Azure 生產網路的管理和作業
本文說明 Microsoft 如何管理及操作 Azure 生產網路,以保護 Azure 資料中心的安全。
監視、記錄和報告
Azure 生產網路的管理和作業是 Azure 和 Azure SQL 資料庫 作業小組之間的協調工作。 小組會在環境中使用數個系統和應用程式效能監視工具。 他們使用適當的工具來監視網路裝置、伺服器、服務和應用程式程式。
為了確保在 Azure 環境中執行的服務安全執行,作業小組會實作多個層級的監視、記錄和報告,包括下列動作:
主要來說,Microsoft Monitoring Agent (MMA) 會收集許多位置的監視和診斷記錄資訊,包括網狀架構控制器 (FC) 和根作業系統 (OS),並將其寫入記錄檔。 代理程式最終會將摘要的資訊子集推送至預先設定的 Azure 儲存體帳戶。 此外,獨立監視和診斷服務會讀取各種監視和診斷記錄資料,並摘要資訊。 監視和診斷服務會將資訊寫入整合式記錄檔。 Azure 使用自訂建置的 Azure 安全性監視,這是 Azure 監視系統的擴充功能。 其具有元件,可觀察、分析及報告平臺中各種點的安全性相關事件。
Azure SQL 資料庫 Windows Fabric 平臺提供 Azure SQL 資料庫的管理、部署、開發和操作監督服務。 此平臺提供分散式、多步驟部署服務、健康情況監視、自動修復和服務版本合規性。 它提供下列服務:
- 具有高精確度開發環境的服務模型化功能(資料中心叢集昂貴且稀缺)。
- 單鍵部署和升級服務啟動和維護工作流程。
- 使用自動化修復工作流程的健康情況報告,以啟用自我修復。
- 跨分散式系統的節點進行即時監視、警示和偵錯。
- 集中收集作業資料和計量,以進行分散式根本原因分析和服務深入解析。
- 部署、變更管理和監視的操作工具。
- Azure SQL 資料庫 Windows Fabric 平臺和監視程式腳本會持續執行並即時監視。
如果發生任何異常狀況,則會啟動事件回應程式,然後啟動 Azure 事件分級小組。 適當的Azure 支援人員會收到回應事件的通知。 問題追蹤和解決會在集中式票證系統中記錄和管理。 系統執行時間計量可在保密協定 (NDA) 和要求下取得。
公司網路和生產環境的多重要素存取
公司網路使用者群包含Azure 支援人員。 公司網路支援內部公司功能,並包含存取用於 Azure 客戶支援的內部應用程式。 公司網路在邏輯上和實體上都與 Azure 生產網路分開。 Azure 人員會使用 Azure 工作站和膝上型電腦來存取公司網路。 所有使用者都必須有 Microsoft Entra 帳戶,包括使用者名稱和密碼,才能存取公司網路資源。 公司網路存取會使用 Microsoft Entra 帳戶,這些帳戶會發給所有 Microsoft 人員、承包商和廠商,並由 Microsoft 資訊技術管理。 唯一的使用者識別碼會根據其在 Microsoft 的就業狀態來區分人員。
透過使用 Active Directory 同盟服務 驗證來控制對內部 Azure 應用程式的存取權(AD FS)。 AD FS 是 Microsoft 資訊技術所裝載的服務,可透過套用安全權杖和使用者宣告,提供公司網路使用者的驗證。 AD FS 可讓內部 Azure 應用程式對 Microsoft 公司 Active Directory 網域驗證使用者。 若要從公司網路環境存取生產網路,使用者必須使用多重要素驗證進行驗證。
下一步
若要深入瞭解 Microsoft 如何保護 Azure 基礎結構,請參閱: