Azure for at forbedre sikkerheden med forbedret adgangskontroloplevelse

Microsoft meddelte, at de er Fordobling ned om Azure-sikkerhed på deres seneste Black Hat-konference i Las Vegas.

I dag annoncerede Microsoft de nye sikkerhedsfunktioner, som vil forbedre adgangskontroloplevelsen; herunder introduktionen af ​​Azure Active Directory Domain Service (Azure AD DS) godkendelsesunderstøttelse for Server Message Block (SMB)-adgang.

Nu kan domæneforbundne virtuelle Windows-maskiner montere og få adgang til dine Azure-filshares over SMB ved hjælp af AD DS-legitimationsoplysninger med tvungne NTFS-adgangskontrollister.

Derudover kan du begrænse adgang på deleniveau til bestemte filer og mapper ved hjælp af rollebaseret adgangskontrol (RBAC). Tilladelsestildelingsfunktionaliteten ligner NTFS's, derfor er processen med at "løfte og flytte" en applikation lettere.

Azure AD DS-godkendelse til Azure Files giver brugerne mulighed for at angive detaljerede tilladelser på delinger, filer og mapper. Det fjerner blokering af almindelige brugsscenarier som scenarier med enkelt forfatter og multi-læser for din branche-applikationer. Da filtilladelsestildelingen og håndhævelsesoplevelsen matcher NTFS, er det lige så nemt at løfte og flytte din applikation til Azure som at flytte den til en ny SMB-filserver. Dette gør også Azure Files til en ideel delt lagringsløsning til skybaserede tjenester. For eksempel, Windows Virtual Desktop anbefaler at bruge Azure Files til at hoste forskellige brugerprofiler og udnytte Azure AD DS-godkendelse til adgangskontrol.

Ydermere tillader understøttelse af håndhævelse af NTFS diskretionære adgangskontrollister (DACL'er) med Azure Files DACL'er at blive vedligeholdt på tværs af kopierings- og datagendannelsesprocesser.

Da Azure Files strengt håndhæver NTFS diskretionære adgangskontrollister (DACL'er), kan du bruge velkendte værktøjer som f.eks. robocopy for at flytte data til en Azure-filshare, der bevarer al din vigtige sikkerhedskontrol. Azure Files-adgangskontrollister er også fanget i Azure fildelingssnapshots til sikkerhedskopiering og katastrofegendannelse. Dette sikrer, at filadgangskontrollister bevares ved datagendannelse ved hjælp af tjenester som Azure Backup, der udnytter snapshots af filer.

Desuden kan du nu gentildele tilladelser gennem File Explorer.

Når du går videre, er tilladelsesændringer gennem File Explorer blevet fremhævet. Indslaget blev første gang vist på Ignite 2018; på det tidspunkt krævede visning og ændring af tilladelse et Windows-kommandolinjeværktøj ved navn 'icacls'. Dette værktøj viste sig dog ikke at være let opdageligt eller i overensstemmelse med brugeradfærd. Derfor tilbydes muligheden nu med File Explorer, hvilket gør tilladelsestildelinger til Azure Files mulige med lethed.

Microsoft introducerede tre nye indbyggede rollebaserede adgangskontroller for at gøre adgangsstyring på shareniveau nemmere - Storage File Data SMB Share Elevated Contributor, Contributor og Reader.

For at forenkle adgangsadministration på deleniveau har vi introduceret tre nye indbyggede rollebaserede adgangskontroller—Storage File Data SMB Share Elevated Contributor, Contributor og Reader. I stedet for at oprette tilpassede roller kan du bruge de indbyggede roller til at give tilladelser på deleniveau til SMB-adgang til Azure Files.

Azure Files-teamet sigter mod at udvide godkendelsesunderstøttelse som en del af adgangskontroloplevelsen til Windows Server Active Directory, hostet på stedet eller skyen.

Understøttelse af godkendelse med Azure Active Directory Domain Services er mest nyttigt til applikationsløft og -skift-scenarier, men Azure Files kan hjælpe med at flytte alle lokale filshares, uanset om de leverer lagerplads til en applikation eller til slutbrugere. Vores team arbejder på at udvide godkendelsesunderstøttelsen til Windows Server Active Directory hostet på stedet eller i skyen.

Du kan tilmelde dig opdateringer om Azure Files Active Directory-godkendelse herfra link.