Azure pro zlepšení zabezpečení pomocí rozšířeného ovládání přístupu

Microsoft oznámil, že jsou zdvojnásobení o zabezpečení Azure na jejich nedávné konferenci Black Hat v Las Vegas.

Společnost Microsoft dnes oznámila nové funkce zabezpečení, které vylepší ovládání přístupu; včetně zavedení podpory ověřování Azure Active Directory Domain Service (Azure AD DS) pro přístup Server Message Block (SMB).

Nyní mohou virtuální počítače Windows připojené k doméně připojit a přistupovat k vašim sdíleným souborům Azure přes SMB pomocí přihlašovacích údajů AD DS s vynucenými seznamy řízení přístupu NTFS.

Navíc můžete omezit přístup na úrovni sdílení k určitým souborům a složkám pomocí řízení přístupu založeného na rolích (RBAC). Funkce přiřazení oprávnění je podobná jako u NTFS, proto je proces „zvedání a posouvání“ aplikace jednodušší.

Ověřování Azure AD DS pro soubory Azure umožňuje uživatelům určit podrobná oprávnění ke sdíleným položkám, souborům a složkám. Odblokuje běžné případy použití, jako je scénář s jedním zapisovačem a více čtecími zařízeními pro vaši řadu obchodních aplikací. Vzhledem k tomu, že přidělování a vynucování oprávnění k souborům odpovídá zkušenostem s NTFS, je zvednutí a přesun vaší aplikace do Azure stejně snadné jako přesun na nový souborový server SMB. Díky tomu je Azure Files také ideálním řešením sdíleného úložiště pro cloudové služby. Například, Windows Virtual Desktop doporučuje používat Azure Files k hostování různých uživatelských profilů a využívat ověřování Azure AD DS pro řízení přístupu.

Kromě toho podpora pro vynucení NTFS diskrečních seznamů řízení přístupu (DACL) pomocí Azure Files umožňuje udržovat seznamy DACL napříč procesy kopírování a obnovy dat.

Protože Azure Files přísně vynucuje NTFS diskreční seznamy řízení přístupu (DACL), můžete použít známé nástroje, jako je Robocopy přesunout data do sdílené složky Azure se zachováním všech důležitých ovládacích prvků zabezpečení. Seznamy řízení přístupu k souborům Azure jsou také zachyceny ve snímcích sdílení souborů Azure pro scénáře zálohování a obnovy po havárii. To zajišťuje, že seznamy řízení přístupu k souborům budou zachovány při obnově dat pomocí služeb, jako je Azure Backup, který využívá snímky souborů.

Navíc nyní můžete znovu přiřadit oprávnění prostřednictvím Průzkumníka souborů.

Dále byla zvýrazněna úprava oprávnění prostřednictvím Průzkumníka souborů. Tato funkce byla poprvé představena na Ignite 2018; v té době vyžadovalo zobrazení a změna oprávnění nástroj příkazového řádku systému Windows s názvem 'icacls'. Bylo však zjištěno, že tento nástroj není snadno zjistitelný a není v souladu s chováním uživatelů. Proto je tato možnost nyní nabízena s Průzkumníkem souborů, což umožňuje snadno přidělovat oprávnění pro soubory Azure.

Společnost Microsoft představila tři nové vestavěné ovládací prvky přístupu na základě rolí, které usnadňují správu přístupu na úrovni sdílení – úložiště dat o souborech SMB Share Elevated Contributor, Contributor a Reader.

Abychom zjednodušili správu přístupu na úrovni sdílení, zavedli jsme tři nové vestavěné ovládací prvky přístupu založené na rolích – úložiště dat souboru SMB Share Elevated Contributor, Contributor a Reader. Namísto vytváření vlastních rolí můžete použít integrované role k udělování oprávnění na úrovni sdílení pro SMB přístup k souborům Azure.

Tým Azure Files si klade za cíl rozšířit podporu ověřování jako součást řízení přístupu na Windows Server Active Directory, hostované na místě nebo cloud.

Podpora ověřování pomocí Azure Active Directory Domain Services je nejužitečnější pro scénáře zvedání a posunu aplikací, ale Azure Files může pomoci s přesunem všech místních sdílených souborů bez ohledu na to, zda poskytují úložiště pro aplikaci nebo pro koncové uživatele. Náš tým pracuje na rozšíření podpory ověřování na Windows Server Active Directory hostované lokálně nebo v cloudu.

Zde se můžete přihlásit k odběru aktualizací o Azure Files Active Directory Authentication https://trials.autocruitment.com.