Azure เพื่อปรับปรุงความปลอดภัยด้วยประสบการณ์การควบคุมการเข้าถึงที่ได้รับการปรับปรุง

Microsoft ประกาศว่าพวกเขาคือ การเสแสร้งลง เกี่ยวกับความปลอดภัยของ Azure ในการประชุม Black Hat ครั้งล่าสุดในลาสเวกัส

วันนี้ Microsoft ได้ประกาศคุณลักษณะด้านความปลอดภัยใหม่ซึ่งจะปรับปรุงประสบการณ์การควบคุมการเข้าใช้งาน รวมถึงการแนะนำการสนับสนุนการรับรองความถูกต้อง Azure Active Directory Domain Service (Azure AD DS) สำหรับการเข้าถึง Server Message Block (SMB)

ขณะนี้ เครื่องเสมือน Windows ที่เข้าร่วมโดเมนสามารถติดตั้งและเข้าถึงไฟล์ Azure ที่แชร์ผ่าน SMB โดยใช้ข้อมูลประจำตัว AD DS พร้อมรายการควบคุมการเข้าถึง NTFS ที่บังคับใช้

นอกจากนี้ คุณสามารถจำกัดการเข้าถึงระดับแชร์สำหรับบางไฟล์และโฟลเดอร์โดยใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) ฟังก์ชันการกำหนดสิทธิ์จะคล้ายกับ NTFS ดังนั้นกระบวนการ "ยกและขยับ" แอปพลิเคชันจึงง่ายกว่า

การรับรองความถูกต้อง Azure AD DS สำหรับไฟล์ Azure ช่วยให้ผู้ใช้สามารถระบุการอนุญาตแบบละเอียดในการแชร์ ไฟล์ และโฟลเดอร์ โดยจะปลดบล็อกกรณีการใช้งานทั่วไป เช่น การเขียนแบบตัวเดียวและตัวอ่านหลายตัวสำหรับแอปพลิเคชันในสายธุรกิจของคุณ เนื่องจากประสบการณ์การอนุญาตไฟล์และการบังคับใช้ตรงกับ NTFS การยกและย้ายแอปพลิเคชันของคุณไปยัง Azure นั้นง่ายพอๆ กับการย้ายไปยังเซิร์ฟเวอร์ไฟล์ SMB ใหม่ สิ่งนี้ทำให้ Azure Files เป็นโซลูชันการจัดเก็บข้อมูลที่ใช้ร่วมกันในอุดมคติสำหรับบริการบนคลาวด์ ตัวอย่างเช่น, เดสก์ท็อปเสมือน Windows แนะนำให้ใช้ไฟล์ Azure เพื่อโฮสต์โปรไฟล์ผู้ใช้ที่แตกต่างกันและใช้ประโยชน์จากการตรวจสอบสิทธิ์ Azure AD DS สำหรับการควบคุมการเข้าถึง

นอกจากนี้ การสนับสนุนการบังคับใช้รายการควบคุมการเข้าถึงตามที่เห็นสมควรของ NTFS (DACL) กับไฟล์ Azure ยังช่วยให้ DACL ได้รับการดูแลตลอดกระบวนการคัดลอกและกู้คืนข้อมูล

เนื่องจากไฟล์ Azure บังคับใช้รายการควบคุมการเข้าถึงตามที่เห็นสมควรของ NTFS (DACL) อย่างเคร่งครัด คุณจึงใช้เครื่องมือที่คุ้นเคยได้ เช่น Robocopy เพื่อย้ายข้อมูลไปยังการแชร์ไฟล์ Azure เพื่อยืนยันการควบคุมความปลอดภัยที่สำคัญทั้งหมดของคุณ รายการควบคุมการเข้าถึงไฟล์ Azure ยังบันทึกอยู่ในสแน็ปช็อตการแชร์ไฟล์ Azure สำหรับสถานการณ์สำรองและการกู้คืนจากความเสียหาย ซึ่งช่วยให้มั่นใจได้ว่ารายการควบคุมการเข้าถึงไฟล์จะยังคงอยู่ในการกู้คืนข้อมูลโดยใช้บริการต่างๆ เช่น Azure Backup ที่ใช้ประโยชน์จากสแน็ปช็อตของไฟล์

นอกจากนี้ คุณสามารถกำหนดสิทธิ์ใหม่ผ่าน File Explorer ได้แล้ว

ต่อไป การแก้ไขการอนุญาตผ่าน File Explorer ได้รับการเน้น คุณลักษณะนี้เปิดตัวครั้งแรกที่ Ignite 2018; ในขณะนั้น การดูและเปลี่ยนแปลงการอนุญาตจำเป็นต้องใช้เครื่องมือบรรทัดคำสั่งของ Windows ชื่อ 'icacls' อย่างไรก็ตาม เครื่องมือนี้ไม่สามารถค้นพบได้ง่ายหรือสอดคล้องกับพฤติกรรมของผู้ใช้ ดังนั้น ความสามารถนี้มีให้ใน File Explorer ทำให้สามารถกำหนดสิทธิ์สำหรับไฟล์ Azure ได้อย่างง่ายดาย

Microsoft ได้แนะนำการควบคุมการเข้าถึงตามบทบาทในตัวใหม่สามตัว เพื่อทำให้การจัดการการเข้าถึงระดับการแชร์ทำได้ง่ายขึ้น - Storage File Data SMB Share Elevated Contributor, Contributor และ Reader

เพื่อลดความซับซ้อนในการจัดการการเข้าถึงระดับการแชร์ เราได้แนะนำการควบคุมการเข้าถึงตามบทบาทในตัวใหม่สามตัว ได้แก่ ข้อมูลไฟล์ที่เก็บข้อมูล SMB Share Elevated Contributor, Contributor และ Reader แทนที่จะสร้างบทบาทที่กำหนดเอง คุณสามารถใช้บทบาทที่มีอยู่แล้วภายในเพื่อมอบสิทธิ์ระดับการแชร์สำหรับการเข้าถึงไฟล์ Azure ของ SMB

ทีมงาน Azure Files มีเป้าหมายที่จะขยายการสนับสนุนการรับรองความถูกต้องซึ่งเป็นส่วนหนึ่งของประสบการณ์การควบคุมการเข้าถึง ไปยัง Windows Server Active Directory ที่โฮสต์ในองค์กรหรือบนคลาวด์

การสนับสนุนการรับรองความถูกต้องด้วย Azure Active Directory Domain Services นั้นมีประโยชน์มากที่สุดสำหรับสถานการณ์การยกระดับและการเปลี่ยนแอปพลิเคชัน แต่ไฟล์ Azure สามารถช่วยในการย้ายการแชร์ไฟล์ในองค์กรทั้งหมด ไม่ว่าพวกเขาจะให้ที่เก็บข้อมูลสำหรับแอปพลิเคชันหรือสำหรับผู้ใช้ปลายทาง ทีมงานของเรากำลังทำงานเพื่อขยายการสนับสนุนการตรวจสอบสิทธิ์ไปยัง Windows Server Active Directory ที่โฮสต์ในองค์กรหรือในระบบคลาวด์

คุณสามารถเลือกใช้การอัปเดตเกี่ยวกับ Azure Files Active Directory Authentication ได้จากสิ่งนี้ ลิงค์.