Azure برای بهبود امنیت با تجربه کنترل دسترسی پیشرفته

مایکروسافت اعلام کرد که هستند دو برابر شدن در مورد امنیت Azure در کنفرانس اخیر کلاه سیاه آنها در لاس وگاس.

امروز، مایکروسافت ویژگی های امنیتی جدیدی را معرفی کرد که تجربه کنترل دسترسی را بهبود می بخشد. از جمله معرفی خدمات Azure Active Directory Domain Service (Azure AD DS) برای دسترسی به بلاک پیام سرور (SMB).

اکنون، ماشین‌های مجازی ویندوز متصل به دامنه می‌توانند با استفاده از اعتبارنامه‌های AD DS با فهرست‌های کنترل دسترسی اجباری NTFS، به اشتراک‌گذاری‌های فایل Azure شما از طریق SMB نصب و به آن دسترسی داشته باشند.

علاوه بر این، می‌توانید دسترسی سطح اشتراک‌گذاری را به فایل‌ها و پوشه‌های خاص با استفاده از کنترل دسترسی مبتنی بر نقش (RBAC) محدود کنید. عملکرد تخصیص مجوز شبیه به NTFS است، بنابراین فرآیند "بلند کردن و جابجایی" یک برنامه آسان تر است.

احراز هویت Azure AD DS برای فایل‌های Azure به کاربران اجازه می‌دهد مجوزهای گرانول را روی اشتراک‌ها، فایل‌ها و پوشه‌ها مشخص کنند. موارد استفاده رایج مانند سناریوی تک نویسنده و چند خوان را برای خط برنامه های تجاری شما باز می کند. از آنجایی که تخصیص مجوز و تجربه اجرای فایل با NTFS مطابقت دارد، بالا بردن و انتقال برنامه به Azure به آسانی انتقال آن به یک سرور فایل SMB جدید است. این همچنین باعث می‌شود Azure Files به یک راه‌حل ذخیره‌سازی مشترک ایده‌آل برای سرویس‌های مبتنی بر ابر تبدیل شود. مثلا، مجازی ویندوز دسک تاپ توصیه می‌کند از Azure Files برای میزبانی پروفایل‌های مختلف کاربر استفاده کنید و از احراز هویت Azure AD DS برای کنترل دسترسی استفاده کنید.

علاوه بر این، پشتیبانی از اجرای لیست‌های کنترل دسترسی اختیاری NTFS (DACL) با فایل‌های Azure اجازه می‌دهد تا DACL در سراسر فرآیندهای کپی و بازیابی داده‌ها حفظ شود.

از آنجایی که Azure Files به شدت لیست های کنترل دسترسی اختیاری NTFS (DACL) را اعمال می کند، می توانید از ابزارهای آشنا مانند روبوکوپی برای انتقال داده ها به اشتراک فایل Azure که تمام کنترل های امنیتی مهم شما را حفظ می کند. لیست‌های کنترل دسترسی فایل‌های Azure نیز در عکس‌های فوری اشتراک‌گذاری فایل Azure برای سناریوهای پشتیبان‌گیری و بازیابی فاجعه ثبت می‌شوند. این تضمین می‌کند که لیست‌های کنترل دسترسی فایل در بازیابی داده‌ها با استفاده از سرویس‌هایی مانند پشتیبان‌گیری Azure که از عکس‌های فوری فایل استفاده می‌کند، حفظ می‌شوند.

علاوه بر این، اکنون می توانید از طریق File Explorer مجوزها را مجدداً اختصاص دهید.

در ادامه، تغییر مجوز از طریق File Explorer برجسته شده است. این ویژگی برای اولین بار در Ignite 2018 به نمایش گذاشته شد. در آن زمان، مشاهده و تغییر مجوز نیاز به یک ابزار خط فرمان ویندوز به نام 'icacls' داشت. با این حال، مشخص شد که این ابزار به راحتی قابل کشف یا سازگار با رفتار کاربر نیست. بنابراین، این قابلیت اکنون با File Explorer ارائه می‌شود و تخصیص مجوز برای فایل‌های Azure را به راحتی امکان‌پذیر می‌کند.

مایکروسافت سه کنترل دسترسی مبتنی بر نقش داخلی را معرفی کرد تا مدیریت دسترسی سطح اشتراک را آسان‌تر کند: Storage File Data SMB Share Elevated Contributor، Contributor و Reader.

برای ساده‌سازی مدیریت دسترسی در سطح اشتراک، ما سه کنترل دسترسی مبتنی بر نقش داخلی را معرفی کرده‌ایم: Storage File Data SMB Share Elevated Contributor، Contributor و Reader. به جای ایجاد نقش های سفارشی، می توانید از نقش های داخلی برای اعطای مجوزهای سطح اشتراک برای دسترسی SMB به فایل های Azure استفاده کنید.

تیم Azure Files قصد دارد پشتیبانی احراز هویت را به عنوان بخشی از تجربه کنترل دسترسی، به اکتیو دایرکتوری ویندوز سرور، میزبانی شده در محل یا فضای ابری گسترش دهد.

پشتیبانی از احراز هویت با خدمات دامنه اکتیو دایرکتوری Azure برای سناریوهای افزایش و جابجایی برنامه بسیار مفید است، اما Azure Files می‌تواند به جابجایی همه اشتراک‌گذاری‌های فایل در محل کمک کند، صرف نظر از اینکه ذخیره‌سازی را برای یک برنامه کاربردی یا برای کاربران نهایی فراهم می‌کنند. تیم ما در تلاش است تا پشتیبانی احراز هویت را به Windows Server Active Directory که در محل یا در فضای ابری میزبانی می شود، گسترش دهد.

از این طریق می‌توانید به‌روزرسانی‌های مربوط به Azure Files Active Directory Authentication را انتخاب کنید پیوند.