Azure w celu zwiększenia bezpieczeństwa dzięki ulepszonej kontroli dostępu
3 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Microsoft ogłosił, że są podwojenie w dół na temat bezpieczeństwa Azure na ich ostatniej konferencji Black Hat w Las Vegas.
Dzisiaj Microsoft ogłosił nowe funkcje bezpieczeństwa, które zwiększą kontrolę dostępu; w tym wprowadzenie obsługi uwierzytelniania Azure Active Directory Domain Service (Azure AD DS) dla dostępu do bloku komunikatów serwera (SMB).
Teraz maszyny wirtualne z systemem Windows przyłączone do domeny mogą montować udziały plików platformy Azure i uzyskiwać do nich dostęp za pośrednictwem protokołu SMB przy użyciu poświadczeń usług AD DS z wymuszonymi listami kontroli dostępu NTFS.
Ponadto można ograniczyć dostęp na poziomie udziału do niektórych plików i folderów za pomocą kontroli dostępu opartej na rolach (RBAC). Funkcjonalność przypisywania uprawnień jest podobna do NTFS, dlatego proces „podnoszenia i przesuwania” aplikacji jest łatwiejszy.
Uwierzytelnianie Azure AD DS dla Azure Files umożliwia użytkownikom określanie szczegółowych uprawnień do udziałów, plików i folderów. Odblokowuje typowe przypadki użycia, takie jak scenariusz z jednym pisarzem i wieloma czytnikami dla Twojej linii aplikacji biznesowych. Ponieważ środowisko przypisywania i wymuszania uprawnień do plików jest zgodne z systemem NTFS, podnoszenie i przenoszenie aplikacji na platformę Azure jest tak proste, jak przeniesienie jej na nowy serwer plików SMB. Dzięki temu usługa Azure Files jest idealnym rozwiązaniem do współdzielonej pamięci masowej dla usług opartych na chmurze. Na przykład, Wirtualny pulpit systemu Windows zaleca używanie Azure Files do hostowania różnych profili użytkowników i używanie uwierzytelniania AD DS platformy Azure do kontroli dostępu.
Ponadto obsługa wymuszania arbitralnych list kontroli dostępu (DACL) NTFS za pomocą Azure Files umożliwia utrzymywanie list DACL w procesach kopiowania i odzyskiwania danych.
Ponieważ Azure Files ściśle wymusza arbitralne listy kontroli dostępu (DACL) NTFS, możesz używać znanych narzędzi, takich jak Robocopy przenieść dane do udziału plików platformy Azure, zachowując całą ważną kontrolę bezpieczeństwa. Listy kontroli dostępu Azure Files są również przechwytywane w migawkach udziałów plików platformy Azure na potrzeby scenariuszy tworzenia kopii zapasowych i odzyskiwania po awarii. Dzięki temu listy kontroli dostępu do plików są zachowywane podczas odzyskiwania danych przy użyciu usług, takich jak Azure Backup, które wykorzystują migawki plików.
Co więcej, możesz teraz ponownie przypisać uprawnienia za pomocą Eksploratora plików.
Idąc dalej, podświetlono modyfikację uprawnień za pomocą Eksploratora plików. Ta funkcja została po raz pierwszy zaprezentowana na targach Ignite 2018; w tamtym czasie przeglądanie i zmienianie uprawnień wymagało narzędzia wiersza poleceń systemu Windows o nazwie „icacls”. Stwierdzono jednak, że narzędzie to nie jest łatwo wykrywalne ani spójne z zachowaniem użytkownika. W związku z tym możliwość jest teraz oferowana w Eksploratorze plików, dzięki czemu można z łatwością przypisywać uprawnienia dla Azure Files.
Firma Microsoft wprowadziła trzy nowe wbudowane mechanizmy kontroli dostępu oparte na rolach, aby ułatwić zarządzanie dostępem na poziomie udziału — Storage File Data SMB Share Podwyższony współtwórca, współautor i czytelnik.
Aby uprościć zarządzanie dostępem na poziomie udziału, wprowadziliśmy trzy nowe wbudowane mechanizmy kontroli dostępu oparte na rolach — współautor, współautor i czytelnik z podwyższonym poziomem udziału SMB. Zamiast tworzyć role niestandardowe, możesz użyć wbudowanych ról do przyznawania uprawnień na poziomie udziału dla dostępu SMB do Azure Files.
Zespół Azure Files ma na celu rozszerzenie obsługi uwierzytelniania w ramach środowiska kontroli dostępu do usługi Windows Server Active Directory hostowanej lokalnie lub w chmurze.
Obsługa uwierzytelniania za pomocą Azure Active Directory Domain Services jest najbardziej przydatna w scenariuszach podnoszenia i przenoszenia aplikacji, ale Azure Files może pomóc w przenoszeniu wszystkich lokalnych udziałów plików, niezależnie od tego, czy udostępniają one magazyn dla aplikacji, czy dla użytkowników końcowych. Nasz zespół pracuje nad rozszerzeniem obsługi uwierzytelniania na usługę Windows Server Active Directory hostowaną lokalnie lub w chmurze.
W tym miejscu możesz wyrazić zgodę na aktualizacje dotyczące uwierzytelniania usługi Azure Files w usłudze Active Directory link.
