Składniki i granice systemu informacyjnego platformy Azure
Ten artykuł zawiera ogólny opis architektury i zarządzania platformy Azure. Środowisko systemowe platformy Azure składa się z następujących sieci:
- Sieć produkcyjna platformy Microsoft Azure (sieć platformy Azure)
- Sieć firmowa firmy Microsoft (corpnet)
Oddzielne zespoły IT są odpowiedzialne za operacje i konserwację tych sieci.
Architektura platformy Azure
Platforma Azure to platforma przetwarzania w chmurze i infrastruktura do tworzenia, wdrażania i zarządzania aplikacjami i usługami za pośrednictwem sieci centrów danych. Firma Microsoft zarządza tymi centrami danych. Na podstawie określonej liczby zasobów platforma Azure tworzy maszyny wirtualne na podstawie potrzeb zasobów. Te maszyny wirtualne działają na funkcji hypervisor platformy Azure, która jest przeznaczona do użycia w chmurze i nie jest dostępna dla publicznej wersji.
W każdym węźle serwera fizycznego platformy Azure istnieje funkcja hypervisor, która działa bezpośrednio na sprzęcie. Funkcja hypervisor dzieli węzeł na zmienną liczbę maszyn wirtualnych gościa. Każdy węzeł ma również jedną główną maszynę wirtualną, która uruchamia system operacyjny hosta. Zapora systemu Windows jest włączona na każdej maszynie wirtualnej. Zdefiniuj, które porty są adresowalne, konfigurując plik definicji usługi. Te porty są jedynymi otwartymi i adresowalnymi, wewnętrznie lub zewnętrznie. Cały ruch i dostęp do dysku i sieci są obsługiwane przez funkcję hypervisor i główny system operacyjny.
W warstwie hosta maszyny wirtualne platformy Azure uruchamiają dostosowaną i wzmocnioną wersję najnowszego systemu Windows Server. Platforma Azure używa wersji systemu Windows Server, która zawiera tylko te składniki niezbędne do hostowania maszyn wirtualnych. Poprawia to wydajność i zmniejsza obszar ataków. Granice maszyn są wymuszane przez funkcję hypervisor, która nie zależy od zabezpieczeń systemu operacyjnego.
Zarządzanie platformą Azure przez kontrolery sieci szkieletowej
Na platformie Azure maszyny wirtualne działające na serwerach fizycznych (blokach/węzłach) są grupowane w klastry o wartości około 1000. Maszyny wirtualne są zarządzane niezależnie przez skalowany w poziomie i nadmiarowy składnik oprogramowania platformy nazywany kontrolerem sieci szkieletowej (FC).
Każdy fc zarządza cyklem życia aplikacji uruchomionych w klastrze oraz aprowizuje i monitoruje kondycję sprzętu pod kontrolą. Uruchamia ona autonomiczne operacje, takie jak reinkarnating wystąpień maszyn wirtualnych na serwerach w dobrej kondycji, gdy określa, że serwer uległ awarii. Fc wykonuje również operacje zarządzania aplikacjami, takie jak wdrażanie, aktualizowanie i skalowanie aplikacji.
Centrum danych jest podzielone na klastry. Klastry izolują błędy na poziomie fc i uniemożliwiają niektórym klasom błędów wpływanie na serwery poza klastrem, w którym występują. Komputery FCs, które obsługują określony klaster platformy Azure, są grupowane w klaster trybu failover.
Spis sprzętu
Fc przygotowuje spis sprzętu i urządzeń sieciowych platformy Azure podczas procesu konfiguracji bootstrap. Wszystkie nowe składniki sprzętowe i sieciowe wchodzące w środowisko produkcyjne platformy Azure muszą być zgodne z procesem konfiguracji bootstrap. Serwer trybu failover jest odpowiedzialny za zarządzanie całym spisem wymienionym w pliku konfiguracji datacenter.xml.
Obrazy systemu operacyjnego zarządzanego przez fc
Zespół ds. systemów operacyjnych udostępnia obrazy w postaci wirtualnych dysków twardych wdrożonych na wszystkich maszynach wirtualnych hosta i gościa w środowisku produkcyjnym platformy Azure. Zespół konstruuje te obrazy podstawowe za pomocą zautomatyzowanego procesu kompilacji w trybie offline. Obraz podstawowy to wersja systemu operacyjnego, w którym jądro i inne podstawowe składniki zostały zmodyfikowane i zoptymalizowane pod kątem obsługi środowiska platformy Azure.
Istnieją trzy typy obrazów systemu operacyjnego zarządzanego przez sieć szkieletową:
- Host: dostosowany system operacyjny działający na maszynach wirtualnych hosta.
- Natywny: natywny system operacyjny działający w dzierżawach (na przykład Azure Storage). Ten system operacyjny nie ma żadnej funkcji hypervisor.
- Gość: system operacyjny gościa działający na maszynach wirtualnych gościa.
Host i natywne systemy operacyjne zarządzane przez fc są przeznaczone do użytku w chmurze i nie są publicznie dostępne.
Hostowanie i natywne systemy operacyjne
Host i natywny to obrazy systemu operacyjnego ze wzmocnionymi zabezpieczeniami, które hostują agentów sieci szkieletowej, i są uruchamiane w węźle obliczeniowym (działa jako pierwsza maszyna wirtualna w węźle) i węzłach magazynu. Zaletą korzystania ze zoptymalizowanych obrazów podstawowych hostów i natywnych jest zmniejszenie obszaru powierzchni uwidocznionego przez interfejsy API lub nieużywane składniki. Mogą one stanowić wysokie zagrożenia bezpieczeństwa i zwiększyć ślad systemu operacyjnego. Ograniczone systemy operacyjne obejmują tylko składniki niezbędne do platformy Azure.
System operacyjny gościa
Składniki wewnętrzne platformy Azure uruchomione na maszynach wirtualnych systemu operacyjnego gościa nie mają możliwości uruchomienia protokołu Remote Desktop Protocol. Wszelkie zmiany ustawień konfiguracji punktu odniesienia muszą przejść przez proces zmiany i zarządzania wydaniami.
Centra danych platformy Azure
Zespół ds. infrastruktury i operacji w chmurze (MCIO) firmy Microsoft zarządza infrastrukturą fizyczną i obiektami centrów danych dla wszystkich Usługi online firmy Microsoft. Funkcja MCIO jest odpowiedzialna przede wszystkim za zarządzanie mechanizmami kontroli fizycznej i środowiskowej w centrach danych, a także zarządzanie zewnętrznymi urządzeniami sieci obwodowymi (takimi jak routery brzegowe i routery centrów danych). Dyrektor ds. systemów informatycznych jest również odpowiedzialny za skonfigurowanie sprzętu serwera na beznadusznych stojakach w centrum danych. Klienci nie mają bezpośredniej interakcji z platformą Azure.
Zarządzanie usługami i zespoły usług
Różne grupy inżynieryjne, znane jako zespoły usług, zarządzają obsługą usługi platformy Azure. Każdy zespół usług jest odpowiedzialny za obszar pomocy technicznej dla platformy Azure. Każdy zespół usług musi udostępnić inżynierowi 24x7, aby zbadać i rozwiązać błędy w usłudze. Zespoły usług domyślnie nie mają fizycznego dostępu do sprzętu działającego na platformie Azure.
Zespoły usług to:
- Platforma aplikacji
- Identyfikator usługi Microsoft Entra
- Azure Compute
- Azure Net
- Cloud Engineering Services
- ISSD: Zabezpieczenia
- Uwierzytelnianie wieloskładnikowe
- SQL Database
- Storage
Typy użytkowników
Pracownicy (lub wykonawcy) firmy Microsoft są traktowani jako użytkownicy wewnętrzni. Wszyscy inni użytkownicy są traktowani jako użytkownicy zewnętrzni. Wszyscy użytkownicy wewnętrzni platformy Azure mają swój status pracownika podzielony na poziom poufności, który definiuje dostęp do danych klientów (dostęp lub brak dostępu). Uprawnienia użytkownika do platformy Azure (uprawnienia autoryzacji po uwierzytelnieniu) opisano w poniższej tabeli:
| Rola | Wewnętrzne lub zewnętrzne | Poziom poufności | Wykonywane autoryzowane uprawnienia i funkcje | Typ dostępu |
|---|---|---|---|---|
| Inżynier centrum danych platformy Azure | Wewnętrznie | Brak dostępu do danych klientów | Zarządzanie zabezpieczeniami fizycznymi środowiska lokalnego. Przeprowadź patrole w centrum danych i poza tym oraz monitoruj wszystkie punkty wejścia. Eskortowanie do i z centrum danych niektórych niezczyszczonego personelu, którzy zapewniają ogólne usługi (takie jak jadalnia lub czyszczenie) lub pracę IT w centrum danych. Przeprowadzanie rutynowego monitorowania i konserwacji sprzętu sieciowego. Wykonaj pracę z zarządzaniem zdarzeniami i naprawą przerwania przy użyciu różnych narzędzi. Przeprowadzanie rutynowego monitorowania i konserwacji sprzętu fizycznego w centrach danych. Dostęp do środowiska na żądanie od właścicieli nieruchomości. Możliwość przeprowadzania badań kryminalistycznych, raportów zdarzeń dzienników i wymagania obowiązkowych wymagań dotyczących zabezpieczeń i zasad. Własność operacyjna i konserwacja krytycznych narzędzi zabezpieczeń, takich jak skanery i zbieranie dzienników. | Trwały dostęp do środowiska. |
| Klasyfikacja zdarzeń platformy Azure (inżynierowie szybkiego reagowania) | Wewnętrznie | Dostęp do danych klienta | Zarządzanie komunikacją między zespołami MCIO, pomocą techniczną i zespołami inżynieryjnymi. Klasyfikacja zdarzeń platformy, problemów z wdrażaniem i żądań obsługi. | Dostęp just in time do środowiska z ograniczonym trwałym dostępem do systemów innych niż klienci. |
| Inżynierowie wdrażania platformy Azure | Wewnętrznie | Dostęp do danych klienta | Wdrażanie i uaktualnianie składników platformy, oprogramowania i zaplanowanych zmian konfiguracji w obsłudze platformy Azure. | Dostęp just in time do środowiska z ograniczonym trwałym dostępem do systemów innych niż klienci. |
| Obsługa awarii klienta platformy Azure (dzierżawa) | Wewnętrznie | Dostęp do danych klienta | Debugowanie i diagnozowanie awarii i błędów platformy dla poszczególnych dzierżaw obliczeniowych i kont platformy Azure. Analizowanie błędów. Poprawek krytycznych dla platformy lub klienta oraz usprawniaj obsługę techniczną w całej pomocy technicznej. | Dostęp just in time do środowiska z ograniczonym trwałym dostępem do systemów innych niż klienci. |
| Inżynierowie lokacji na żywo platformy Azure (inżynierowie monitorowania) i zdarzenia | Wewnętrznie | Dostęp do danych klienta | Diagnozowanie i eliminowanie kondycji platformy przy użyciu narzędzi diagnostycznych. Poprawki dysków dla sterowników woluminów, elementy naprawy wynikające z awarii i asystować akcje przywracania awarii. | Dostęp just in time do środowiska z ograniczonym trwałym dostępem do systemów innych niż klienci. |
| Klienci platformy Azure | Zewnętrzne | Brak | NIE DOTYCZY | Brak |
Platforma Azure używa unikatowych identyfikatorów do uwierzytelniania użytkowników organizacji i klientów (lub procesów działających w imieniu użytkowników organizacji). Dotyczy to wszystkich zasobów i urządzeń, które są częścią środowiska platformy Azure.
Uwierzytelnianie wewnętrzne platformy Azure
Komunikacja między składnikami wewnętrznymi platformy Azure jest chroniona za pomocą szyfrowania TLS. W większości przypadków certyfikaty X.509 są z podpisem własnym. Certyfikaty z połączeniami, do których można uzyskać dostęp spoza sieci platformy Azure, są wyjątkiem, podobnie jak certyfikaty dla komputerów. Kontrolery domeny mają certyfikaty wystawione przez urząd certyfikacji firmy Microsoft, który jest wspierany przez zaufany główny urząd certyfikacji. Dzięki temu można łatwo przerzucać klucze publiczne FC. Ponadto narzędzia deweloperskie firmy Microsoft używają kluczy publicznych FC. Gdy deweloperzy przesyłają nowe obrazy aplikacji, obrazy są szyfrowane przy użyciu klucza publicznego fc w celu ochrony wszelkich osadzonych wpisów tajnych.
Uwierzytelnianie urządzeń sprzętowych platformy Azure
Fc utrzymuje zestaw poświadczeń (kluczy i/lub haseł) używany do uwierzytelniania się na różnych urządzeniach sprzętowych pod kontrolą. Firma Microsoft używa systemu, aby uniemożliwić dostęp do tych poświadczeń. W szczególności transport, trwałość i korzystanie z tych poświadczeń zaprojektowano w celu zapobiegania deweloperom, administratorom i usługom kopii zapasowych oraz pracownikom dostępu do poufnych, poufnych lub prywatnych informacji.
Firma Microsoft używa szyfrowania na podstawie głównego klucza publicznego tożsamości fc. Dzieje się tak w przypadku konfiguracji trybu failover i ponownej konfiguracji fc w celu transferu poświadczeń używanych do uzyskiwania dostępu do urządzeń sprzętowych sieciowych. Gdy fc potrzebuje poświadczeń, fc pobiera je i odszyfrowuje.
Urządzenia sieciowe
Zespół ds. sieci platformy Azure konfiguruje konta usług sieciowych, aby umożliwić klientowi platformy Azure uwierzytelnianie na urządzeniach sieciowych (routerach, przełącznikach i modułach równoważenia obciążenia).
Bezpieczna administracja usługą
Personel operacyjny platformy Azure jest wymagany do korzystania z bezpiecznych stacji roboczych administratora (SAW). Klienci mogą implementować podobne mechanizmy kontroli przy użyciu stacji roboczych z dostępem uprzywilejowanym. W przypadku programu SAW personel administracyjny korzysta z indywidualnie przypisanego konta administracyjnego, które jest oddzielone od konta użytkownika standardowego. Saw opiera się na tej praktyce separacji kont, zapewniając godną zaufania stację roboczą dla tych poufnych kont.
Następne kroki
Aby dowiedzieć się więcej o tym, co firma Microsoft robi, aby zabezpieczyć infrastrukturę platformy Azure, zobacz:
- Obiekty, środowiska lokalne i zabezpieczenia fizyczne platformy Azure
- Dostępność infrastruktury platformy Azure
- Architektura sieci platformy Azure
- Sieć produkcyjna platformy Azure
- Funkcje zabezpieczeń usługi Azure SQL Database
- Operacje produkcyjne i zarządzanie platformą Azure
- Monitorowanie infrastruktury platformy Azure
- Integralność infrastruktury platformy Azure
- Ochrona danych klientów platformy Azure