Azure za poboljšanje sigurnosti uz poboljšano iskustvo kontrole pristupa
3 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Microsoft je najavio da jesu udvostručenje o Azure sigurnosti na njihovoj nedavnoj konferenciji Black Hat u Las Vegasu.
Danas je Microsoft najavio nove sigurnosne značajke koje će poboljšati iskustvo kontrole pristupa; uključujući uvođenje podrške za provjeru autentičnosti usluge Azure Active Directory Domain Service (Azure AD DS) za pristup bloku poruka poslužitelja (SMB).
Sada, virtualni strojevi Windows povezani s domenom mogu montirati i pristupiti vašim dijeljenjima datoteka Azure preko SMB-a, koristeći AD DS vjerodajnice s prisilnim popisima kontrole pristupa NTFS.
Osim toga, možete ograničiti pristup na razini dijeljenja određenim datotekama i mapama pomoću kontrole pristupa temeljene na ulozi (RBAC). Funkcionalnost dodjele dopuštenja slična je NTFS-u, stoga je proces "podizanja i pomicanja" aplikacije lakši.
Azure AD DS provjera autentičnosti za Azure datoteke omogućuje korisnicima da navedu detaljna dopuštenja za dijeljenja, datoteke i mape. Deblokira uobičajene slučajeve upotrebe kao što su scenarij jednog pisača i više čitača za vašu liniju poslovnih aplikacija. Kako se dodjela dopuštenja datoteke i iskustvo provedbe podudara s iskustvom NTFS-a, podizanje i premještanje vaše aplikacije u Azure jednostavno je kao i premještanje na novi SMB poslužitelj datoteka. To također čini Azure Files idealnim rješenjem za dijeljenu pohranu za usluge temeljene na oblaku. Na primjer, Windows Virtual Desktop preporučuje korištenje Azure datoteka za hostiranje različitih korisničkih profila i korištenje Azure AD DS provjere autentičnosti za kontrolu pristupa.
Nadalje, podrška za provedbu NTFS popisa diskrecijske kontrole pristupa (DACL) s Azure datotekama omogućuje održavanje DACL-ova tijekom procesa kopiranja i oporavka podataka.
Budući da Azure Files strogo provodi NTFS popise diskrecijskih kontrola pristupa (DACL), možete koristiti poznate alate poput Robocopy da premjestite podatke u Azure dijeljenje datoteka uz sve vaše važne sigurnosne kontrole. Popisi kontrole pristupa Azure datotekama također su zarobljeni u snimkama dijeljenja datoteka Azure za sigurnosne kopije i scenarije oporavka od katastrofe. To osigurava da se popisi kontrole pristupa datotekama sačuvaju pri oporavku podataka pomoću usluga kao što je Azure Backup koji koristi snimke datoteka.
Štoviše, sada možete ponovno dodijeliti dopuštenja putem File Explorera.
Nastavljamo dalje, istaknuta je izmjena dopuštenja kroz File Explorer. Značajka je prvi put predstavljena na Ignite 2018.; u to vrijeme, pregled i promjena dopuštenja zahtijevali su Windows alat naredbenog retka pod nazivom 'icacls'. Međutim, utvrđeno je da se ovaj alat ne može lako otkriti niti je u skladu s ponašanjem korisnika. Stoga se ta mogućnost sada nudi s File Explorerom, čime je dodjela dopuštenja za Azure datoteke moguća s lakoćom.
Microsoft je predstavio tri nove ugrađene kontrole pristupa temeljene na ulogama, kako bi olakšao upravljanje pristupom na razini dijeljenja - SMB Share Elevated Contributor, Contributor i Reader.
Kako bismo pojednostavili upravljanje pristupom na razini dijeljenja, uveli smo tri nove ugrađene kontrole pristupa temeljene na ulogama—Storage File Data SMB Share Elevated Contributor, Contributor i Reader. Umjesto stvaranja prilagođenih uloga, možete koristiti ugrađene uloge za dodjelu dopuštenja na razini dijeljenja za SMB pristup Azure datotekama.
Tim za Azure Files ima za cilj proširiti podršku za autentifikaciju kao dio iskustva kontrole pristupa, na Windows Server Active Directory, lokalno hostiran ili u oblaku.
Podrška provjere autentičnosti s domenskim uslugama Azure Active Directory najkorisnija je za scenarije podizanja i pomaka aplikacije, ali Azure datoteke mogu pomoći pri premještanju svih lokalnih dijeljenja datoteka, bez obzira da li pružaju pohranu za aplikaciju ili za krajnje korisnike. Naš tim radi na proširenju podrške za autentifikaciju na Windows Server Active Directory koji se nalazi lokalno ili u oblaku.
Iz ovoga se možete uključiti u ažuriranja o provjeri autentičnosti Azure datoteka Active Directory link.
