Azure mejorará la seguridad con una experiencia mejorada de control de acceso
3 minuto. leer
Publicado el
Compartir este artículo
Mejorar esta guía
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
Microsoft anunció que están Duplicando sobre la seguridad de Azure en su reciente conferencia Black Hat en Las Vegas.
Hoy, Microsoft anunció las nuevas funciones de seguridad que mejorarán la experiencia de control de acceso; incluida la introducción del soporte de autenticación del Servicio de dominio de Azure Active Directory (Azure AD DS) para el acceso al bloque de mensajes del servidor (SMB).
Ahora, las máquinas virtuales de Windows unidas a un dominio pueden montar y acceder a sus recursos compartidos de archivos de Azure a través de SMB, utilizando credenciales de AD DS con listas de control de acceso NTFS aplicadas.
Además, puede restringir el acceso de nivel compartido a ciertos archivos y carpetas mediante el control de acceso basado en roles (RBAC). La funcionalidad de asignación de permisos es similar a la de NTFS, por lo que el proceso de "levantar y cambiar" una aplicación es más fácil.
La autenticación de Azure AD DS para Azure Files permite a los usuarios especificar permisos granulares en recursos compartidos, archivos y carpetas. Desbloquea casos de uso comunes como el escenario de escritor único y lector múltiple para su línea de aplicaciones comerciales. Como la experiencia de aplicación y asignación de permisos de archivos coincide con la de NTFS, levantar y cambiar su aplicación a Azure es tan fácil como moverla a un nuevo servidor de archivos SMB. Esto también convierte a Azure Files en una solución de almacenamiento compartido ideal para servicios basados en la nube. Por ejemplo, Escritorio virtual de Windows recomienda usar Azure Files para hospedar diferentes perfiles de usuario y aprovechar la autenticación de Azure AD DS para el control de acceso.
Además, la compatibilidad con la aplicación de listas de control de acceso discrecional (DACL) de NTFS con Azure Files permite mantener las DACL en los procesos de copia y recuperación de datos.
Dado que Azure Files aplica estrictamente las listas de control de acceso discrecional (DACL) de NTFS, puede usar herramientas familiares como Robocopy para mover datos a un recurso compartido de archivos de Azure conservando todo su importante control de seguridad. Las listas de control de acceso de Azure Files también se capturan en instantáneas de recurso compartido de archivos de Azure para escenarios de copia de seguridad y recuperación ante desastres. Esto garantiza que las listas de control de acceso a archivos se conserven en la recuperación de datos mediante servicios como Azure Backup que aprovecha las instantáneas de archivos.
Además, ahora puede reasignar permisos a través del Explorador de archivos.
Continuando, se ha resaltado la modificación de permisos a través del Explorador de archivos. La función se mostró por primera vez en Ignite 2018; en ese momento, ver y cambiar los permisos requería una herramienta de línea de comandos de Windows llamada 'icacls'. Sin embargo, se descubrió que esta herramienta no era fácilmente detectable ni coherente con el comportamiento del usuario. Por lo tanto, la capacidad ahora se ofrece con el Explorador de archivos, lo que hace que las asignaciones de permisos para Azure Files sean posibles con facilidad.
Microsoft introdujo tres nuevos controles de acceso integrados basados en funciones para facilitar la administración del nivel de acceso compartido: almacenamiento de datos de archivos SMB Share Elevated Contributor, Contributor y Reader.
Para simplificar la administración de acceso a nivel de recursos compartidos, hemos introducido tres nuevos controles de acceso integrados basados en roles: datos de archivos de almacenamiento SMB Share Elevated Contributor, Contributor y Reader. En lugar de crear roles personalizados, puede usar los roles integrados para otorgar permisos de nivel de recurso compartido para el acceso de SMB a Azure Files.
El equipo de Azure Files tiene como objetivo extender el soporte de autenticación como parte de la experiencia de control de acceso, a Windows Server Active Directory, alojado localmente o en la nube.
La compatibilidad con la autenticación con Azure Active Directory Domain Services es más útil para los escenarios de elevación y cambio de aplicaciones, pero Azure Files puede ayudar a mover todos los recursos compartidos de archivos locales, independientemente de si proporcionan almacenamiento para una aplicación o para los usuarios finales. Nuestro equipo está trabajando para extender el soporte de autenticación a Windows Server Active Directory alojado localmente o en la nube.
Puede optar por recibir actualizaciones sobre la autenticación de Active Directory de Azure Files desde este liga.
