Azure для повышения безопасности за счет расширенного контроля доступа
3 минута. читать
Опубликовано
Поделиться этой статьей
Улучшите это руководство
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Microsoft объявила, что они удвоение по безопасности Azure на их недавней конференции Black Hat в Лас-Вегасе.
Сегодня Microsoft объявила о новых функциях безопасности, которые расширят возможности контроля доступа; включая введение поддержки проверки подлинности доменной службы Azure Active Directory (Azure AD DS) для доступа к блоку сообщений сервера (SMB).
Теперь виртуальные машины Windows, присоединенные к домену, могут подключаться и получать доступ к вашим файловым ресурсам Azure через SMB, используя учетные данные AD DS с принудительными списками контроля доступа NTFS.
Кроме того, вы можете ограничить доступ на уровне общих ресурсов к определенным файлам и папкам с помощью управления доступом на основе ролей (RBAC). Функциональность назначения разрешений аналогична NTFS, поэтому процесс «поднятия и перемещения» приложения проще.
Аутентификация Azure AD DS для файлов Azure позволяет пользователям указывать детальные разрешения для общих ресурсов, файлов и папок. Он разблокирует распространенные варианты использования, такие как сценарий с одним модулем записи и несколькими модулями чтения для вашей линейки бизнес-приложений. Поскольку процесс назначения прав доступа к файлам и принудительного применения соответствует NTFS, поднять и перенести ваше приложение в Azure так же просто, как переместить его на новый файловый сервер SMB. Это также делает Azure Files идеальным решением общего хранилища для облачных служб. Например, Windows Virtual Desktop рекомендует использовать Файлы Azure для размещения различных профилей пользователей и использовать проверку подлинности Azure AD DS для управления доступом.
Кроме того, поддержка принудительного применения списков управления доступом на уровне пользователей (DACL) NTFS с помощью файлов Azure позволяет поддерживать списки DACL в процессах копирования и восстановления данных.
Поскольку в службе "Файлы Azure" строго применяются списки управления доступом на уровне пользователей (DACL) NTFS, вы можете использовать знакомые инструменты, такие как Robocopy для перемещения данных в общий файловый ресурс Azure с сохранением всех важных элементов управления безопасностью. Списки управления доступом к файлам Azure также фиксируются в моментальных снимках общего файлового ресурса Azure для сценариев резервного копирования и аварийного восстановления. Это гарантирует, что списки управления доступом к файлам сохраняются при восстановлении данных с помощью таких служб, как Azure Backup, использующих моментальные снимки файлов.
Более того, теперь вы можете переназначать разрешения через проводник.
Двигаясь дальше, изменение разрешений через проводник было выделено. Впервые эта функция была представлена на Ignite 2018; в то время для просмотра и изменения разрешения требовался инструмент командной строки Windows под названием «icacls». Однако оказалось, что этот инструмент нелегко обнаружить и он не соответствует поведению пользователя. Таким образом, эта возможность теперь предлагается в проводнике, что упрощает назначение разрешений для файлов Azure.
Microsoft представила три новых встроенных элемента управления доступом на основе ролей, чтобы упростить управление доступом на уровне общих ресурсов: Storage File Data SMB Share Elevated Contributor, Contributor и Reader.
Чтобы упростить управление доступом на уровне общих ресурсов, мы представили три новых встроенных элемента управления доступом на основе ролей — Storage File Data SMB Share Elevated Contributor, Contributor и Reader. Вместо создания настраиваемых ролей вы можете использовать встроенные роли для предоставления разрешений на уровне общих ресурсов для доступа SMB к Azure Files.
Команда Azure Files стремится расширить поддержку проверки подлинности в рамках управления доступом к Windows Server Active Directory, размещенным локально или в облаке.
Поддержка проверки подлинности с помощью доменных служб Azure Active Directory наиболее полезна для сценариев подъема и переноса приложений, но служба файлов Azure может помочь с перемещением всех локальных общих файловых ресурсов, независимо от того, предоставляют ли они хранилище для приложения или для конечных пользователей. Наша команда работает над расширением поддержки проверки подлинности для Windows Server Active Directory, размещенного локально или в облаке.
Вы можете подписаться на получение обновлений об аутентификации Azure Files Active Directory из этого ссылке.
