Isolation in der öffentlichen Azure-CloudIsolation in the Azure Public Cloud

Mit Azure können Sie Anwendungen und virtuelle Computer (VMs) auf gemeinsam genutzter physischer Infrastruktur ausführen.Azure allows you to run applications and virtual machines (VMs) on shared physical infrastructure. Einer der wichtigsten ökonomischen Gründe für die Ausführung von Anwendungen in einer Cloudumgebung ist die Möglichkeit, die Kosten für gemeinsame Ressourcen auf mehrere Kunden zu verteilen.One of the prime economic motivations to running applications in a cloud environment is the ability to distribute the cost of shared resources among multiple customers. Diese Nutzung der Mehrinstanzenfähigkeit sorgt für eine Verbesserung der Effizienz, indem das Ressourcen-Multiplexing für verschiedene Kunden zu niedrigen Kosten durchgeführt wird.This practice of multi-tenancy improves efficiency by multiplexing resources among disparate customers at low costs. Leider ist dies auch mit dem Risiko verbunden, physische Server und andere Infrastrukturressourcen für die Ausführung Ihrer sensiblen Anwendungen und VMs freizugeben, die sich ggf. im Besitz eines unbekannten und potenziell böswilligen Benutzers befinden.Unfortunately, it also introduces the risk of sharing physical servers and other infrastructure resources to run your sensitive applications and VMs that may belong to an arbitrary and potentially malicious user.

In diesem Artikel wird beschrieben, wie Azure die Isolation gegenüber böswilligen und unbedenklichen Benutzern ermöglicht, und er dient als Anleitung für die Erstellung von Cloudlösungen, indem für IT-Architekten verschiedene Isolationsoptionen angeboten werden.This article outlines how Azure provides isolation against both malicious and non-malicious users and serves as a guide for architecting cloud solutions by offering various isolation choices to architects.

Isolation auf MandantenebeneTenant Level Isolation

Einer der Hauptvorteile des Cloud Computing ist das Konzept der gemeinsamen, allgemeinen Infrastruktur für eine größere Zahl von Kunden, mit dem Kostenersparnisse realisiert werden können.One of the primary benefits of cloud computing is concept of a shared, common infrastructure across numerous customers simultaneously, leading to economies of scale. Dieses Konzept wird als Mehrinstanzenfähigkeit bezeichnet.This concept is called multi-tenancy. Microsoft arbeitet ständig daran sicherzustellen, dass die mehrinstanzenfähige Architektur von Microsoft Cloud Azure die geltenden Standards in Bezug auf Sicherheit, Vertraulichkeit, Datenschutz, Integrität und Verfügbarkeit unterstützt.Microsoft works continuously to ensure that the multi-tenant architecture of Microsoft Cloud Azure supports security, confidentiality, privacy, integrity, and availability standards.

An einem cloudaktivierten Arbeitsplatz kann ein Mandant als ein Client oder eine Organisation definiert werden, die eine bestimmte Instanz dieses Clouddienstes besitzt und verwaltet.In the cloud-enabled workplace, a tenant can be defined as a client or organization that owns and manages a specific instance of that cloud service. Bei der von Microsoft Azure bereitgestellten Identitätsplattform ist ein Mandant einfach eine dedizierte Instanz von Azure Active Directory (Azure AD), die Ihre Organisation erhält und besitzt, wenn sie sich für einen Microsoft-Clouddienst registriert.With the identity platform provided by Microsoft Azure, a tenant is simply a dedicated instance of Azure Active Directory (Azure AD) that your organization receives and owns when it signs up for a Microsoft cloud service.

Jedes Azure AD-Verzeichnis ist eindeutig und von anderen Azure AD-Verzeichnissen getrennt.Each Azure AD directory is distinct and separate from other Azure AD directories. Genau so wie ein Bürogebäude, das ein sicherer Ort nur für Ihre Organisation ist, soll auch ein Azure AD-Verzeichnis ein sicheres Anlagegut nur für Ihre Organisation darstellen.Just like a corporate office building is a secure asset specific to only your organization, an Azure AD directory was also designed to be a secure asset for use by only your organization. Die Azure AD-Architektur isoliert Kundendaten und Identitätsinformationen und verhindert deren Vermischung.The Azure AD architecture isolates customer data and identity information from co-mingling. Dies bedeutet, dass Benutzer und Administratoren eines Azure AD-Verzeichnisses nicht versehentlich oder böswillig auf Daten in einem anderen Verzeichnis zugreifen können.This means that users and administrators of one Azure AD directory cannot accidentally or maliciously access data in another directory.

Azure-MandantAzure Tenancy

Die Bezeichnung „Azure-Mandant“ (Azure-Abonnement) bezieht sich auf eine Kunden-/Abrechnungsbeziehung und einen eindeutigen Mandanten in Azure Active Directory.Azure tenancy (Azure Subscription) refers to a “customer/billing” relationship and a unique tenant in Azure Active Directory. Die Isolation auf Mandantenebene wird in Microsoft Azure mithilfe von Azure Active Directory und der damit verbundenen rollenbasierten Zugriffssteuerung von Azure erreicht.Tenant level isolation in Microsoft Azure is achieved using Azure Active Directory and Azure role-based access control offered by it. Jedes Azure-Abonnement ist mit einem Azure Active Directory-Verzeichnis (AD) verknüpft.Each Azure subscription is associated with one Azure Active Directory (AD) directory.

Benutzer, Gruppen und Anwendungen aus diesem Verzeichnis können Ressourcen im Azure-Abonnement verwalten.Users, groups, and applications from that directory can manage resources in the Azure subscription. Sie können diese Zugriffsrechte mit dem Azure-Portal, Azure-Befehlszeilentools und Azure-Verwaltungs-APIs zuweisen.You can assign these access rights using the Azure portal, Azure command-line tools, and Azure Management APIs. Ein Azure AD-Mandant ist logisch isoliert und nutzt Sicherheitsgrenzen, sodass kein Kunde auf andere Mandanten zugreifen oder diese kompromittieren kann – weder in böswilliger Absicht noch versehentlich.An Azure AD tenant is logically isolated using security boundaries so that no customer can access or compromise co-tenants, either maliciously or accidentally. Azure AD wird auf „Bare-Metal“-Servern ausgeführt, die in einem abgetrennten Netzwerksegment isoliert sind, für das per Paketfilterung auf Hostebene und über die Windows-Firewall unerwünschte Verbindungen und Datenübertragungen blockiert werden.Azure AD runs on “bare metal” servers isolated on a segregated network segment, where host-level packet filtering and Windows Firewall block unwanted connections and traffic.

  • Zugriff auf Daten in Azure AD erfordert die Benutzerauthentifizierung über einen Sicherheitstokendienst (Security Token Service, STS).Access to data in Azure AD requires user authentication via a security token service (STS). Informationen zu Vorhandensein, Aktivierungsstatus und Rolle des Benutzers verwendet das Autorisierungssystem, um festzustellen, ob der Benutzer in dieser Sitzung für den angeforderten Zugriff auf den Zielmandanten autorisiert ist.Information on the user’s existence, enabled state, and role is used by the authorization system to determine whether the requested access to the target tenant is authorized for this user in this session.

Azure-Mandant

  • Mandanten sind diskrete Container, zwischen denen keine Beziehung besteht.Tenants are discrete containers and there is no relationship between these.

  • Für Mandanten ist der Zugriff untereinander nur möglich, wenn dies vom Mandantenadministrator durch einen Verbund oder die Bereitstellung von Benutzerkonten anderer Mandanten gewährt wird.No access across tenants unless tenant admin grants it through federation or provisioning user accounts from other tenants.

  • Der physische Zugriff auf die Server des Azure AD-Diensts und der direkte Zugriff auf die Back-End-Systeme von Azure AD ist eingeschränkt.Physical access to servers that comprise the Azure AD service, and direct access to Azure AD’s back-end systems, is restricted.

  • Azure AD-Benutzer haben keinen Zugriff auf physische Assets oder Standorte und können daher auch nicht die logischen Azure RBAC-Richtlinien umgehen. Diese sind unten beschrieben.Azure AD users have no access to physical assets or locations, and therefore it is not possible for them to bypass the logical Azure RBAC policy checks stated following.

Für Diagnose- und Wartungszwecke ist ein Betriebsmodell mit einem System für Just-in-Time-Rechteerweiterungen erforderlich und wird entsprechend verwendet.For diagnostics and maintenance needs, an operational model that employs a just-in-time privilege elevation system is required and used. Mit Azure AD Privileged Identity Management (PIM) wird das Konzept der „berechtigten Administratoren“ eingeführt. Berechtigte Administratoren sollten Benutzer sein, die von Zeit zu Zeit (aber nicht jeden Tag) Zugriff mit erhöhten Rechten benötigen.Azure AD Privileged Identity Management (PIM) introduces the concept of an eligible admin. Eligible admins should be users that need privileged access now and then, but not every day. Die Rolle ist inaktiv, bis der Benutzer Zugriff benötigt. Dann wird eine Aktivierung ausgeführt, und der Benutzer wird für einen zuvor festgelegten Zeitraum zu einem aktiven Administrator.The role is inactive until the user needs access, then they complete an activation process and become an active admin for a predetermined amount of time.

Azure AD Privileged Identity Management

In Azure Active Directory wird jeder Mandant in einem eigenen geschützten Container mit Richtlinien und Berechtigungen gehostet, wobei der Container im alleinigen Besitz des Mandanten ist und von diesem verwaltet wird.Azure Active Directory hosts each tenant in its own protected container, with policies and permissions to and within the container solely owned and managed by the tenant.

Das Konzept der Mandantencontainer ist auf allen Ebenen tief in den Verzeichnisdienst eingebettet – von Portalen bis hin zu persistentem Speicher.The concept of tenant containers is deeply ingrained in the directory service at all layers, from portals all the way to persistent storage.

Auch wenn Metadaten mehrerer Azure Active Directory-Mandanten auf demselben physischen Datenträger gespeichert sind, besteht keine Beziehung zwischen den Containern, sondern es gilt nur, was vom Verzeichnisdienst definiert wird. Dies wird wiederum vom Mandantenadministrator vorgegeben.Even when metadata from multiple Azure Active Directory tenants is stored on the same physical disk, there is no relationship between the containers other than what is defined by the directory service, which in turn is dictated by the tenant administrator.

Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)Azure role-based access control (Azure RBAC)

Die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) unterstützt Sie beim Freigeben der unterschiedlichen Komponenten, die in einem Azure-Abonnement verfügbar sind, indem eine präzise Zugriffsverwaltung für Azure ermöglicht wird.Azure role-based access control (Azure RBAC) helps you to share various components available within an Azure subscription by providing fine-grained access management for Azure. Mithilfe von Azure RBAC können Sie die Aufgabenbereiche in Ihrer Organisation unterteilen und den Zugriff jeweils in Abhängigkeit davon gewähren, was Benutzer zum Erledigen ihrer Arbeit benötigen.Azure RBAC enables you to segregate duties within your organization and grant access based on what users need to perform their jobs. Anstatt allen Benutzern uneingeschränkte Berechtigungen für das Azure-Abonnement oder Ressourcen zu gewähren, können Sie die Berechtigungen auf bestimmte Aktionen beschränken.Instead of giving everybody unrestricted permissions in Azure subscription or resources, you can allow only certain actions.

Azure RBAC verfügt über drei grundlegende Rollen, die für alle Ressourcentypen gelten:Azure RBAC has three basic roles that apply to all resource types:

  • Besitzer verfügen über vollständigen Zugriff auf alle Ressourcen, einschließlich des Rechts, den Zugriff an andere Personen zu delegieren.Owner has full access to all resources including the right to delegate access to others.

  • Mitwirkende können alle Arten von Azure-Ressourcen erstellen und verwalten, aber keinen anderen Personen Zugriff gewähren.Contributor can create and manage all types of Azure resources but can’t grant access to others.

  • Leser können vorhandene Azure-Ressourcen anzeigen.Reader can view existing Azure resources.

Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)

Die verbleibenden Azure-Rollen in Azure ermöglichen die Verwaltung von bestimmten Azure-Ressourcen.The rest of the Azure roles in Azure allow management of specific Azure resources. Mit der Rolle „Mitwirkender von virtuellen Computern“ können Benutzer beispielsweise virtuelle Computer erstellen und verwalten.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Sie haben damit keinen Zugriff auf das virtuelle Azure-Netzwerk oder das Subnetz, mit dem der virtuelle Computer verbunden ist.It does not give them access to the Azure Virtual Network or the subnet that the virtual machine connects to.

Unter Integrierte Azure-Rollen sind die Rollen aufgeführt, die in Azure verfügbar sind.Azure built-in roles list the roles available in Azure. Hierbei werden die Vorgänge und der Bereich angegeben, die mit jeder integrierten Rolle für Benutzer gewährt werden.It specifies the operations and scope that each built-in role grants to users. Wenn Sie Ihre eigenen Rollen definieren möchten, um eine noch bessere Kontrolle zu haben, helfen Ihnen die Informationen zum Erstellen von benutzerdefinierten Rollen in Azure RBACweiter.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Weitere Beispiele für Azure Active Directory-Funktionen sind:Some other capabilities for Azure Active Directory include:

  • Azure AD ermöglicht SSO für SaaS-Anwendungen unabhängig davon, wo sie gehostet werden.Azure AD enables SSO to SaaS applications, regardless of where they are hosted. Einige Anwendungen bilden einen Verbund mit Azure AD, andere verwenden Kennwort-SSO.Some applications are federated with Azure AD, and others use password SSO. Verbundanwendungen können auch die Benutzerbereitstellung und Kennworttresore unterstützen.Federated applications can also support user provisioning and password vaulting.

  • Der Zugriff auf Daten in Azure Storage wird über die Authentifizierung gesteuert.Access to data in Azure Storage is controlled via authentication. Jedes Speicherkonto verfügt über einen Primärschlüssel (Speicherkontoschlüssel; Storage Account Key, SAK) und einen sekundären geheimen Schlüssel (Shared Access Signature, SAS).Each storage account has a primary key (storage account key, or SAK) and a secondary secret key (the shared access signature, or SAS).

  • Azure AD bietet Identity-as-a-Service durch Verbund (unter Verwendung der Active Directory-Verbunddienste) sowie Synchronisierung und Replikation mit lokalen Verzeichnissen.Azure AD provides Identity as a Service through federation by using Active Directory Federation Services, synchronization, and replication with on-premises directories.

  • Azure AD Multi-Factor Authentication ist der Dienst für die mehrstufige Authentifizierung, bei der Benutzer Anmeldevorgänge über eine mobile App, einen Telefonanruf oder per SMS bestätigen müssen.Azure AD Multi-Factor Authentication is the multi-factor authentication service that requires users to verify sign-ins by using a mobile app, phone call, or text message. Er kann mit Azure AD verwendet werden, um lokale Ressourcen mit dem Azure Multi-Factor Authentication-Server zu schützen, eignet sich aber auch für benutzerdefinierte Anwendungen und Verzeichnisse, die das SDK verwenden.It can be used with Azure AD to help secure on-premises resources with the Azure Multi-Factor Authentication server, and also with custom applications and directories using the SDK.

  • Mit Azure AD Domain Services können Sie virtuelle Azure-Computer in eine Active Directory-Domäne einbinden, ohne Domänencontroller bereitzustellen.Azure AD Domain Services lets you join Azure virtual machines to an Active Directory domain without deploying domain controllers. Sie können sich bei diesen virtuellen Computern mithilfe Ihrer Active Directory-Unternehmensanmeldeinformationen anmelden und in die Domäne eingebundene virtuelle Computer mithilfe von Gruppenrichtlinien verwalten, um Sicherheitsbaselines für alle Ihre virtuellen Azure-Computer zu erzwingen.You can sign in to these virtual machines with your corporate Active Directory credentials and administer domain-joined virtual machines by using Group Policy to enforce security baselines on all your Azure virtual machines.

  • Azure Active Directory B2C bietet einen hoch verfügbaren, globalen Identitätsverwaltungsdienst für kundenorientierte Anwendungen, der für Millionen von Identitäten skaliert werden kann.Azure Active Directory B2C provides a highly available global-identity management service for consumer-facing applications that scales to hundreds of millions of identities. Er kann über mobile und Webplattformen integriert werden.It can be integrated across mobile and web platforms. Ihre Kunden können sich über eine anpassbare Oberfläche bei all Ihren Anwendungen anmelden und zu diesem Zweck entweder vorhandene Konten aus sozialen Netzwerken nutzen oder Anmeldeinformationen festlegen.Your consumers can sign in to all your applications through customizable experiences by using their existing social accounts or by creating credentials.

Isolation gegenüber Microsoft-Administratoren und DatenlöschungIsolation from Microsoft Administrators & Data Deletion

Microsoft ergreift strenge Maßnahmen, um Ihre Daten vor unerwünschtem Zugriff und dem Zugriff durch unbefugte Personen zu schützen.Microsoft takes strong measures to protect your data from inappropriate access or use by unauthorized persons. Diese auf den Betrieb bezogenen Prozesse und Kontrollen basieren auf den Nutzungsbedingungen für Online Services, die vertragliche Zusagen zum Zugriff auf Ihre Daten enthalten.These operational processes and controls are backed by the Online Services Terms, which offer contractual commitments that govern access to your data.

  • Microsoft-Techniker haben standardmäßig keinen Zugriff auf Ihre Daten in der Cloud.Microsoft engineers do not have default access to your data in the cloud. Sie erhalten nur bei Bedarf und unter Aufsicht der Managementebene Zugriff.Instead, they are granted access, under management oversight, only when necessary. Dieser Zugriff wird sorgfältig kontrolliert und protokolliert und widerrufen, wenn er nicht mehr benötigt wird.That access is carefully controlled and logged, and revoked when it is no longer needed.
  • Es kann sein, dass Microsoft andere Unternehmen damit beauftragt, in begrenztem Umfang Dienstleistungen im Namen von Microsoft zu übernehmen.Microsoft may hire other companies to provide limited services on its behalf. Subunternehmer dürfen nur auf Kundendaten zugreifen, um die von uns in Auftrag gegebenen Dienstleistungen bereitzustellen, und die Nutzung zu anderen Zwecken ist untersagt.Subcontractors may access customer data only to deliver the services for which, we have hired them to provide, and they are prohibited from using it for any other purpose. Darüber hinaus sind Subunternehmer vertraglich dazu verpflichtet, die Vertraulichkeit der Informationen unserer Kunden zu wahren.Further, they are contractually bound to maintain the confidentiality of our customers’ information.

Unternehmensdienstleistungen, die Prüfzertifizierungen unterliegen (z.B. ISO/IEC 27001), werden von Microsoft und akkreditierten Prüfunternehmen regelmäßig überprüft. Diese Überprüfungen werden stichprobenartig durchgeführt, um nachzuweisen, dass der Zugriff nur zu zulässigen geschäftlichen Zwecken erfolgt.Business services with audited certifications such as ISO/IEC 27001 are regularly verified by Microsoft and accredited audit firms, which perform sample audits to attest that access, only for legitimate business purposes. Auf Ihre eigenen Kundendaten können Sie jederzeit und aus jedem Grund zugreifen.You can always access your own customer data at any time and for any reason.

Wenn Sie Daten löschen, werden diese Daten von Microsoft Azure gelöscht, einschließlich zwischengespeicherte Daten und Sicherungskopien.If you delete any data, Microsoft Azure deletes the data, including any cached or backup copies. Für Dienste innerhalb des Gültigkeitsbereichs wird dieser Löschvorgang innerhalb von 90 Tagen nach dem Ende des Aufbewahrungszeitraums durchgeführt.For in-scope services, that deletion will occur within 90 days after the end of the retention period. (Dienste innerhalb des Gültigkeitsbereichs sind im Abschnitt mit den Bedingungen zur Datenverarbeitung in den Nutzungsbedingungen für Online Services definiert.)(In-scope services are defined in the Data Processing Terms section of our Online Services Terms.)

Wenn für einen zum Speichern verwendeten Datenträger ein Hardwarefehler auftritt, wird er auf sichere Weise gelöscht oder zerstört, bevor er von Microsoft zwecks Austausch oder Reparatur an den Hersteller zurückgeschickt wird.If a disk drive used for storage suffers a hardware failure, it is securely erased or destroyed before Microsoft returns it to the manufacturer for replacement or repair. Die Daten auf dem Laufwerk werden überschrieben, um sicherzustellen, dass die Daten nicht mehr wiederhergestellt werden können.The data on the drive is overwritten to ensure that the data cannot be recovered by any means.

ComputeisolationCompute Isolation

Microsoft Azure enthält viele verschiedene cloudbasierte Computingdienste mit einer großen Auswahl an Computeinstanzen und -diensten, die automatisch hoch- und herunterskaliert werden können, um die Anforderungen Ihrer Anwendung bzw. Ihres Unternehmens zu erfüllen.Microsoft Azure provides various cloud-based computing services that include a wide selection of compute instances & services that can scale up and down automatically to meet the needs of your application or enterprise. Diese Computeinstanz bzw. der Computedienst ermöglichen die Isolation auf mehreren Ebenen, um Daten zu schützen, ohne dass auf die von Kunden gewünschte Flexibilität bei der Konfiguration verzichtet werden muss.These compute instance and service offer isolation at multiple levels to secure data without sacrificing the flexibility in configuration that customers demand.

Isolierte Größen virtueller ComputerIsolated Virtual Machine Sizes

Azure Compute bietet VM-Größen, die für einen bestimmten Hardwaretyp isoliert und für einen einzelnen Kunden bestimmt sind.Azure Compute offers virtual machine sizes that are Isolated to a specific hardware type and dedicated to a single customer. Die Größen isolierter VMs gelten für eine bestimmte Hardwaregeneration und sind veraltet, sobald die Hardwaregeneration außer Betrieb gesetzt wird.The Isolated sizes live and operate on specific hardware generation and will be deprecated when the hardware generation is retired.

Die Größen isolierter VMs eignen sich am besten für Workloads, die ein hohes Maß an Isolation von den Workloads anderer Kunden erfordern, beispielsweise um Compliance zu erzielen und gesetzliche Anforderungen zu erfüllen.Isolated virtual machine sizes are best suited for workloads that require a high degree of isolation from other customers’ workloads for reasons that include meeting compliance and regulatory requirements. Durch die Verwendung isolierter Größen wird sichergestellt, dass Ihr virtueller Computer als einziger in der jeweiligen Serverinstanz ausgeführt wird.Utilizing an isolated size guarantees that your virtual machine will be the only one running on that specific server instance.

Da isolierte VMs groß sind, können Kunden die Ressourcen dieser VMs zudem unterteilen, indem sie die Azure-Support für geschachtelte VMs verwenden.Additionally, as the Isolated size VMs are large, customers may choose to subdivide the resources of these VMs by using Azure support for nested virtual machines.

Zu den aktuellen Angebote isolierter virtueller Computer zählen Folgende:The current Isolated virtual machine offerings include:

  • Standard_E64is_v3Standard_E64is_v3
  • Standard_E64i_v3Standard_E64i_v3
  • Standard_E80ids_v4
  • Standard_E80is_v4
  • Standard_M128msStandard_M128ms
  • Standard_GS5Standard_GS5
  • Standard_G5Standard_G5
  • Standard_F72s_v2Standard_F72s_v2

Hinweis

Die Größen von isolierten VMs haben eine durch die Hardware begrenzte Lebensdauer.Isolated VM Sizes have a hardware limited lifespan. Ausführliche Informationen hierzu finden Sie weiter unten.Please see below for details

Eingestellte Unterstützung von Größen isolierter VMsDeprecation of Isolated VM Sizes

Da es sich bei der Größe isolierter VMs um eine hardwaregebundene Größe handelt, werden über Azure 12 Monate vor der offiziellen Einstellung der Unterstützung der Größe Erinnerungen bereitgestellt.As Isolated VM sizes are hardware bound sizes, Azure will provide reminders 12 months in advance of the official deprecation of the sizes. Zudem wird über Azure eine aktualisierte Größe isolierter VMs für die nächste Hardwareversion bereitgestellt, auf die der Kunde seine Workload verschieben kann.Azure will also offer an updated isolated size on our next hardware version that the customer could consider moving their workload onto.

SizeSize Datum für die Außerbetriebnahme der IsolationIsolation Retirement Date
Standard_DS15_v21Standard_DS15_v21 15. Mai 2020May 15, 2020
Standard_D15_v21Standard_D15_v21 15. Mai 2020May 15, 2020

1 Ausführliche Informationen zum Programm für die Außerbetriebnahme von Isolation Standard_DS15_v2 und Standard_D15_v2 finden Sie in den häufig gestellten Fragen.1 For details on Standard_DS15_v2 and Standard_D15_v2 isolation retirement program see FAQs

Häufig gestellte FragenFAQ

F: Wird die Unterstützung der Größe eingestellt oder nur das Feature „Isolation“?Q: Is the size going to get retired or only "isolation" feature is?

A: Wenn die VM-Größe keinen „i“-Index aufweist, wird nur die Unterstützung des Features „Isolation“ eingestellt.A: If the virtual machine size does not have the "i" subscript, then only "isolation" feature will be retired. Wenn keine Isolation erforderlich ist, muss nichts unternommen werden und die VM funktioniert weiterhin erwartungsgemäß.If isolation is not needed, there is no action to be taken and the VM will continue to work as expected. Beispiele hierfür sind Standard_DS15_v2, Standard_D15_v2, Standard_M128ms usw. Wenn die VM-Größe einen „i“-Index aufweist, wird die Unterstützung der Größe eingestellt.Examples include Standard_DS15_v2, Standard_D15_v2, Standard_M128ms etc. If the virtual machine size includes "i" subscript, then the size is going to get retired.

F: Gibt es eine Ausfallzeit, wenn meine VM auf nicht isolierte Hardware verschoben wird?Q: Is there a downtime when my vm lands on a non-isolated hardware?

A: Wenn keine Isolation erforderlich ist, muss nichts unternommen werden und es treten keine Ausfallzeiten auf.A: If there is no need of isolation, no action is needed and there will be no downtime.

F: Gibt es Kostenänderungen beim Umstieg auf eine nicht isolierte VM?Q: Is there any cost delta for moving to a non-isolated virtual machine?

A: NeinA: No

F: Wann werden die anderen isolierten Größen außer Betrieb genommen?Q: When are the other isolated sizes going to retire?

A: Wir werden 12 Monate vor der offiziellen Einstellung der Unterstützung der Größen von isolierten VMs Erinnerungen bereitstellen.A: We will provide reminders 12 months in advance of the official deprecation of the isolated size.

F: Ich bin ein Azure Service Fabric-Kunde, der die Dauerhaftigkeitsstufen Silver oder Gold verwendet.Q: I'm an Azure Service Fabric Customer relying on the Silver or Gold Durability Tiers. Wirkt sich diese Änderung auf mich aus?Does this change impact me?

A: Nein.A: No. Die von den Dauerhaftigkeitsstufen von Service Fabric bereitgestellten Garantien werden auch nach dieser Änderung weiterhin funktionieren.The guarantees provided by Service Fabric's Durability Tiers will continue to function even after this change. Wenn Sie aus anderen Gründen physische Hardwareisolierung benötigen, müssen Sie möglicherweise dennoch eine der oben beschriebenen Aktionen ausführen.If you require physical hardware isolation for other reasons, you may still need to take one of the actions described above.

F: Welche Meilensteine gibt es bei der Einstellung der Unterstützung der Isolation von D15_v2 bzw. DS15_v2?Q: What are the milestones for D15_v2 or DS15_v2 isolation retirement?

A:A:

DateDate AktionAction
18. November 2019November 18, 2019 Verfügbarkeit von D/DS15i_v2 (PAYG, 1 Jahr RI)Availability of D/DS15i_v2 (PAYG, 1-year RI)
14. Mai 2020May 14, 2020 Letzter Tag zum Erwerb von D/DS15i_v2 RI für 1 JahrLast day to buy D/DS15i_v2 1-year RI
15. Mai 2020May 15, 2020 D/DS15_v2-Isolationsgarantie entferntD/DS15_v2 isolation guarantee removed
15. Mai 2021May 15, 2021 Außerbetriebnahme von D/DS15i_v2 (alle Kunden mit Ausnahme derjenigen, die vor dem 18. November 2019 RIs von D/DS15_v2 für 3 Jahre erworben haben)Retire D/DS15i_v2 (all customers except who bought 3-year RI of D/DS15_v2 before November 18, 2019)
17. November 2022November 17, 2022 Außerbetriebnahme von D/DS15i_v2 nach Ablauf von RIs für 3 Jahre (für Kunden, die vor dem 18. November 2019 RIs von D/DS15_v2 für 3 Jahre erworben haben)Retire D/DS15i_v2 when 3-year RIs done (for customers who bought 3-year RI of D/DS15_v2 before November 18, 2019)

Nächste SchritteNext steps

Kunden können auch die Ressourcen dieser isolierten virtuellen Computer weiter unterteilen, indem sie die Azure-Unterstützung für geschachtelte virtuelle Computer verwenden.Customers can also choose to further subdivide the resources of these Isolated virtual machines by using Azure support for nested virtual machines.

Dedizierte HostsDedicated hosts

Neben den im vorherigen Abschnitt beschriebenen isolierten Hosts bietet Azure auch dedizierte Hosts.In addition to the isolated hosts described in the preceding section, Azure also offers dedicated hosts. Bei dedizierten Hosts in Azure handelt es sich um einen Dienst für die Bereitstellung physischer Server, die virtuelle Computer hosten können und für ein einzelnes Azure-Abonnement reserviert sind.Dedicated hosts in Azure is a service that provides physical servers that can host one or more virtual machines, and which are dedicated to a single Azure subscription. Dedizierte Hosts bieten Hardwareisolation auf physischer Serverebene.Dedicated hosts provide hardware isolation at the physical server level. Es werden keine anderen virtuellen Computer auf Ihren Hosts platziert.No other VMs will be placed on your hosts. Dedizierte Hosts werden in den gleichen Rechenzentren bereitgestellt und nutzen das gleiche Netzwerk und die gleiche zugrunde liegende Speicherinfrastruktur wie andere, nicht isolierte Hosts.Dedicated hosts are deployed in the same datacenters and share the same network and underlying storage infrastructure as other, non-isolated hosts. Weitere Informationen finden Sie in der umfassenden Übersicht zu dedizierten Azure-Hosts.For more information, see the detailed overview of Azure dedicated hosts.

Hyper-V- und Stammbetriebssystem-Isolation zwischen Stamm-VM und Gast-VMsHyper-V & Root OS Isolation Between Root VM & Guest VMs

Die Computeplattform von Azure basiert auf der Virtualisierung von Computern. Dies bedeutet, dass der gesamte Kundencode auf einem virtuellen Hyper-V-Computer ausgeführt wird.Azure’s compute platform is based on machine virtualization—meaning that all customer code executes in a Hyper-V virtual machine. Auf jedem Azure-Knoten (bzw. Netzwerkendpunkt) ist ein Hypervisor angeordnet, der direkt über die Hardware ausgeführt wird und einen Knoten in eine variable Anzahl von virtuellen Gastcomputern unterteilt.On each Azure node (or network endpoint), there is a Hypervisor that runs directly over the hardware and divides a node into a variable number of Guest Virtual Machines (VMs).

Hyper-V- und Stammbetriebssystem-Isolation zwischen Stamm-VM und Gast-VMs

Darüber hinaus weist jeder Knoten eine spezielle Stamm-VM auf, auf der das Hostbetriebssystem ausgeführt wird.Each node also has one special Root VM, which runs the Host OS. Eine kritische Grenze ist die Isolation der Stamm-VM von den Gast-VMs und der Gast-VMs voneinander. Diese Vorgänge werden vom Hypervisor und dem Stammbetriebssystem verwaltet.A critical boundary is the isolation of the root VM from the guest VMs and the guest VMs from one another, managed by the hypervisor and the root OS. Der Hypervisor und das Stammbetriebssystem basieren auf mehreren Jahrzehnten Erfahrung, die Microsoft in Bezug auf die Sicherheit von Betriebssystemen besitzt, sowie auf neueren Erfahrungen mit Hyper-V von Microsoft, um eine strenge Isolation von Gast-VMs zu ermöglichen.The hypervisor/root OS pairing leverages Microsoft's decades of operating system security experience, and more recent learning from Microsoft's Hyper-V, to provide strong isolation of guest VMs.

Die Azure-Plattform verwendet eine virtualisierte Umgebung.The Azure platform uses a virtualized environment. Benutzerinstanzen werden als eigenständige virtuelle Computer ausgeführt, die keinen Zugriff auf einen physischen Hostserver haben.User instances operate as standalone virtual machines that do not have access to a physical host server.

Der Hypervisor von Azure verhält sich wie ein Microkernel und übergibt alle Hardwarezugriffsanforderungen von virtuellen Gastcomputern an den Host, damit sie über eine Schnittstelle mit gemeinsam genutztem Speicherbereich namens VMBus verarbeitet werden.The Azure hypervisor acts like a micro-kernel and passes all hardware access requests from guest virtual machines to the host for processing by using a shared-memory interface called VMBus. Dies verhindert, dass Benutzer RAW-Lese-, -Schreib- und -Ausführungszugriff auf das System erhalten, und verringert das Risiko der Freigabe von Systemressourcen.This prevents users from obtaining raw read/write/execute access to the system and mitigates the risk of sharing system resources.

Erweiterter Algorithmus für VM-Anordnung und Schutz vor SeitenkanalangriffenAdvanced VM placement algorithm & protection from side channel attacks

Alle VM-übergreifenden Angriffe bestehen aus zwei Schritten: Anordnen einer vom Angreifer gesteuerten VM auf demselben Host wie eine der Ziel-VMs und anschließendes Durchbrechen der Isolationsgrenze, um entweder sensible Informationen des Opfers zu stehlen oder aus Gier oder Lust am Vandalismus die Leistung zu beeinträchtigen.Any cross-VM attack involves two steps: placing an adversary-controlled VM on the same host as one of the victim VMs, and then breaching the isolation boundary to either steal sensitive victim information or affect its performance for greed or vandalism. Microsoft Azure bietet Schutz vor beiden Schritten, indem ein erweiterter Algorithmus für die VM-Anordnung und ein Schutzverfahren für alle bekannten Seitenkanalangriffe, einschließlich „Noisy Neighbor“-VMs, bereitgestellt werden.Microsoft Azure provides protection at both steps by using an advanced VM placement algorithm and protection from all known side channel attacks including noisy neighbor VMs.

Azure Fabric ControllerThe Azure Fabric Controller

Der Azure Fabric Controller ist zuständig für die Zuweisung von Infrastrukturressourcen zu Mandantenworkloads und verwaltet die unidirektionale Kommunikation des Hosts mit den virtuellen Computern.The Azure Fabric Controller is responsible for allocating infrastructure resources to tenant workloads, and it manages unidirectional communications from the host to virtual machines. Der Algorithmus für die VM-Anordnung des Azure Fabric Controller ist sehr komplex, und es ist nahezu unmöglich, ihn auf physischer Hostebene vorauszusagen.The VM placing algorithm of the Azure fabric controller is highly sophisticated and nearly impossible to predict as physical host level.

Azure Fabric Controller

Der Azure-Hypervisor erzwingt eine Arbeitsspeicher- und Prozesstrennung zwischen virtuellen Computern und leitet Netzwerkdatenverkehr sicher an die Gastbetriebssystem-Mandanten weiter.The Azure hypervisor enforces memory and process separation between virtual machines, and it securely routes network traffic to guest OS tenants. Somit ist es nicht mehr möglich, auf VM-Ebene einen Seitenkanalangriff durchzuführen.This eliminates possibility of and side channel attack at VM level.

In Azure nimmt die Stamm-VM eine besondere Stellung ein: Auf dieser VM wird ein spezielles Betriebssystem (das Stammbetriebssystem) ausgeführt, unter dem ein Fabric-Agent (FA) gehostet wird.In Azure, the root VM is special: it runs a hardened operating system called the root OS that hosts a fabric agent (FA). FAs werden wiederum zum Verwalten von Gast-Agents (GAs) unter Gastbetriebssystemen auf Kunden-VMs genutzt.FAs are used in turn to manage guest agents (GA) within guest operating systems on customer VMs. FAs dienen außerdem zum Verwalten von Speicherknoten.FAs also manage storage nodes.

Ein Computeknoten besteht aus den folgenden Komponenten: Azure Hypervisor, Stammbetriebssystem/FA und Kunden-VMs/-GAs.The collection of Azure hypervisor, root OS/FA, and customer VMs/GAs comprises a compute node. FAs werden mit einem Fabric Controller (FC) verwaltet, der außerhalb von Compute- und Speicherknoten angeordnet ist (Compute- und Speichercluster werden von separaten FCs verwaltet).FAs are managed by a fabric controller (FC), which exists outside of compute and storage nodes (compute and storage clusters are managed by separate FCs). Wenn ein Kunde die Konfigurationsdatei seiner Anwendung während der Ausführung aktualisiert, kommuniziert der FC mit dem FA. Dieser nimmt dann Kontakt mit den GAs auf, die wiederum die Anwendung über die Konfigurationsänderung informieren.If a customer updates their application’s configuration file while it’s running, the FC communicates with the FA, which then contacts GAs, which notify the application of the configuration change. Bei einem Hardwarefehler ermittelt der FC automatisch verfügbare Hardware und startet die VM darauf neu.In the event of a hardware failure, the FC will automatically find available hardware and restart the VM there.

Azure Fabric Controller

Die Kommunikation von einem Fabric Controller zu einem Agent ist unidirektional.Communication from a Fabric Controller to an agent is unidirectional. Der Agent implementiert einen per SSL geschützten Dienst, der nur auf Anforderungen vom Controller antwortet.The agent implements an SSL-protected service that only responds to requests from the controller. Das Initiieren von Verbindungen mit dem Controller oder anderen privilegierten internen Knoten ist nicht möglich.It cannot initiate connections to the controller or other privileged internal nodes. Der FC behandelt alle Antworten als nicht vertrauenswürdig.The FC treats all responses as if they were untrusted.

Fabric Controller

Die Isolation trennt die Stamm-VM von Gast-VMs und die Gast-VMs voneinander.Isolation extends from the Root VM from Guest VMs, and the Guest VMs from one another. Computeknoten sind außerdem gegenüber Speicherknoten isoliert, um den Schutz zu erhöhen.Compute nodes are also isolated from storage nodes for increased protection.

Der Hypervisor und das Hostbetriebssystem verfügen über Netzwerkpaketfilter. Hiermit wird sichergestellt, dass nicht vertrauenswürdige virtuelle Computer keinen gefälschten Datenverkehr generieren und keinen nicht für sie bestimmten Datenverkehr empfangen, Datenverkehr an geschützte Infrastrukturendpunkte leiten oder unerwünschten Broadcastdatenverkehr senden bzw. empfangen.The hypervisor and the host OS provide network packet - filters to help assure that untrusted virtual machines cannot generate spoofed traffic or receive traffic not addressed to them, direct traffic to protected infrastructure endpoints, or send/receive inappropriate broadcast traffic.

Zusätzliche Regeln des Fabric Controller-Agents zum Isolieren von VMsAdditional Rules Configured by Fabric Controller Agent to Isolate VM

Standardmäßig wird beim Erstellen eines virtuellen Computers sämtlicher Datenverkehr blockiert, und der Fabric Controller-Agent konfiguriert anschließend den Paketfilter, um Regeln und Ausnahmen für das Zulassen des autorisierten Datenverkehrs hinzuzufügen.By default, all traffic is blocked when a virtual machine is created, and then the fabric controller agent configures the packet filter to add rules and exceptions to allow authorized traffic.

Es gibt zwei Kategorien von Regeln, die programmiert werden:There are two categories of rules that are programmed:

  • Computerkonfigurations- oder Infrastrukturregeln: Standardmäßig ist die gesamte Kommunikation blockiert.Machine configuration or infrastructure rules: By default, all communication is blocked. Es gibt Ausnahmen, um einem virtuellen Computer das Senden und Empfangen von DHCP- und DNS-Datenverkehr zu ermöglichen.There are exceptions to allow a virtual machine to send and receive DHCP and DNS traffic. Virtuelle Computer können auch Datenverkehr an das „öffentliche“ Internet und an andere virtuelle Computer in demselben virtuellen Azure-Netzwerk und auf dem Betriebssystem-Aktivierungsserver senden.Virtual machines can also send traffic to the “public” internet and send traffic to other virtual machines within the same Azure Virtual Network and the OS activation server. Die Liste mit zulässigen ausgehenden Zielen der virtuellen Computer enthält keine Azure-Routersubnetze, keine Azure-Verwaltung und keine anderen Microsoft-Komponenten.The virtual machines’ list of allowed outgoing destinations does not include Azure router subnets, Azure management, and other Microsoft properties.
  • Rollenkonfigurationsdatei: Diese definiert die eingehenden Zugriffssteuerungslisten (ACLs) auf der Grundlage des Dienstmodells des Mandanten.Role configuration file: This defines the inbound Access Control Lists (ACLs) based on the tenant's service model.

VLAN-IsolationVLAN Isolation

Jeder Cluster enthält drei VLANs:There are three VLANs in each cluster:

VLAN-Isolation

  • Haupt-VLAN: Dient zum Verbinden von nicht vertrauenswürdigen Kundenknoten.The main VLAN – interconnects untrusted customer nodes
  • FC-VLAN: Enthält vertrauenswürdige FCs und unterstützende Systeme.The FC VLAN – contains trusted FCs and supporting systems
  • Geräte-VLAN: Enthält vertrauenswürdige Netzwerkgeräte und andere Infrastrukturgeräte.The device VLAN – contains trusted network and other infrastructure devices

Die Kommunikation ist vom FC-VLAN zum Haupt-VLAN zulässig, kann aber nicht vom Haupt-VLAN zum FC-VLAN initiiert werden.Communication is permitted from the FC VLAN to the main VLAN, but cannot be initiated from the main VLAN to the FC VLAN. Auch die Kommunikation vom Haupt-VLAN zum Geräte-VLAN ist blockiert.Communication is also blocked from the main VLAN to the device VLAN. So wird sichergestellt, dass auch bei einer Kompromittierung eines Knotens, auf dem Kundencode ausgeführt wird, kein Angriff auf Knoten in FC- oder Geräte-VLANs erfolgen kann.This assures that even if a node running customer code is compromised, it cannot attack nodes on either the FC or device VLANs.

SpeicherisolationStorage Isolation

Logische Isolation zwischen Compute- und SpeicherbereichLogical Isolation Between Compute and Storage

Im Rahmen des grundlegenden Designs von Microsoft Azure werden die VM-basierten Computevorgänge von den Speichervorgängen getrennt.As part of its fundamental design, Microsoft Azure separates VM-based computation from storage. Diese Trennung ermöglicht eine unabhängige Skalierung der Computevorgänge und Speichervorgänge, sodass die Umsetzung der Mehrinstanzenfähigkeit und Isolation vereinfacht wird.This separation enables computation and storage to scale independently, making it easier to provide multi-tenancy and isolation.

Aus diesem Grund wird Azure Storage auf separater Hardware ohne Netzwerkverbindung mit Azure Compute (außer auf logischer Ebene) ausgeführt.Therefore, Azure Storage runs on separate hardware with no network connectivity to Azure Compute except logically. Dies bedeutet, dass Speicherplatz bei der Erstellung eines virtuellen Datenträgers nicht für die gesamte Kapazität zugeordnet wird.This means that when a virtual disk is created, disk space is not allocated for its entire capacity. Stattdessen wird eine Tabelle erstellt, in der Adressen des virtuellen Datenträgers Bereichen auf dem physischen Datenträger zugeordnet werden. Diese Tabelle ist anfänglich leer.Instead, a table is created that maps addresses on the virtual disk to areas on the physical disk and that table is initially empty. Wenn ein Kunde zum ersten Mal Daten auf den virtuellen Datenträger schreibt, wird Speicherplatz auf dem physischen Datenträger zugeordnet, und in die Tabelle wird ein Verweis darauf eingefügt.The first time a customer writes data on the virtual disk, space on the physical disk is allocated, and a pointer to it is placed in the table.

Isolation mithilfe der Storage-ZugriffssteuerungIsolation Using Storage Access control

Für die Zugriffssteuerung in Azure Storage gilt ein einfaches Zugriffssteuerungsmodell.Access Control in Azure Storage has a simple access control model. Für jedes Azure-Abonnement kann mindestens ein Speicherkonto erstellt werden.Each Azure subscription can create one or more Storage Accounts. Jedes Speicherkonto verfügt über einen geheimen Schlüssel, der zum Steuern des Zugriffs auf alle Daten des Speicherkontos dient.Each Storage Account has a single secret key that is used to control access to all data in that Storage Account.

Isolation mithilfe der Storage-Zugriffssteuerung

Der Zugriff auf Azure Storage-Daten (einschließlich Tabellen) kann per SAS-Token (Shared Access Signature) gesteuert werden. Mit dem Token wird der bereichsbezogene Zugriff gewährt.Access to Azure Storage data (including Tables) can be controlled through a SAS (Shared Access Signature) token, which grants scoped access. Die SAS wird mit einer Abfragevorlage (URL) erstellt, die per SAK (Storage Account Key, Speicherkontoschlüssel) signiert wird.The SAS is created through a query template (URL), signed with the SAK (Storage Account Key). Diese signierte URL kann an einen anderen Prozess übergeben (delegiert) werden, mit dem dann die Details der Abfrage eingefügt werden können und der Speicherdienst angefordert werden kann.That signed URL can be given to another process (that is, delegated), which can then fill in the details of the query and make the request of the storage service. Mit einer SAS können Sie zeitabhängigen Zugriff auf Clients gewähren, ohne den geheimen Schlüssel des Speicherkontos offenzulegen.A SAS enables you to grant time-based access to clients without revealing the storage account’s secret key.

Eine SAS bietet die Möglichkeit, einem Client für einen bestimmten Zeitraum spezielle eingeschränkte Berechtigungen für Objekte im Speicherkonto zu erteilen.The SAS means that we can grant a client limited permissions, to objects in our storage account for a specified period of time and with a specified set of permissions. Hierfür müssen Sie nicht Ihre Kontozugriffsschlüssel freigeben.We can grant these limited permissions without having to share your account access keys.

Isolation der Speicherung auf IP-EbeneIP Level Storage Isolation

Sie können Firewalls einrichten und einen IP-Adressbereich für Ihre vertrauenswürdigen Clients definieren.You can establish firewalls and define an IP address range for your trusted clients. Mit einem IP-Adressbereich können nur Clients, die über eine IP-Adresse innerhalb des definierten Bereichs verfügen, eine Verbindung mit Azure Storage herstellen.With an IP address range, only clients that have an IP address within the defined range can connect to Azure Storage.

IP-Speicherdaten können vor unbefugten Benutzern mit einem Netzwerkmechanismus geschützt werden, der zum Zuordnen eines dedizierten Tunnels für Datenverkehr an den IP-Speicher verwendet wird.IP storage data can be protected from unauthorized users via a networking mechanism that is used to allocate a dedicated or dedicated tunnel of traffic to IP storage.

VerschlüsselungEncryption

Azure verfügt über die folgenden Arten von Verschlüsselung zum Schutz von Daten:Azure offers the following types of Encryption to protect data:

  • Verschlüsselung während der ÜbertragungEncryption in transit
  • Verschlüsselung ruhender DatenEncryption at rest

Verschlüsselung während der ÜbertragungEncryption in Transit

Verschlüsselung während der Übertragung ist ein Mechanismus zum Schutz der Daten bei der Übertragung über Netzwerke hinweg.Encryption in transit is a mechanism of protecting data when it is transmitted across networks. Mit Azure Storage können Sie Daten mit folgenden Verfahren schützen:With Azure Storage, you can secure data using:

Verschlüsselung ruhender DatenEncryption at Rest

Für viele Organisationen ist die Verschlüsselung von ruhenden Daten ein obligatorischer Schritt in Richtung Datenschutz, Compliance und Datenhoheit.For many organizations, data encryption at rest is a mandatory step towards data privacy, compliance, and data sovereignty. Drei Azure-Features ermöglichen die Verschlüsselung „ruhender“ Daten:There are three Azure features that provide encryption of data that is “at rest”:

Azure Disk EncryptionAzure Disk Encryption

Mithilfe von Azure Disk Encryption für virtuelle Computer können Sie die Sicherheits- und Konformitätsanforderungen Ihrer Organisation erfüllen, indem Sie die Datenträger Ihrer virtuellen Computer (Startdatenträger und allgemeine Datenträger) mit Schlüsseln und Richtlinien verschlüsseln, die Sie über Azure Key Vault steuern.Azure Disk Encryption for virtual machines (VMs) helps you address organizational security and compliance requirements by encrypting your VM disks (including boot and data disks) with keys and policies you control in Azure Key Vault.

Die Disk Encryption-Lösung für Windows basiert auf der Microsoft BitLocker-Laufwerkverschlüsselung, die Linux-Lösung auf dm-crypt.The Disk Encryption solution for Windows is based on Microsoft BitLocker Drive Encryption, and the Linux solution is based on dm-crypt.

Die Lösung unterstützt die folgenden Szenarien für virtuelle IaaS-Computer, wenn sie in Microsoft Azure aktiviert sind:The solution supports the following scenarios for IaaS VMs when they are enabled in Microsoft Azure:

  • Integration in Azure Key VaultIntegration with Azure Key Vault
  • Virtuelle Computer im Standard-Tarif: Virtuelle IaaS-Computer der Serien A, D, DS, G, GS usw.Standard tier VMs: A, D, DS, G, GS, and so forth, series IaaS VMs
  • Aktivieren der Verschlüsselung auf virtuellen Windows- und Linux-IaaS-ComputernEnabling encryption on Windows and Linux IaaS VMs
  • Deaktivieren der Verschlüsselung auf Betriebssystem- und Datenlaufwerken für virtuelle Windows-IaaS-ComputerDisabling encryption on OS and data drives for Windows IaaS VMs
  • Deaktivieren der Verschlüsselung auf Datenlaufwerken für virtuelle Linux-IaaS-ComputerDisabling encryption on data drives for Linux IaaS VMs
  • Aktivieren der Verschlüsselung auf virtuellen IaaS-Computern mit dem Windows-ClientbetriebssystemEnabling encryption on IaaS VMs that are running Windows client OS
  • Aktivieren der Verschlüsselung auf Volumes mit BereitstellungspfadenEnabling encryption on volumes with mount paths
  • Aktivieren der Verschlüsselung auf virtuellen Linux-Computern, die mithilfe von mdadm mit Datenträgerstriping (RAID) konfiguriert sindEnabling encryption on Linux VMs that are configured with disk striping (RAID) by using mdadm
  • Aktivieren der Verschlüsselung auf virtuellen Linux-Computern mit LVM (Logical Volume Manager) für DatenträgerEnabling encryption on Linux VMs by using LVM(Logical Volume Manager) for data disks
  • Aktivieren der Verschlüsselung auf virtuellen Windows-Computern, die mithilfe von Speicherplätzen konfiguriert sindEnabling encryption on Windows VMs that are configured by using storage spaces
  • Alle öffentlichen Azure-Regionen werden unterstützt.All Azure public regions are supported

Die Lösung unterstützt nicht die folgenden Szenarien, Features und Technologien:The solution does not support the following scenarios, features, and technology in the release:

  • IaaS-VMs des Basic-TarifsBasic tier IaaS VMs
  • Deaktivieren der Verschlüsselung auf Betriebssystemlaufwerken für virtuelle Linux-IaaS-ComputerDisabling encryption on an OS drive for Linux IaaS VMs
  • Virtuelle IaaS-Computer, die mithilfe der klassischen Methode zum Erstellen von virtuellen Computern erstellt werdenIaaS VMs that are created by using the classic VM creation method
  • Integration in den lokalen SchlüsselverwaltungsdienstIntegration with your on-premises Key Management Service
  • Azure Files (freigegebenes Dateisystem), Network File System (NFS), dynamische Volumes und virtuelle Windows-Computer, die mit softwarebasierten RAID-Systemen konfiguriert sindAzure Files (shared file system), Network File System (NFS), dynamic volumes, and Windows VMs that are configured with software-based RAID systems

SQL-Datenbank-IsolationSQL Database Isolation

SQL-Datenbank ist ein relationaler Datenbankdienst in der Microsoft Cloud, der auf der marktführenden Microsoft SQL Server-Engine basiert und unternehmenswichtige Workloads verarbeiten kann.SQL Database is a relational database service in the Microsoft cloud based on the market-leading Microsoft SQL Server engine and capable of handling mission-critical workloads. Mit der SQL-Datenbank ist eine vorhersagbare Isolation von Daten auf Kontoebene, nach Geografie/Region und nach Netzwerk möglich – nahezu ohne Verwaltungsaufwand.SQL Database offers predictable data isolation at account level, geography / region based and based on networking— all with near-zero administration.

SQL-Datenbank-AnwendungsmodellSQL Database Application Model

Microsoft SQL-Datenbank ist ein cloudbasierter relationaler Datenbankdienst, der auf SQL Server-Technologien basiert.Microsoft SQL Database is a cloud-based relational database service built on SQL Server technologies. Es wird ein hoch verfügbarer, skalierbarer, mehrinstanzenfähiger Datenbankdienst bereitgestellt, der von Microsoft in der Cloud gehostet wird.It provides a highly available, scalable, multi-tenant database service hosted by Microsoft in cloud.

Aus Anwendungssicht verfügt SQL-Datenbank über die folgende Hierarchie: Für jede Ebene gilt in Bezug auf die untergeordneten Ebenen eine 1:n-Einschlussbeziehung.From an application perspective, SQL Database provides the following hierarchy: Each level has one-to-many containment of levels below.

SQL-Datenbank-Anwendungsmodell

Konto und Abonnement sind Konzepte der Microsoft Azure-Plattform für die Abrechnung und Verwaltung.The account and subscription are Microsoft Azure platform concepts to associate billing and management.

Logische SQL-Server und -Datenbanken sind auf SQL-Datenbank basierende Konzepte, die mit SQL-Datenbank, bereitgestellten OData- und TSQL-Schnittstellen oder über das Azure-Portal verwaltet werden.Logical SQL servers and databases are SQL Database-specific concepts and are managed by using SQL Database, provided OData and TSQL interfaces or via the Azure portal.

Server in SQL-Datenbank sind keine physischen Instanzen oder VM-Instanzen, sondern Sammlungen mit Datenbanken, für die Verwaltungs- und Sicherheitsrichtlinien gemeinsam genutzt werden, die in so genannten „logischen Masterdatenbanken“ gespeichert sind.Servers in SQL Database are not physical or VM instances, instead they are collections of databases, sharing management and security policies, which are stored in so called “logical master” database.

SQL-Datenbank

Logische Masterdatenbanken umfassen Folgendes:Logical master databases include:

  • SQL-Anmeldungen zum Herstellen der Verbindung mit dem ServerSQL logins used to connect to the server
  • FirewallregelnFirewall rules

Für abrechnungs- und nutzungsbezogene Informationen für Datenbanken desselben Servers ist nicht garantiert, dass sie sich im Cluster auf derselben physischen Instanz befinden. Stattdessen muss für Anwendungen beim Herstellen der Verbindung der Name der Zieldatenbank angegeben werden.Billing and usage-related information for databases from the same server are not guaranteed to be on the same physical instance in the cluster, instead applications must provide the target database name when connecting.

Aus Kundensicht wird ein Server in einer geografischen Region erstellt, während die tatsächliche Erstellung des Servers in einem der Cluster der Region durchgeführt wird.From a customer perspective, a server is created in a geo-graphical region while the actual creation of the server happens in one of the clusters in the region.

Isolation per NetzwerktopologieIsolation through Network Topology

Wenn ein Server erstellt und sein DNS-Name registriert wird, verweist der DNS-Name auf die so genannte „Gateway-VIP“-Adresse im jeweiligen Rechenzentrum, in dem der Server angeordnet wurde.When a server is created and its DNS name is registered, the DNS name points to the so called “Gateway VIP” address in the specific data center where the server was placed.

Hinter der VIP (virtuelle IP-Adresse) befindet sich eine Sammlung von zustandslosen Gatewaydiensten.Behind the VIP (virtual IP address), we have a collection of stateless gateway services. Im Allgemeinen werden Gateways verwendet, wenn eine Koordination zwischen mehreren Datenquellen (Masterdatenbank, Benutzerdatenbank usw.) erforderlich ist.In general, gateways get involved when there is coordination needed between multiple data sources (master database, user database, etc.). Mit Gatewaydiensten wird Folgendes implementiert:Gateway services implement the following:

  • Proxyfunktion für TDS-Verbindung:TDS connection proxying. Dieser Vorgang umfasst das Ermitteln der Benutzerdatenbank im Back-End-Cluster, das Implementieren der Anmeldesequenz und das anschließende Weiterleiten der TDS-Pakete an das Back-End (und wieder zurück).This includes locating user database in the backend cluster, implementing the login sequence and then forwarding the TDS packets to the backend and back.
  • Datenbankverwaltung:Database management. Umfasst das Implementieren einer Sammlung von Workflows zur Durchführung von CREATE/ALTER/DROP-Datenbankvorgängen.This includes implementing a collection of workflows to do CREATE/ALTER/DROP database operations. Die Datenbankvorgänge können aufgerufen werden, indem per „Sniffing“ entweder TDS-Pakete oder explizite OData-APIs ermittelt werden.The database operations can be invoked by either sniffing TDS packets or explicit OData APIs.
  • CREATE/ALTER/DROP – Anmelde-/BenutzervorgängeCREATE/ALTER/DROP login/user operations
  • Serververwaltungsvorgänge per OData-APIServer management operations via OData API

Isolation per Netzwerktopologie

Die Ebene hinter den Gateways wird als „Back-End“ bezeichnet.The tier behind the gateways is called “back-end”. Hier werden alle Daten mit hoher Verfügbarkeit gespeichert.This is where all the data is stored in a highly available fashion. Jedes Datenelement gehört einer „Partition“ oder „Failovereinheit“ an, die jeweils über mindestens drei Replikate verfügt.Each piece of data is said to belong to a “partition” or “failover unit”, each of them having at least three replicas. Replikate werden mit der SQL Server-Engine gespeichert und repliziert und von einem Failoversystem verwaltet, das häufig als „Fabric“ bezeichnet wird.Replicas are stored and replicated by SQL Server engine and managed by a failover system often referred to as “fabric”.

Normalerweise kommuniziert das Back-End-System aus Sicherheitsgründen nicht in ausgehender Richtung mit anderen Systemen.Generally, the back-end system does not communicate outbound to other systems as a security precaution. Dies ist auf die Systeme der Front-End-Ebene (Gateway) beschränkt.This is reserved to the systems in the front-end (gateway) tier. Die Computer der Gatewayebene verfügen auf den Back-End-Computern über eingeschränkte Rechte, um die Angriffsfläche zu verkleinern und auch auf dieser Ebene Verteidigungsmaßnahmen zu ergreifen.The gateway tier machines have limited privileges on the back-end machines to minimize the attack surface as a defense-in-depth mechanism.

Isolation per Computerfunktion und ZugriffIsolation by Machine Function and Access

SQL-Datenbank besteht aus Diensten, die unter verschiedenen Computerfunktionen ausgeführt werden.SQL Database (is composed of services running on different machine functions. SQL-Datenbank ist in eine „Back-End“-Clouddatenbank und „Front-End“-Umgebungen (Gateway/Verwaltung) unterteilt, wobei das allgemeine Prinzip gilt, dass Datenverkehr nur an das Back-End fließt (und nicht in umgekehrter Richtung). Die Front-End-Umgebung kann mit der „Außenwelt“ anderer Dienste kommunizieren und verfügt normalerweise nur über eingeschränkte Rechte für das Back-End (ausreichende Rechte zum Aufrufen der erforderlichen Einstiegspunkte).SQL Database is divided into “backend” Cloud Database and “front-end” (Gateway/Management) environments, with the general principle of traffic only going into back-end and not out. The front-end environment can communicate to the outside world of other services and in general, has only limited permissions in the back-end (enough to call the entry points it needs to invoke).

NetzwerkisolationNetworking Isolation

Eine Azure-Bereitstellung umfasst mehrere Stufen der Netzwerkisolation.Azure deployment has multiple layers of network isolation. Das folgende Diagramm zeigt verschiedene Stufen der Netzwerkisolation, die Azure den Kunden bietet.The following diagram shows various layers of network isolation Azure provides to customers. Bei diesen Stufen handelt es sich sowohl um nativ in der Azure Platform enthaltene Funktionen als auch um benutzerdefinierte Features.These layers are both native in the Azure platform itself and customer-defined features. Als erste Grenze gegenüber dem Internet ermöglicht Azure DDoS eine Isolation vor groß angelegten Angriffen gegen Azure.Inbound from the Internet, Azure DDoS provides isolation against large-scale attacks against Azure. Die nächste Stufe der Isolation sind vom Kunden definierte öffentliche IP-Adressen (Endpunkte), mit denen ermittelt wird, welcher Datenverkehr den Clouddienst zum virtuellen Netzwerk passieren darf.The next layer of isolation is customer-defined public IP addresses (endpoints), which are used to determine which traffic can pass through the cloud service to the virtual network. Die native Isolation virtueller Azure-Netzwerke stellt eine vollständige Isolierung von allen anderen Netzwerken sicher und gewährleistet, dass der Datenverkehr nur über vom Benutzer konfigurierte Pfade und Methoden fließt.Native Azure virtual network isolation ensures complete isolation from all other networks, and that traffic only flows through user configured paths and methods. Diese Pfade und Methoden stellen die nächste Stufe dar, auf der NSGs, UDR und virtuelle Netzwerkgeräte zum Einrichten von Isolationsgrenzen verwendet werden können, um die Anwendungsbereitstellungen im geschützten Netzwerk abzusichern.These paths and methods are the next layer, where NSGs, UDR, and network virtual appliances can be used to create isolation boundaries to protect the application deployments in the protected network.

Netzwerkisolation

Isolation des Datenverkehrs: Für die Azure-Plattform werden virtuelle Netzwerke verwendet, um Datenverkehr zu isolieren.Traffic isolation: A virtual network is the traffic isolation boundary on the Azure platform. Virtuelle Computer in einem virtuellen Netzwerk können nicht direkt mit virtuellen Computern in einem anderen virtuellen Netzwerk kommunizieren – selbst dann nicht, wenn beide virtuellen Netzwerke durch denselben Kunden erstellt werden.Virtual machines (VMs) in one virtual network cannot communicate directly to VMs in a different virtual network, even if both virtual networks are created by the same customer. Isolation ist eine wichtige Eigenschaft, mit der sichergestellt wird, dass VMs und die Kommunikation von Kunden innerhalb eines virtuellen Netzwerks privat bleiben.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network.

Subnetze ermöglichen eine zusätzliche Isolationsstufe in virtuellen Netzwerken basierend auf dem IP-Bereich.Subnet offers an additional layer of isolation with in virtual network based on IP range. Mit IP-Adressen im virtuellen Netzwerk können Sie ein virtuelles Netzwerk zu Organisations- und Sicherheitszwecken in mehrere Subnetze unterteilen.IP addresses in the virtual network, you can divide a virtual network into multiple subnets for organization and security. VMs und PaaS-Rolleninstanzen, die in (denselben oder unterschiedlichen) Subnetzen in einem VNet bereitgestellt werden, können ohne zusätzliche Konfiguration miteinander kommunizieren.VMs and PaaS role instances deployed to subnets (same or different) within a VNet can communicate with each other without any extra configuration. Außerdem können Sie Netzwerksicherheitsgruppen (NSGs) konfigurieren, um Netzwerkdatenverkehr für eine VM-Instanz anhand von Regeln zuzulassen oder abzulehnen, die in der Zugriffssteuerungsliste (Access Control List, ACL) einer NSG konfiguriert sind.You can also configure network security group (NSGs) to allow or deny network traffic to a VM instance based on rules configured in access control list (ACL) of NSG. NSGs können Subnetzen oder einzelnen VM-Instanzen innerhalb dieses Subnetzes zugeordnet werden.NSGs can be associated with either subnets or individual VM instances within that subnet. Wenn eine NSG einem Subnetz zugeordnet ist, gelten die ACL-Regeln für alle VM-Instanzen in diesem Subnetz.When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet.

Nächste SchritteNext Steps