Azure для покращення безпеки завдяки покращеному контролю доступу
3 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Microsoft оголосила, що вони є Подвоєння про безпеку Azure на їхній нещодавній конференції Black Hat у Лас-Вегасі.
Сьогодні Microsoft оголосила про нові функції безпеки, які покращать контроль доступу; включаючи введення підтримки автентифікації доменної служби Azure Active Directory (Azure AD DS) для доступу до серверних блоків повідомлень (SMB).
Тепер віртуальні машини Windows, приєднані до домену, можуть монтувати та отримувати доступ до ваших спільних файлів Azure через SMB, використовуючи облікові дані AD DS із примусовими списками контролю доступу NTFS.
Крім того, ви можете обмежити доступ на рівні спільного доступу до певних файлів і папок за допомогою контролю доступу на основі ролей (RBAC). Функціональність призначення дозволів подібна до NTFS, тому процес «підйому та переміщення» програми спрощується.
Аутентифікація Azure AD DS для файлів Azure дозволяє користувачам вказувати детальні дозволи для спільних ресурсів, файлів і папок. Він розблокує звичайні сценарії використання, такі як сценарій з одним записом і кількома зчитувачами для вашої лінії бізнес-додатків. Оскільки призначення дозволів на файли та їх застосування збігаються з NTFS, підняти й перемістити вашу програму в Azure так само просто, як перемістити її на новий файловий сервер SMB. Це також робить Azure Files ідеальним рішенням для спільного зберігання для хмарних служб. Наприклад, Windows Virtual Desktop рекомендує використовувати Azure Files для розміщення різних профілів користувачів і використовувати автентифікацію Azure AD DS для контролю доступу.
Крім того, підтримка застосування списків дискреційного контролю доступу NTFS (DACL) за допомогою файлів Azure дозволяє підтримувати DACL під час копіювання та відновлення даних.
Оскільки Azure Files суворо дотримується дискреційних списків контролю доступу NTFS (DACL), ви можете використовувати знайомі інструменти, як-от Robocopy щоб перемістити дані в загальний файл Azure, зберігаючи всі важливі засоби контролю безпеки. Списки контролю доступу до файлів Azure також фіксуються в знімках файлів спільного доступу Azure для сценаріїв резервного копіювання та аварійного відновлення. Це гарантує збереження списків контролю доступу до файлів під час відновлення даних за допомогою таких служб, як Azure Backup, що використовує знімки файлів.
Більше того, тепер ви можете перепризначити дозволи через File Explorer.
Переходячи далі, було виділено зміну дозволів через Провідник файлів. Ця функція вперше була представлена на Ignite 2018; у той час для перегляду та зміни дозволів потрібен інструмент командного рядка Windows під назвою icacls. Однак виявилося, що цей інструмент не можна легко виявити або не відповідати поведінці користувачів. Таким чином, ця можливість тепер пропонується в Провіднику файлів, що дозволяє легко призначати дозволи для файлів Azure.
Корпорація Майкрософт представила три нові вбудовані засоби контролю доступу на основі ролей, щоб спростити керування доступом на рівні спільного доступу: Storage File Data SMB Share Elevated Contributor, Contributor і Reader.
Щоб спростити керування доступом на рівні спільного доступу, ми представили три нові вбудовані засоби контролю доступу на основі ролей — SMB Share, Contributor та Reader. Замість створення спеціальних ролей ви можете використовувати вбудовані ролі для надання дозволів на рівні спільного доступу для доступу SMB до Azure Files.
Команда Azure Files прагне розширити підтримку автентифікації як частину досвіду керування доступом на Windows Server Active Directory, локально або в хмарі.
Підтримка автентифікації за допомогою доменних служб Azure Active Directory є найкориснішою для сценаріїв підвищення та зсуву програми, але Azure Files може допомогти перемістити всі локальні спільні файли, незалежно від того, чи надають вони сховище для програми чи для кінцевих користувачів. Наша команда працює над розширенням підтримки автентифікації для Windows Server Active Directory, розміщених локально або в хмарі.
Ви можете ввімкнути оновлення щодо автентифікації Azure Files Active Directory link.
