本文提供 Azure 体系结构和管理的一般说明。 Azure 系统环境由以下网络组成:
- Microsoft Azure 生产网络(Azure 网络)
- Microsoft公司网络(公司网)
单独的 IT 团队负责这些网络的运营和维护。
Azure 体系结构
Azure 是一个云计算平台和基础结构,用于通过数据中心网络生成、部署和管理应用程序和服务。 Microsoft管理这些数据中心。 根据指定的资源数,Azure 会根据资源需求创建虚拟机(VM)。 这些 VM 在 Azure 虚拟机监控程序上运行,该虚拟机专用于云中,并且不能供公众访问。
在每个 Azure 物理服务器节点上,都有一个虚拟机监控程序直接通过硬件运行。 虚拟机监控程序将节点划分为数量可变的来宾 VM。 每个节点还有一个根 VM,该 VM 运行主机作系统。 每个 VM 上都启用了 Windows 防火墙。 可以通过配置服务定义文件来定义可寻址的端口。 这些端口是唯一在内部或外部打开和可寻址的端口。 磁盘和网络的所有流量和访问权限都由虚拟机监控程序和根作系统进行调解。
在主机层,Azure VM 运行最新 Windows Server 的自定义和强化版本。 Azure 使用仅包含托管 VM 所需的组件版本的 Windows Server。 这可以提高性能并减少攻击面。 机器边界由虚拟机监控程序实施,不依赖于操作系统安全性。
通过结构控制器进行 Azure 管理
在 Azure 中,在物理服务器上运行的 VM(刀片/节点)被分组到约 1000 个的群集中。 VM 由称为结构控制器(FC)的横向扩展和冗余平台软件组件独立管理。
每个 FC 管理在其群集中运行的应用程序的生命周期,并预配和监视其控制下的硬件的运行状况。 它运行自主作,例如在确定服务器发生故障时在正常运行的服务器上重新生成 VM 实例。 FC 还执行应用程序管理作,例如部署、更新和横向扩展应用程序。
数据中心分为群集。 群集在FC级别上隔离故障,并防止某些类型的错误影响到该群集之外的服务器。 为特定 Azure 群集提供服务的 FC 将分组到 FC 群集中。
硬件清单
FC 在启动配置过程中准备 Azure 硬件和网络设备的清单。 任何进入 Azure 生产环境的新硬件和网络组件都必须遵循启动配置过程。 FC 负责管理 datacenter.xml 配置文件中列出的整个清单。
FC 托管的操作系统映像
作系统团队以虚拟硬盘的形式提供映像,这些磁盘部署在 Azure 生产环境中的所有主机和来宾 VM 上。 团队通过自动化脱机生成过程构建这些基本映像。 基础映像是操作系统的一个版本,其中内核和其他核心组件经过修改和优化,以支持 Azure 环境。
有三种类型的结构托管操作系统映像:
- 宿主机:在宿主机 VM 上运行的自定义操作系统。
- 原生:在租户中运行的原生操作系统(例如 Azure 存储)。 此操作系统没有任何虚拟机监控程序。
- 来宾:在来宾 VM 上运行的来宾操作系统。
主机和本机 FC 托管的操作系统专为在云中使用而设计,不可供公众访问。
主机和本机操作系统
主机和本机操作系统是强化的操作系统映像,它们托管结构代理,并在计算节点(作为节点上的第一个 VM 运行)和存储节点上运行。 使用主机和本机操作系统的优化基本映像的好处在于,可以减少 API 或未使用的组件公开的外围应用。 这些可能会带来较高的安全风险,并增加操作系统的占用空间。 缩减体积的操作系统仅包含 Azure 所需的组件。
来宾操作系统
在来宾作系统 VM 上运行的 Azure 内部组件没有机会运行远程桌面协议。 对基线配置设置所做的任何更改都必须完成更改和发布管理过程。
Azure 数据中心
Microsoft云基础结构和运营(MCIO)团队管理所有Microsoft联机服务的物理基础结构和数据中心设施。 MCIO 主要负责管理数据中心内的物理和环境控制,以及管理和支持外部外围网络设备(例如边缘路由器和数据中心路由器)。 MCIO 还负责在数据中心的机架上设置最低服务器硬件。 客户与 Azure 没有直接交互。
服务管理和服务团队
各种工程组(称为服务团队)管理 Azure 服务的支持。 每个服务团队负责对 Azure 的支持区域。 每个服务团队都必须提供 24x7 工程师才能调查和解决服务中的故障。 默认情况下,服务团队不会对 Azure 中运行的硬件具有物理访问权限。
服务团队包括:
- 应用程序平台
- Microsoft Entra 身份识别系统
- Azure 计算
- Azure Net
- 云工程服务
- ISSD:安全性
- 多重身份验证
- SQL数据库
- 储存
用户类型
Microsoft的员工(或承包商)被视为内部用户。 所有其他用户被视为外部用户。 所有 Azure 内部用户都有其员工状态分类,其敏感度级别定义他们对客户数据的访问权限(访问或无访问权限)。 下表介绍了对 Azure 的用户权限(身份验证后授权权限):
| 角色 | 内部或外部 | 敏感度级别 | 执行的授权权限和职责 | 访问类型 |
|---|---|---|---|---|
| Azure 数据中心工程师 | 内部 | 无法访问客户数据 | 管理本地的物理安全性。 在数据中心内和外进行巡逻,并监视所有入口点。 在数据中心护送未获得安全许可的人员进出,这些人员提供一般服务(如餐饮或清洁)或在数据中心内进行 IT 工作。 对网络硬件进行日常监视和维护。 使用各种工具进行事故管理和故障修复工作。 对数据中心内的物理硬件进行日常监视和维护。 根据业主的要求访问环境。 能够执行取证调查、记录事件报告,并要求强制进行安全培训和策略要求。 关键安全工具(例如扫描仪和日志收集器)的运营所有权和维护。 | 对环境的持久性访问权限。 |
| Azure 故障事件优先级分级(快速响应工程师) | 内部 | 访问客户数据 | 管理 MCIO、支持和工程团队之间的通信。 会审平台事件、部署问题和服务请求。 | 对环境的实时访问,对非客户系统的持久性访问有限。 |
| Azure 部署工程师 | 内部 | 访问客户数据 | 部署和升级支持 Azure 的平台组件、软件和计划配置更改。 | 对环境的实时访问,对非客户系统的持久性访问有限。 |
| Azure 客户中断支持(租户) | 内部 | 访问客户数据 | 调试和诊断单个计算租户和 Azure 帐户的平台中断和故障。 分析故障。 为平台或客户推动关键修复,并跨支持部门推动技术改进。 | 对环境的实时访问,对非客户系统的持久性访问有限。 |
| Azure 现场工程师(监控工程师)和事件 | 内部 | 访问客户数据 | 使用诊断工具诊断和缓解平台运行状况。 推进批量发布的驱动程序的修复措施、修复中断时造成的问题,并为中断复原措施提供协助。 | 对环境的实时访问,对非客户系统的持久性访问有限。 |
| Azure 客户 | 外部 | 无 | 无 | 无 |
Azure 使用唯一标识符对组织用户和客户进行身份验证(或代表组织用户执行的进程)。 这适用于属于 Azure 环境的所有资产和设备。
Azure 内部身份验证
Azure 内部组件之间的通信受 TLS 加密保护。 在大多数情况下,X.509 证书是自签名的。 可以从 Azure 网络外部访问的连接证书是例外,FCS 的证书也是如此。 FC 具有 Microsoft 证书颁发机构 (CA) 颁发的证书,该 CA 以受信任的根 CA 为后盾。 因此,可以轻松滚动更新 FC 公钥。 此外,Microsoft开发人员工具使用 FC 公钥。 当开发人员提交新的应用程序映像时,这些映像使用 FC 公钥进行加密,以保护任何嵌入式机密。
Azure 硬件设备身份验证
FC 维护一组凭据(密钥和/或密码),用于在其控制下对各种硬件设备进行身份验证。 Microsoft使用系统来防止访问这些凭据。 具体而言,这些凭据的传输、持久性和使用旨在防止 Azure 开发人员、管理员和备份服务和人员访问敏感、机密或专用信息。
Microsoft使用基于FC主标识公钥的加密技术。 在 FC 设置和 FC 重新配置时,会传输用于访问网络硬件设备的凭证。 当 FC 需要凭据时,FC 将检索和解密它们。
网络设备
Azure 网络团队配置网络服务帐户,使 Azure 客户端能够向网络设备(路由器、交换机和负载均衡器)进行身份验证。
安全服务管理
Azure 运营人员必须使用安全管理员工作站 (SAW)。 客户可以使用特权访问工作站实现类似的控制。 使用 SAW 时,管理人员使用独立于用户标准用户帐户的单独分配的管理帐户。 SAW 通过为这些敏感帐户提供可信的工作站,建立此帐户分离做法。
后续步骤
若要详细了解 Microsoft 如何帮助保护 Azure 基础结构,请参阅: