Azure zur Verbesserung der Sicherheit mit erweiterter Zugriffssteuerung
3 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Microsoft gab bekannt, dass sie es sind verdoppeln über Azure-Sicherheit auf ihrer jüngsten Black-Hat-Konferenz in Las Vegas.
Heute hat Microsoft die neuen Sicherheitsfunktionen angekündigt, die die Zugriffssteuerung verbessern werden; einschließlich der Einführung der Azure Active Directory Domain Service (Azure AD DS)-Authentifizierungsunterstützung für den Server Message Block (SMB)-Zugriff.
Jetzt können in die Domäne eingebundene virtuelle Windows-Computer Ihre Azure-Dateifreigaben über SMB bereitstellen und darauf zugreifen, indem sie AD DS-Anmeldeinformationen mit erzwungenen NTFS-Zugriffssteuerungslisten verwenden.
Darüber hinaus können Sie den Zugriff auf Freigabeebene auf bestimmte Dateien und Ordner mithilfe der rollenbasierten Zugriffssteuerung (RBAC) einschränken. Die Berechtigungszuweisungsfunktion ähnelt der von NTFS, daher ist der Vorgang des „Lifting and Shifting“ einer Anwendung einfacher.
Die Azure AD DS-Authentifizierung für Azure Files ermöglicht Benutzern das Festlegen detaillierter Berechtigungen für Freigaben, Dateien und Ordner. Es entsperrt allgemeine Anwendungsfälle wie Single-Writer- und Multi-Reader-Szenarien für Ihre Branchenanwendungen. Da die Zuweisung und Erzwingung von Dateiberechtigungen der von NTFS entspricht, ist das Übertragen und Verschieben Ihrer Anwendung in Azure so einfach wie das Verschieben auf einen neuen SMB-Dateiserver. Dies macht Azure Files auch zu einer idealen Shared-Storage-Lösung für Cloud-basierte Dienste. Beispielsweise, Windows Virtual Desktop empfiehlt die Verwendung von Azure Files zum Hosten verschiedener Benutzerprofile und zum Nutzen der Azure AD DS-Authentifizierung für die Zugriffssteuerung.
Darüber hinaus ermöglicht die Unterstützung für die Durchsetzung von DACLs (Discretionary Access Control Lists) von NTFS mit Azure Files, dass DACLs über Kopier- und Datenwiederherstellungsprozesse hinweg beibehalten werden können.
Da Azure Files NTFS-DACLs (Discretionary Access Control Lists) strikt erzwingt, können Sie vertraute Tools wie z Robocopy um Daten in eine Azure-Dateifreigabe zu verschieben, wobei alle Ihre wichtigen Sicherheitskontrollen beibehalten werden. Azure Files-Zugriffssteuerungslisten werden auch in Azure-Dateifreigabe-Snapshots für Sicherungs- und Notfallwiederherstellungsszenarien erfasst. Dadurch wird sichergestellt, dass Dateizugriffssteuerungslisten bei der Datenwiederherstellung mit Diensten wie Azure Backup, die Dateimomentaufnahmen nutzen, beibehalten werden.
Darüber hinaus können Sie jetzt Berechtigungen über den Datei-Explorer neu zuweisen.
Weiter wurde die Berechtigungsänderung über den Datei-Explorer hervorgehoben. Das Feature wurde erstmals auf der Ignite 2018 vorgestellt; Zu dieser Zeit erforderte das Anzeigen und Ändern von Berechtigungen ein Windows-Befehlszeilentool namens „icacls“. Es wurde jedoch festgestellt, dass dieses Tool nicht leicht auffindbar oder mit dem Benutzerverhalten konsistent ist. Daher wird die Funktion jetzt mit dem Datei-Explorer angeboten, wodurch Berechtigungszuweisungen für Azure Files problemlos möglich sind.
Microsoft hat drei neue integrierte rollenbasierte Zugriffssteuerungen eingeführt, um die Zugriffsverwaltung auf Freigabeebene zu vereinfachen: Speicherdateidaten SMB-Freigabe Elevated Contributor, Contributor und Reader.
Um die Zugriffsverwaltung auf Freigabeebene zu vereinfachen, haben wir drei neue integrierte rollenbasierte Zugriffskontrollen eingeführt: Speicherdateidaten SMB-Freigabe Elevated Contributor, Contributor und Reader. Anstatt benutzerdefinierte Rollen zu erstellen, können Sie die integrierten Rollen verwenden, um Berechtigungen auf Freigabeebene für den SMB-Zugriff auf Azure Files zu erteilen.
Das Azure Files-Team möchte die Authentifizierungsunterstützung als Teil der Zugriffssteuerung auf Windows Server Active Directory erweitern, das lokal oder in der Cloud gehostet wird.
Die Unterstützung der Authentifizierung mit Azure Active Directory-Domänendiensten ist am nützlichsten für Application Lift and Shift-Szenarien, aber Azure Files kann beim Verschieben aller lokalen Dateifreigaben helfen, unabhängig davon, ob sie Speicher für eine Anwendung oder für Endbenutzer bereitstellen. Unser Team arbeitet daran, die Authentifizierungsunterstützung auf Windows Server Active Directory auszudehnen, das lokal oder in der Cloud gehostet wird.
Hier können Sie sich für Updates zur Active Directory-Authentifizierung von Azure Files entscheiden Link.
