Azure om de beveiliging te verbeteren met verbeterde toegangscontrole-ervaring
3 minuut. lezen
Uitgegeven op
deel dit artikel
Verbeter deze handleiding
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
Microsoft heeft aangekondigd dat ze zijn verdubbelen naar beneden over Azure-beveiliging tijdens hun recente Black Hat-conferentie in Las Vegas.
Vandaag heeft Microsoft de nieuwe beveiligingsfuncties aangekondigd die de toegangscontrole-ervaring zullen verbeteren; inclusief de introductie van ondersteuning voor verificatie van Azure Active Directory Domain Service (Azure AD DS) voor toegang tot Server Message Block (SMB).
Nu kunnen virtuele Windows-machines die lid zijn van een domein, uw Azure-bestandsshares koppelen en openen via SMB, met behulp van AD DS-referenties met afgedwongen NTFS-toegangscontrolelijsten.
Bovendien kunt u toegang op shareniveau tot bepaalde bestanden en mappen beperken met behulp van op rollen gebaseerd toegangsbeheer (RBAC). De functionaliteit voor het toewijzen van machtigingen is vergelijkbaar met die van NTFS, daarom is het proces van het "optillen en verplaatsen" van een toepassing eenvoudiger.
Met Azure AD DS-verificatie voor Azure Files kunnen gebruikers gedetailleerde machtigingen opgeven voor shares, bestanden en mappen. Het deblokkeert veelvoorkomende gebruiksscenario's zoals scenario's voor één schrijver en meerdere lezers voor uw bedrijfstoepassingen. Omdat de toewijzing en handhaving van bestandsmachtigingen overeenkomt met die van NTFS, is het optillen en verplaatsen van uw toepassing naar Azure net zo eenvoudig als het verplaatsen naar een nieuwe SMB-bestandsserver. Dit maakt Azure Files ook tot een ideale oplossing voor gedeelde opslag voor cloudgebaseerde services. Bijvoorbeeld, Windows Virtual Desktop raadt het gebruik van Azure Files aan om verschillende gebruikersprofielen te hosten en gebruik te maken van Azure AD DS-verificatie voor toegangsbeheer.
Bovendien zorgt ondersteuning voor het afdwingen van NTFS discretionaire toegangsbeheerlijsten (DACL's) met Azure Files ervoor dat DACL's worden onderhouden in kopieer- en gegevensherstelprocessen.
Aangezien Azure Files NTFS discretionaire toegangsbeheerlijsten (DACL's) strikt afdwingt, kunt u bekende hulpprogramma's gebruiken zoals: Robocopy om gegevens naar een Azure-bestandsshare te verplaatsen met behoud van al uw belangrijke beveiligingscontroles. Toegangsbeheerlijsten voor Azure Files worden ook vastgelegd in momentopnamen van Azure-bestandsshares voor back-up- en noodherstelscenario's. Dit zorgt ervoor dat lijsten met bestandstoegangsbeheer worden bewaard bij gegevensherstel met behulp van services zoals Azure Backup die gebruikmaakt van momentopnamen van bestanden.
Bovendien kunt u nu machtigingen opnieuw toewijzen via Verkenner.
Verderop is het wijzigen van machtigingen via de bestandsverkenner gemarkeerd. De functie werd voor het eerst tentoongesteld op Ignite 2018; op dat moment was voor het bekijken en wijzigen van toestemming een Windows-opdrachtregelprogramma nodig met de naam 'icacls'. Deze tool bleek echter niet gemakkelijk vindbaar of consistent met gebruikersgedrag. Daarom wordt de mogelijkheid nu aangeboden met File Explorer, waardoor machtigingstoewijzingen voor Azure Files gemakkelijk mogelijk zijn.
Microsoft heeft drie nieuwe ingebouwde, op rollen gebaseerde toegangscontroles geïntroduceerd om het toegangsbeheer op shareniveau eenvoudiger te maken: Storage File Data SMB Share Elevated Contributor, Contributor en Reader.
Om het toegangsbeheer op share-niveau te vereenvoudigen, hebben we drie nieuwe ingebouwde, op rollen gebaseerde toegangscontroles geïntroduceerd: Storage File Data SMB Share Elevated Contributor, Contributor en Reader. In plaats van aangepaste rollen te maken, kunt u de ingebouwde rollen gebruiken voor het verlenen van machtigingen op share niveau voor SMB-toegang tot Azure Files.
Het Azure Files-team streeft ernaar de authenticatie-ondersteuning als onderdeel van de toegangscontrole-ervaring uit te breiden naar Windows Server Active Directory, gehost op locatie of in de cloud.
Het ondersteunen van verificatie met Azure Active Directory Domain Services is het handigst voor toepassingslift-and-shiftscenario's, maar Azure Files kan helpen bij het verplaatsen van alle on-premises bestandsshares, ongeacht of ze opslagruimte bieden voor een toepassing of voor eindgebruikers. Ons team werkt eraan om de authenticatie-ondersteuning uit te breiden naar Windows Server Active Directory die on-premises of in de cloud wordt gehost.
U kunt zich hier aanmelden voor updates over Azure Files Active Directory-verificatie: link.
