Az Azure a biztonság javítása érdekében továbbfejlesztett hozzáférés-vezérlési tapasztalattal
3 perc olvas
Publikálva
Ossza meg ezt a cikket
Javítsa ezt az útmutatót
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
A Microsoft bejelentette, hogy igen megduplázva az Azure biztonságáról a közelmúltbeli Las Vegas-i Black Hat konferencián.
A Microsoft ma bejelentette az új biztonsági funkciókat, amelyek javítják a hozzáférés-vezérlési élményt; beleértve az Azure Active Directory tartományi szolgáltatás (Azure AD DS) hitelesítési támogatásának bevezetését a kiszolgálói üzenetblokk (SMB) hozzáféréshez.
Mostantól a tartományhoz csatlakoztatott Windows virtuális gépek felcsatolhatják és hozzáférhetnek az Azure-fájlmegosztásokhoz SMB-n keresztül, AD DS hitelesítési adatok és kényszerített NTFS-hozzáférési listák használatával.
Ezenkívül korlátozhatja a megosztási szintű hozzáférést bizonyos fájlokhoz és mappákhoz a szerepkör alapú hozzáférés-vezérlés (RBAC) segítségével. Az engedélykiosztási funkcionalitás hasonló az NTFS-hez, így az alkalmazás „emelése és eltolása” könnyebb.
Az Azure AD DS-hitelesítés az Azure Files-hoz lehetővé teszi a felhasználók számára, hogy részletes engedélyeket adjanak meg a megosztásokhoz, fájlokhoz és mappákhoz. Feloldja az általános felhasználási eseteket, például az egy írót és a több olvasót tartalmazó forgatókönyvet az üzleti alkalmazásokhoz. Mivel a fájlengedélyek hozzárendelése és betartatása megegyezik az NTFS-szel, az alkalmazás Azure-ba emelése és áthelyezése ugyanolyan egyszerű, mint egy új SMB-fájlkiszolgálóra. Ezzel az Azure Files ideális megosztott tárolási megoldássá válik a felhőalapú szolgáltatásokhoz. Például, Windows Virtual Desktop javasolja az Azure Files használatát különböző felhasználói profilok üzemeltetéséhez, és az Azure AD DS-hitelesítés kihasználását a hozzáférés-vezérléshez.
Ezenkívül az NTFS diszkrecionális hozzáférés-vezérlési listák (DACL-ek) Azure Files szolgáltatással való kényszerítésének támogatása lehetővé teszi a DACL-ek karbantartását a másolási és adat-helyreállítási folyamatokon keresztül.
Mivel az Azure Files szigorúan kényszeríti az NTFS diszkrecionális hozzáférés-vezérlési listákat (DACL-eket), használhat ismerős eszközöket, például Robocopy adatok áthelyezésére egy Azure-fájlmegosztásba, amely megőrzi az összes fontos biztonsági ellenőrzést. Az Azure Files hozzáférés-vezérlési listái az Azure-fájlmegosztási pillanatképekben is rögzítve vannak a biztonsági mentés és a katasztrófa utáni helyreállítás forgatókönyveihez. Ez biztosítja, hogy a fájl-hozzáférési listák megőrzésre kerüljenek az adat-helyreállítás során olyan szolgáltatások használatával, mint az Azure Backup, amely kihasználja a fájlpillanatképeket.
Ezen túlmenően a Fájlkezelőn keresztül újra hozzárendelheti az engedélyeket.
Továbblépve az engedélyek módosítása a Fájlböngészőn keresztül kiemelt lett. A funkciót először az Ignite 2018 kiállításon mutatták be; akkoriban a megtekintéshez és az engedélyek módosításához az „icacls” nevű Windows parancssori eszközre volt szükség. Ez az eszköz azonban nem volt könnyen felfedezhető, és nem volt összhangban a felhasználói viselkedéssel. Ezért a képességet a File Explorer kínálja, így az Azure Files engedélyek hozzárendelése könnyedén elérhető.
A Microsoft három új beépített szerepkör-alapú hozzáférés-vezérlést vezetett be a megosztási szintű hozzáférés-kezelés egyszerűbbé tétele érdekében: Storage File Data SMB Share Elevated Contributor, Contributor és Reader.
A megosztási szintű hozzáférés-kezelés egyszerűsítése érdekében három új beépített szerepkör-alapú hozzáférés-vezérlést vezettünk be: Storage File Data SMB Share Elevated Contributor, Contributor és Reader. Egyéni szerepkörök létrehozása helyett használhatja a beépített szerepköröket az Azure Files SMB-hozzáféréséhez való megosztási szintű engedélyek megadásához.
Az Azure Files csapatának célja a hitelesítési támogatás kiterjesztése a hozzáférés-vezérlési élmény részeként a Windows Server Active Directoryra, a helyszíni üzemeltetésre vagy a felhőre.
Az Azure Active Directory tartományi szolgáltatásokkal való hitelesítés támogatása a leghasznosabb az alkalmazások emelésére és áthelyezésére vonatkozó forgatókönyvek esetén, de az Azure Files segíthet az összes helyszíni fájlmegosztás áthelyezésében, függetlenül attól, hogy egy alkalmazás vagy a végfelhasználók számára biztosítanak tárhelyet. Csapatunk azon dolgozik, hogy a hitelesítési támogatást kiterjessze a helyszíni vagy a felhőben tárolt Windows Server Active Directoryra.
Ebből feliratkozhat az Azure Files Active Directory-hitelesítéssel kapcsolatos frissítésekre link.
