Azure para melhorar a segurança com experiência aprimorada de controle de acesso
3 minutos. ler
Publicado em
Compartilhe este artigo
Melhore este guia
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
A Microsoft anunciou que está dobrando sobre a segurança do Azure em sua recente conferência Black Hat em Las Vegas.
Hoje, a Microsoft anunciou os novos recursos de segurança que irão aprimorar a experiência de controle de acesso; incluindo a introdução do suporte de autenticação do Azure Active Directory Domain Service (Azure AD DS) para acesso ao SMB (Server Message Block).
Agora, as máquinas virtuais do Windows ingressadas no domínio podem montar e acessar seus compartilhamentos de arquivos do Azure por SMB, usando credenciais do AD DS com listas de controle de acesso NTFS impostas.
Além disso, você pode restringir o acesso em nível de compartilhamento a determinados arquivos e pastas usando o controle de acesso baseado em função (RBAC). A funcionalidade de atribuição de permissão é semelhante à do NTFS, portanto, o processo de “levantar e deslocar” um aplicativo é mais fácil.
A autenticação do Azure AD DS para arquivos do Azure permite que os usuários especifiquem permissões granulares em compartilhamentos, arquivos e pastas. Ele desbloqueia casos de uso comuns, como cenário de gravador único e vários leitores para sua linha de aplicativos de negócios. Como a experiência de atribuição e aplicação de permissão de arquivo corresponde à do NTFS, levantar e transferir seu aplicativo para o Azure é tão fácil quanto movê-lo para um novo servidor de arquivos SMB. Isso também torna os Arquivos do Azure uma solução de armazenamento compartilhado ideal para serviços baseados em nuvem. Por exemplo, Área de trabalho virtual do Windows recomenda usar os Arquivos do Azure para hospedar diferentes perfis de usuário e aproveitar a autenticação do Azure AD DS para controle de acesso.
Além disso, o suporte para a imposição de listas de controle de acesso discricionário (DACLs) NTFS com arquivos do Azure permite que as DACLs sejam mantidas nos processos de cópia e recuperação de dados.
Como os Arquivos do Azure impõem estritamente listas de controle de acesso discricionário (DACLs) NTFS, você pode usar ferramentas familiares como Robocopy para mover dados para um compartilhamento de arquivos do Azure mantendo todo o seu importante controle de segurança. As listas de controle de acesso dos Arquivos do Azure também são capturadas em instantâneos de compartilhamento de arquivos do Azure para cenários de backup e recuperação de desastres. Isso garante que as listas de controle de acesso a arquivos sejam preservadas na recuperação de dados usando serviços como o Backup do Azure que aproveita os instantâneos de arquivos.
Além disso, agora você pode reatribuir permissões através do Explorador de Arquivos.
Seguindo em frente, a modificação de permissão através do File Explorer foi destacada. O recurso foi exibido pela primeira vez no Ignite 2018; naquela época, visualizar e alterar a permissão exigia uma ferramenta de linha de comando do Windows chamada 'icacls'. No entanto, essa ferramenta não é facilmente detectável ou consistente com o comportamento do usuário. Portanto, a capacidade agora é oferecida com o Explorador de Arquivos, possibilitando atribuições de permissão para Arquivos do Azure com facilidade.
A Microsoft introduziu três novos controles de acesso baseados em funções integrados, para facilitar o gerenciamento de acesso em nível de compartilhamento - Storage File Data SMB Share Elevado Contributor, Contributor e Reader.
Para simplificar o gerenciamento de acesso em nível de compartilhamento, introduzimos três novos controles de acesso baseados em função integrados: Colaborador elevado de compartilhamento de SMB de dados de arquivo de armazenamento, Colaborador e Leitor. Em vez de criar funções personalizadas, você pode usar as funções internas para conceder permissões de nível de compartilhamento para acesso SMB aos arquivos do Azure.
A equipe do Azure Files visa estender o suporte à autenticação como parte da experiência de controle de acesso ao Windows Server Active Directory, hospedado no local ou na nuvem.
O suporte à autenticação com os Serviços de Domínio do Azure Active Directory é mais útil para cenários de elevação e mudança de aplicativos, mas os Arquivos do Azure podem ajudar a mover todos os compartilhamentos de arquivos locais, independentemente de estarem fornecendo armazenamento para um aplicativo ou para usuários finais. Nossa equipe está trabalhando para estender o suporte de autenticação ao Windows Server Active Directory hospedado no local ou na nuvem.
Você pode optar por atualizações sobre a autenticação do Active Directory de arquivos do Azure neste link.
