Azure za izboljšanje varnosti z izboljšano izkušnjo nadzora dostopa

Microsoft je objavil, da so podvojitev navzdol o varnosti Azure na njihovi nedavni konferenci Black Hat v Las Vegasu.

Danes je Microsoft napovedal nove varnostne funkcije, ki bodo izboljšale izkušnjo nadzora dostopa; vključno z uvedbo podpore za preverjanje pristnosti domenske storitve Azure Active Directory (Azure AD DS) za dostop do strežnika Message Block (SMB).

Zdaj lahko navidezni stroji Windows, ki so povezani z domeno, priklopijo in dostopajo do vaših skupnih rab datotek Azure prek SMB z uporabo poverilnic AD DS z uveljavljenimi seznami za nadzor dostopa NTFS.

Poleg tega lahko omejite dostop na ravni skupne rabe do določenih datotek in map z nadzorom dostopa na podlagi vlog (RBAC). Funkcionalnost dodeljevanja dovoljenj je podobna kot pri NTFS, zato je postopek »dviganja in premikanja« aplikacije lažji.

Preverjanje pristnosti Azure AD DS za datoteke Azure omogoča uporabnikom, da določijo natančna dovoljenja za skupne rabe, datoteke in mape. Odblokira običajne primere uporabe, kot sta scenarij z enim zapisovalnikom in večbralnikom za vašo linijo poslovnih aplikacij. Ker se dodeljevanje dovoljenj za datoteke in izkušnja uveljavljanja ujemajo z izkušnjami pri NTFS, je dvigovanje in premikanje vaše aplikacije v Azure tako enostavno kot premikanje na nov datotečni strežnik SMB. Zaradi tega so datoteke Azure tudi idealna rešitev za shranjevanje v skupni rabi za storitve v oblaku. na primer Windows Virtual Desktop priporoča uporabo datotek Azure za gostovanje različnih uporabniških profilov in uporabo preverjanja pristnosti Azure AD DS za nadzor dostopa.

Poleg tega podpora za uveljavljanje diskrecijskih seznamov za nadzor dostopa (DACL) NTFS z datotekami Azure omogoča vzdrževanje DACL-jev med procesi kopiranja in obnavljanja podatkov.

Ker Azure Files strogo uveljavlja NTFS sezname diskrecijskih nadzorov dostopa (DACL), lahko uporabite znana orodja, kot je Robokopija da premaknete podatke v skupno rabo datotek Azure, ki obdržijo ves vaš pomemben varnostni nadzor. Seznami za nadzor dostopa do datotek Azure so zajeti tudi v posnetkih skupne rabe datotek Azure za scenarije varnostnega kopiranja in obnovitve po nesreči. To zagotavlja, da se seznami za nadzor dostopa do datotek ohranijo pri obnovitvi podatkov s storitvami, kot je Azure Backup, ki izkorišča posnetke datotek.

Poleg tega lahko zdaj prek File Explorerja ponovno dodelite dovoljenja.

Če nadaljujemo, je bilo poudarjeno spreminjanje dovoljenj prek File Explorerja. Funkcija je bila prvič predstavljena na Ignite 2018; takrat je bilo za ogled in spreminjanje dovoljenj potrebno orodje ukazne vrstice Windows z imenom 'icacls'. Vendar je bilo ugotovljeno, da tega orodja ni mogoče zlahka odkriti ali skladno z vedenjem uporabnikov. Zato je ta zmožnost zdaj na voljo v Raziskovalcu datotek, kar omogoča enostavno dodelitev dovoljenj za datoteke Azure.

Microsoft je predstavil tri nove vgrajene kontrole dostopa na podlagi vlog, da bi olajšal upravljanje dostopa na ravni skupne rabe – Storage File Data SMB Share Elevated Contributor, Contributor in Reader.

Za poenostavitev upravljanja dostopa na ravni skupne rabe smo uvedli tri nove vgrajene kontrole dostopa, ki temeljijo na vlogah – Storage File Data SMB Share Elevated Contributor, Contributor in Reader. Namesto ustvarjanja vlog po meri lahko uporabite vgrajene vloge za dodelitev dovoljenj na ravni skupne rabe za dostop SMB do datotek Azure.

Skupina Azure Files želi razširiti podporo za preverjanje pristnosti kot del izkušnje nadzora dostopa na Windows Server Active Directory, ki gostuje na mestu ali v oblaku.

Podpora za preverjanje pristnosti z domenskimi storitvami Azure Active Directory je najbolj uporabna za scenarije dviga in premika aplikacij, vendar lahko Azure Files pomaga pri premikanju vseh lokalnih skupnih rab datotek, ne glede na to, ali zagotavljajo prostor za shranjevanje za aplikacijo ali za končne uporabnike. Naša ekipa si prizadeva razširiti podporo za preverjanje pristnosti na Windows Server Active Directory, ki gostuje na mestu ali v oblaku.

Tu se lahko odločite za posodobitve o preverjanju pristnosti v imeniku Azure Files povezava.