Azure برای بهبود امنیت با تجربه کنترل دسترسی پیشرفته
3 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
مایکروسافت اعلام کرد که هستند دو برابر شدن در مورد امنیت Azure در کنفرانس اخیر کلاه سیاه آنها در لاس وگاس.
امروز، مایکروسافت ویژگی های امنیتی جدیدی را معرفی کرد که تجربه کنترل دسترسی را بهبود می بخشد. از جمله معرفی خدمات Azure Active Directory Domain Service (Azure AD DS) برای دسترسی به بلاک پیام سرور (SMB).
اکنون، ماشینهای مجازی ویندوز متصل به دامنه میتوانند با استفاده از اعتبارنامههای AD DS با فهرستهای کنترل دسترسی اجباری NTFS، به اشتراکگذاریهای فایل Azure شما از طریق SMB نصب و به آن دسترسی داشته باشند.
علاوه بر این، میتوانید دسترسی سطح اشتراکگذاری را به فایلها و پوشههای خاص با استفاده از کنترل دسترسی مبتنی بر نقش (RBAC) محدود کنید. عملکرد تخصیص مجوز شبیه به NTFS است، بنابراین فرآیند "بلند کردن و جابجایی" یک برنامه آسان تر است.
احراز هویت Azure AD DS برای فایلهای Azure به کاربران اجازه میدهد مجوزهای گرانول را روی اشتراکها، فایلها و پوشهها مشخص کنند. موارد استفاده رایج مانند سناریوی تک نویسنده و چند خوان را برای خط برنامه های تجاری شما باز می کند. از آنجایی که تخصیص مجوز و تجربه اجرای فایل با NTFS مطابقت دارد، بالا بردن و انتقال برنامه به Azure به آسانی انتقال آن به یک سرور فایل SMB جدید است. این همچنین باعث میشود Azure Files به یک راهحل ذخیرهسازی مشترک ایدهآل برای سرویسهای مبتنی بر ابر تبدیل شود. مثلا، مجازی ویندوز دسک تاپ توصیه میکند از Azure Files برای میزبانی پروفایلهای مختلف کاربر استفاده کنید و از احراز هویت Azure AD DS برای کنترل دسترسی استفاده کنید.
علاوه بر این، پشتیبانی از اجرای لیستهای کنترل دسترسی اختیاری NTFS (DACL) با فایلهای Azure اجازه میدهد تا DACL در سراسر فرآیندهای کپی و بازیابی دادهها حفظ شود.
از آنجایی که Azure Files به شدت لیست های کنترل دسترسی اختیاری NTFS (DACL) را اعمال می کند، می توانید از ابزارهای آشنا مانند روبوکوپی برای انتقال داده ها به اشتراک فایل Azure که تمام کنترل های امنیتی مهم شما را حفظ می کند. لیستهای کنترل دسترسی فایلهای Azure نیز در عکسهای فوری اشتراکگذاری فایل Azure برای سناریوهای پشتیبانگیری و بازیابی فاجعه ثبت میشوند. این تضمین میکند که لیستهای کنترل دسترسی فایل در بازیابی دادهها با استفاده از سرویسهایی مانند پشتیبانگیری Azure که از عکسهای فوری فایل استفاده میکند، حفظ میشوند.
علاوه بر این، اکنون می توانید از طریق File Explorer مجوزها را مجدداً اختصاص دهید.
در ادامه، تغییر مجوز از طریق File Explorer برجسته شده است. این ویژگی برای اولین بار در Ignite 2018 به نمایش گذاشته شد. در آن زمان، مشاهده و تغییر مجوز نیاز به یک ابزار خط فرمان ویندوز به نام 'icacls' داشت. با این حال، مشخص شد که این ابزار به راحتی قابل کشف یا سازگار با رفتار کاربر نیست. بنابراین، این قابلیت اکنون با File Explorer ارائه میشود و تخصیص مجوز برای فایلهای Azure را به راحتی امکانپذیر میکند.
مایکروسافت سه کنترل دسترسی مبتنی بر نقش داخلی را معرفی کرد تا مدیریت دسترسی سطح اشتراک را آسانتر کند: Storage File Data SMB Share Elevated Contributor، Contributor و Reader.
برای سادهسازی مدیریت دسترسی در سطح اشتراک، ما سه کنترل دسترسی مبتنی بر نقش داخلی را معرفی کردهایم: Storage File Data SMB Share Elevated Contributor، Contributor و Reader. به جای ایجاد نقش های سفارشی، می توانید از نقش های داخلی برای اعطای مجوزهای سطح اشتراک برای دسترسی SMB به فایل های Azure استفاده کنید.
تیم Azure Files قصد دارد پشتیبانی احراز هویت را به عنوان بخشی از تجربه کنترل دسترسی، به اکتیو دایرکتوری ویندوز سرور، میزبانی شده در محل یا فضای ابری گسترش دهد.
پشتیبانی از احراز هویت با خدمات دامنه اکتیو دایرکتوری Azure برای سناریوهای افزایش و جابجایی برنامه بسیار مفید است، اما Azure Files میتواند به جابجایی همه اشتراکگذاریهای فایل در محل کمک کند، صرف نظر از اینکه ذخیرهسازی را برای یک برنامه کاربردی یا برای کاربران نهایی فراهم میکنند. تیم ما در تلاش است تا پشتیبانی احراز هویت را به Windows Server Active Directory که در محل یا در فضای ابری میزبانی می شود، گسترش دهد.
از این طریق میتوانید بهروزرسانیهای مربوط به Azure Files Active Directory Authentication را انتخاب کنید پیوند.