Azure για βελτίωση της ασφάλειας με βελτιωμένη εμπειρία ελέγχου πρόσβασης
3 λεπτό. ανάγνωση
Δημοσιεύθηκε στις
Μοιραστείτε αυτό το άρθρο
Βελτιώστε αυτόν τον οδηγό
Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα
Η Microsoft ανακοίνωσε ότι είναι διπλασιάζοντας σχετικά με την ασφάλεια Azure στο πρόσφατο συνέδριο Black Hat στο Λας Βέγκας.
Σήμερα, η Microsoft ανακοίνωσε τα νέα χαρακτηριστικά ασφαλείας που θα βελτιώσουν την εμπειρία ελέγχου πρόσβασης. συμπεριλαμβανομένης της εισαγωγής της υπηρεσίας Azure Active Directory Domain Service (Azure AD DS) υποστήριξης ελέγχου ταυτότητας για πρόσβαση σε μπλοκ μηνυμάτων διακομιστή (SMB).
Τώρα, οι εικονικές μηχανές Windows που είναι συνδεδεμένες σε τομέα μπορούν να προσαρτήσουν και να αποκτήσουν πρόσβαση στα κοινόχρηστα αρχεία Azure μέσω SMB, χρησιμοποιώντας διαπιστευτήρια AD DS με λίστες ελέγχου πρόσβασης NTFS.
Επιπλέον, μπορείτε να περιορίσετε την πρόσβαση σε επίπεδο κοινής χρήσης σε ορισμένα αρχεία και φακέλους χρησιμοποιώντας τον έλεγχο πρόσβασης βάσει ρόλων (RBAC). Η λειτουργία εκχώρησης αδειών είναι παρόμοια με του NTFS, επομένως η διαδικασία «ανύψωσης και μετατόπισης» μιας εφαρμογής είναι ευκολότερη.
Ο έλεγχος ταυτότητας Azure AD DS για αρχεία Azure επιτρέπει στους χρήστες να καθορίζουν αναλυτικά δικαιώματα σε κοινόχρηστα στοιχεία, αρχεία και φακέλους. Ξεμπλοκάρει περιπτώσεις κοινής χρήσης, όπως το σενάριο μεμονωμένου εγγράφου και πολλαπλών αναγνωστών για τη σειρά επιχειρηματικών εφαρμογών σας. Καθώς η εμπειρία εκχώρησης αδειών και επιβολής αρχείων ταιριάζει με αυτή του NTFS, η ανύψωση και η μεταφορά της εφαρμογής σας στο Azure είναι τόσο εύκολη όσο η μετακίνηση της σε έναν νέο διακομιστή αρχείων SMB. Αυτό καθιστά επίσης το Azure Files μια ιδανική λύση κοινόχρηστης αποθήκευσης για υπηρεσίες που βασίζονται σε cloud. Για παράδειγμα, Εικονική επιφάνεια εργασίας των Windows συνιστά τη χρήση αρχείων Azure για τη φιλοξενία διαφορετικών προφίλ χρηστών και την αξιοποίηση του ελέγχου ταυτότητας Azure AD DS για έλεγχο πρόσβασης.
Επιπλέον, η υποστήριξη για την επιβολή λιστών διακριτικού ελέγχου πρόσβασης NTFS (DACL) με αρχεία Azure επιτρέπει τη διατήρηση των DACL σε όλες τις διαδικασίες αντιγραφής και ανάκτησης δεδομένων.
Δεδομένου ότι το Azure Files επιβάλλει αυστηρά NTFS λίστες ελέγχου πρόσβασης διακριτικής ευχέρειας (DACL), μπορείτε να χρησιμοποιήσετε γνωστά εργαλεία όπως Robocopy για να μετακινήσετε δεδομένα σε ένα κοινόχρηστο αρχείο Azure που διατηρεί όλο τον σημαντικό έλεγχο ασφαλείας σας. Οι λίστες ελέγχου πρόσβασης αρχείων Azure καταγράφονται επίσης σε στιγμιότυπα κοινής χρήσης αρχείων Azure για σενάρια δημιουργίας αντιγράφων ασφαλείας και ανάκτησης καταστροφής. Αυτό διασφαλίζει ότι οι λίστες ελέγχου πρόσβασης αρχείων διατηρούνται κατά την ανάκτηση δεδομένων χρησιμοποιώντας υπηρεσίες όπως το Azure Backup που αξιοποιεί τα στιγμιότυπα αρχείων.
Επιπλέον, μπορείτε πλέον να εκχωρήσετε εκ νέου δικαιώματα μέσω του File Explorer.
Προχωρώντας, η τροποποίηση άδειας μέσω της Εξερεύνησης αρχείων έχει επισημανθεί. Το χαρακτηριστικό παρουσιάστηκε για πρώτη φορά στο Ignite 2018. εκείνη την εποχή, η προβολή και η αλλαγή άδειας απαιτούσαν ένα εργαλείο γραμμής εντολών των Windows με το όνομα «icacls». Ωστόσο, διαπιστώθηκε ότι αυτό το εργαλείο δεν μπορεί να εντοπιστεί εύκολα ή να συνάδει με τη συμπεριφορά των χρηστών. Επομένως, η δυνατότητα προσφέρεται τώρα με την Εξερεύνηση αρχείων, καθιστώντας εύκολη την εκχώρηση αδειών για τα Αρχεία Azure.
Η Microsoft εισήγαγε τρία νέα ενσωματωμένα στοιχεία ελέγχου πρόσβασης που βασίζονται σε ρόλους, για να διευκολύνει τη διαχείριση πρόσβασης σε επίπεδο κοινής χρήσης- Δεδομένα αρχείου αποθήκευσης SMB Share Elevated Contributor, Contributor και Reader.
Για να απλοποιήσουμε τη διαχείριση πρόσβασης σε επίπεδο κοινής χρήσης, έχουμε εισαγάγει τρία νέα ενσωματωμένα στοιχεία ελέγχου πρόσβασης που βασίζονται σε ρόλο—Δεδομένα αρχείου αποθήκευσης SMB Share Elevated Contributor, Contributor και Reader. Αντί να δημιουργείτε προσαρμοσμένους ρόλους, μπορείτε να χρησιμοποιήσετε τους ενσωματωμένους ρόλους για την παραχώρηση δικαιωμάτων σε επίπεδο κοινής χρήσης για πρόσβαση SMB στα αρχεία Azure.
Η ομάδα Azure Files στοχεύει να επεκτείνει την υποστήριξη ελέγχου ταυτότητας ως μέρος της εμπειρίας ελέγχου πρόσβασης, στην υπηρεσία καταλόγου Active Directory του Windows Server, που φιλοξενείται στις εγκαταστάσεις ή στο cloud.
Η υποστήριξη ελέγχου ταυτότητας με τις Υπηρεσίες τομέα Azure Active Directory είναι πιο χρήσιμη για σενάρια ανάπτυξης και μετατόπισης εφαρμογών, αλλά τα Azure Files μπορούν να βοηθήσουν στη μετακίνηση όλων των κοινόχρηστων στοιχείων αρχείων εσωτερικής εγκατάστασης, ανεξάρτητα από το αν παρέχουν χώρο αποθήκευσης για μια εφαρμογή ή για τελικούς χρήστες. Η ομάδα μας εργάζεται για να επεκτείνει την υποστήριξη ελέγχου ταυτότητας στον Windows Server Active Directory που φιλοξενείται στις εγκαταστάσεις ή στο cloud.
Μπορείτε να επιλέξετε ενημερώσεις σχετικά με τον έλεγχο ταυτότητας καταλόγου Active Directory Azure Files από αυτό σύνδεσμος.
