Azure na zlepšenie zabezpečenia pomocou vylepšeného ovládania prístupu
3 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Microsoft oznámil, že sú Zdvojnásobenie o zabezpečení Azure na ich nedávnej konferencii Black Hat v Las Vegas.
Spoločnosť Microsoft dnes oznámila nové funkcie zabezpečenia, ktoré rozšíria možnosti kontroly prístupu; vrátane zavedenia podpory autentifikácie Azure Active Directory Domain Service (Azure AD DS) pre prístup Server Message Block (SMB).
Teraz môžu virtuálne počítače Windows pripojené k doméne pripojiť a pristupovať k vašim zdieľaným súborom Azure cez SMB pomocou poverení AD DS s vynútenými zoznamami riadenia prístupu NTFS.
Okrem toho môžete obmedziť prístup na úrovni zdieľania k určitým súborom a priečinkom pomocou riadenia prístupu na základe rolí (RBAC). Funkcia prideľovania povolení je podobná ako pri NTFS, preto je proces „zdvihnutia a presunu“ aplikácie jednoduchší.
Overovanie Azure AD DS pre súbory Azure umožňuje používateľom určiť podrobné povolenia pre zdieľané položky, súbory a priečinky. Odblokuje bežné prípady použitia, ako je scenár s jedným zapisovačom a viacerými čítačmi pre vaše obchodné aplikácie. Keďže skúsenosti s prideľovaním povolení k súborom a ich presadzovaním sa zhodujú so skúsenosťami so systémom NTFS, zdvihnutie a presun vašej aplikácie do Azure je také jednoduché, ako jej presunutie na nový súborový server SMB. Vďaka tomu je Azure Files ideálnym riešením zdieľaného úložiska pre cloudové služby. Napríklad, Windows Virtual Desktop odporúča používať Azure Files na hosťovanie rôznych používateľských profilov a využívať autentifikáciu Azure AD DS na riadenie prístupu.
Okrem toho podpora pre presadzovanie NTFS diskrečných zoznamov riadenia prístupu (DACL) pomocou Azure Files umožňuje udržiavať zoznamy DACL počas procesov kopírovania a obnovy údajov.
Keďže Azure Files prísne presadzuje NTFS diskrečné zoznamy riadenia prístupu (DACL), môžete použiť známe nástroje ako robokópia na presun údajov do zdieľaného súboru Azure so zachovaním všetkých vašich dôležitých bezpečnostných kontrol. Zoznamy riadenia prístupu k súborom Azure sú tiež zachytené v snímkach zdieľania súborov Azure pre scenáre zálohovania a obnovy po havárii. To zaisťuje, že zoznamy riadenia prístupu k súborom sa zachovajú pri obnove údajov pomocou služieb, ako je Azure Backup, ktorý využíva snímky súborov.
Okrem toho teraz môžete znova prideliť povolenia prostredníctvom Prieskumníka súborov.
Ďalej bola zvýraznená úprava povolení prostredníctvom Prieskumníka súborov. Táto funkcia bola prvýkrát predstavená na Ignite 2018; v tom čase si prezeranie a zmena povolenia vyžadovala nástroj príkazového riadka systému Windows s názvom „icacls“. Zistilo sa však, že tento nástroj nie je ľahko zistiteľný a nie je v súlade so správaním používateľov. Preto je táto možnosť teraz ponúkaná s Prieskumníkom súborov, vďaka čomu je priradenie povolení pre súbory Azure možné jednoducho.
Spoločnosť Microsoft predstavila tri nové vstavané ovládacie prvky prístupu založené na rolách, ktoré zjednodušujú správu prístupu na úrovni zdieľania – Úložný priestor údajov o súboroch SMB Share Elevated Contributor, Contributor a Reader.
Aby sme zjednodušili správu prístupu na úrovni zdieľania, zaviedli sme tri nové vstavané ovládacie prvky prístupu založené na rolách – úložisko údajov o súbore SMB Share Elevated Contributor, Contributor a Reader. Namiesto vytvárania vlastných rolí môžete použiť vstavané roly na udeľovanie povolení na úrovni zdieľania pre SMB prístup k súborom Azure.
Cieľom tímu Azure Files je rozšíriť podporu overovania ako súčasť kontroly prístupu na Windows Server Active Directory, hosťované lokálne alebo cloud.
Podpora overovania pomocou Azure Active Directory Domain Services je najužitočnejšia pre scenáre zdvíhania a posunu aplikácií, ale Azure Files môže pomôcť s presunom všetkých lokálnych zdieľaní súborov bez ohľadu na to, či poskytujú úložisko pre aplikáciu alebo pre koncových používateľov. Náš tím pracuje na rozšírení podpory overovania na Windows Server Active Directory hosťované lokálne alebo v cloude.
Z tohto sa môžete prihlásiť na odber aktualizácií o autentifikácii služby Azure Files Active Directory odkaz.
