به، يشير اسم DNS إلى ما يسمى عنوان "Gateway VIP" في مركز البيانات المحدد حيث تم وضع الخادم.
خلف VIP (عنوان IP الافتراضي) ، لدينا مجموعة من خدمات البوابة عديمة الجنسية. بشكل عام ، تشارك البوابات عندما يكون هناك تنسيق مطلوب بين مصادر بيانات متعددة (قاعدة البيانات الرئيسية ، قاعدة بيانات المستخدم ، إلخ). تنفذ خدمات البوابة ما يلي:
- بروكسي اتصال TDS. يتضمن ذلك تحديد موقع قاعدة بيانات المستخدم في مجموعة الواجهة الخلفية ، وتنفيذ تسلسل تسجيل الدخول ثم إعادة توجيه حزم TDS إلى الواجهة الخلفية والخلفية.
- إدارة قواعد البيانات. يتضمن ذلك تنفيذ مجموعة من مهام سير العمل للقيام بعمليات قاعدة بيانات CREATE/ALTER/DROP. يمكن استدعاء عمليات قاعدة البيانات إما عن طريق استنشاق حزم TDS أو واجهات برمجة تطبيقات OData الصريحة.
- إنشاء / تغيير / إسقاط عمليات تسجيل الدخول / المستخدم
- عمليات إدارة الخادم عبر واجهة برمجة تطبيقات OData
تسمى الطبقة خلف البوابات "الواجهة الخلفية". هذا هو المكان الذي يتم فيه تخزين جميع البيانات بطريقة متاحة للغاية. يقال إن كل جزء من البيانات ينتمي إلى "قسم" أو "وحدة تجاوز الفشل" ، ولكل منها ثلاث نسخ متماثلة على الأقل. يتم تخزين النسخ المتماثلة ونسخها بواسطة محرك SQL Server وإدارتها بواسطة نظام تجاوز الفشل الذي يشار إليه غالبا باسم "النسيج".
بشكل عام ، لا يتصل النظام الخلفي بالأنظمة الصادرة إلى الأنظمة الأخرى كإجراء احترازي أمني. يتم حجز هذا للأنظمة الموجودة في طبقة الواجهة الأمامية (البوابة). تتمتع آلات طبقة البوابة بامتيازات محدودة على الآلات الخلفية لتقليل سطح الهجوم كآلية دفاع متعمقة.
العزل حسب وظيفة الماكينة والوصول إليها
قاعدة بيانات SQL (تتكون من خدمات تعمل على وظائف الجهاز المختلفة. تنقسم قاعدة بيانات SQL إلى قاعدة بيانات سحابية "خلفية" وبيئات "الواجهة الأمامية" (البوابة / الإدارة) ، مع المبدأ العام لحركة المرور التي تذهب فقط إلى الواجهة الخلفية وليس إلى الخارج. يمكن لبيئة الواجهة الأمامية التواصل مع العالم الخارجي للخدمات الأخرى ، وبشكل عام ، لديها أذونات محدودة فقط في الواجهة الخلفية (كافية للاتصال بنقاط الدخول التي تحتاج إلى استدعائها).
عزل الشبكات
يحتوي نشر Azure على طبقات متعددة من عزل الشبكة. يوضح الرسم التخطيطي التالي طبقات مختلفة من عزل الشبكة الذي يوفره Azure للعملاء. هذه الطبقات أصلية في النظام الأساسي Azure نفسه والميزات المعرفة من قبل العميل. الوارد من الإنترنت، يوفر Azure DDoS العزل ضد الهجمات واسعة النطاق ضد Azure. الطبقة التالية من العزلة هي عناوين IP العامة (نقاط النهاية) المعرفة من قبل العميل، والتي تستخدم لتحديد حركة المرور التي يمكن أن تمر عبر الخدمة السحابية إلى الشبكة الافتراضية. يضمن عزل شبكة Azure الظاهرية الأصلية العزلة الكاملة عن جميع الشبكات الأخرى، وأن حركة المرور تتدفق فقط عبر المسارات والأساليب التي تم تكوينها من قبل المستخدم. هذه المسارات والأساليب هي الطبقة التالية ، حيث يمكن استخدام NSGs و UDR والأجهزة الافتراضية للشبكة لإنشاء حدود عزل لحماية عمليات نشر التطبيقات في الشبكة المحمية.
العزل المروري:الشبكة الظاهرية هي حدود عزل حركة المرور على النظام الأساسي Azure. لا يمكن للأجهزة الظاهرية (VMs) في شبكة ظاهرية واحدة الاتصال مباشرة بالأجهزة الظاهرية في شبكة ظاهرية مختلفة، حتى إذا تم إنشاء كلتا الشبكتين الظاهريتين بواسطة نفس العميل. العزلة هي خاصية مهمة تضمن بقاء الأجهزة الظاهرية للعملاء والاتصالات خاصة داخل شبكة افتراضية.
توفر الشبكة الفرعية طبقة إضافية من العزلة في الشبكة الافتراضية استنادا إلى نطاق IP. عناوين IP في الشبكة الظاهرية ، يمكنك تقسيم شبكة افتراضية إلى شبكات فرعية متعددة للتنظيم والأمان. يمكن لمثيلات دور الأجهزة الظاهرية وPaaS التي تم نشرها على الشبكات الفرعية (نفسها أو مختلفة) داخل VNet التواصل مع بعضها البعض دون أي تكوين إضافي. يمكنك أيضا تكوين مجموعة أمان الشبكة (NSGs ) للسماح بحركة مرور الشبكة أو رفضها إلى مثيل VM استنادا إلى القواعد التي تم تكوينها في قائمة التحكم في الوصول (ACL) الخاصة ب NSG. يمكن إقران مجموعة أمان الشبكة مع الشبكات الفرعية أو مثيلات جهاز ظاهري فردية داخل تلك الشبكة الفرعية. عندما ترتبط مجموعة أمان الشبكة بشبكة فرعية، تنطبق قواعد قائمة التحكم بالوصول على كافة مثيلات الجهاز الظاهري في تلك الشبكة الفرعية.
الخطوات التالية
تعرف على خيارات عزل الشبكة للأجهزة في Windows Azure Virtual Networks. ويشمل ذلك السيناريو الكلاسيكي للواجهة الأمامية والخلفية حيث قد تسمح الأجهزة الموجودة في شبكة خلفية معينة أو شبكة فرعية معينة فقط لعملاء معينين أو أجهزة كمبيوتر أخرى بالاتصال بنقطة نهاية معينة استنادا إلى قائمة مسموح بها من عناوين IP.
تعرف على عزل الجهاز الظاهري في Azure. يوفر Azure Compute أحجام أجهزة ظاهرية معزولة لنوع معين من الأجهزة ومخصصة لعميل واحد.