Компоненты и границы информационной системы Azure Azure information system components and boundaries

Эта статья содержит общее описание архитектуры Azure и управления. This article provides a general description of the Azure architecture and management. Среда системы Azure состоит из следующих сетей: The Azure system environment is made up of the following networks:

• Рабочая сеть Microsoft Azure (сеть Azure). Microsoft Azure production network (Azure network)
• Корпоративная сеть Майкрософт (корпоративная сеть). Microsoft corporate network (corpnet)

За эксплуатацию и обслуживание этих сетей отвечают отдельные ИТ-специалисты. Separate IT teams are responsible for operations and maintenance of these networks.

Архитектура Azure Azure architecture

Azure — это платформа и инфраструктура облачных вычислений для сборки, развертывания приложений и служб, а также для управления ими через сеть центров обработки данных, Azure is a cloud computing platform and infrastructure for building, deploying, and managing applications and services through a network of datacenters. управляемых корпорацией Майкрософт. Microsoft manages these datacenters. На основе количества ресурсов, которые вы задаете, Azure создает виртуальные машины (VM) с необходимыми ресурсами. Based on the number of resources you specify, Azure creates virtual machines (VMs) based on resource need. Эти виртуальные машины запускаются с помощью гипервизора Azure, который предназначен для использования в облаке и не является общедоступным. These VMs run on an Azure hypervisor, which is designed for use in the cloud and is not accessible to the public.

На каждом узле физического сервера Azure размещен гипервизор, который выполняется непосредственно на аппаратном обеспечении. On each Azure physical server node, there is a hypervisor that runs directly over the hardware. Гипервизор разделяет узел на переменное количество гостевых виртуальных машин. The hypervisor divides a node into a variable number of guest VMs. На каждом узле имеется также одна корневая виртуальная машина, на которой запущена операционная система узла. Each node also has one root VM, which runs the host operating system. Брандмауэр Windows включен на каждой виртуальной машине. Windows Firewall is enabled on each VM. Порты, к которым можно обращаться, определяются путем настройки файла определения службы. You define which ports are addressable by configuring the service definition file. При внутреннем или внешнем доступе только эти порты являются открытыми и доступными для обращения. These ports are the only ones open and addressable, internally or externally. Гипервизор и корневая ОС выступают в роли посредников между всем трафиком, доступом к диску и сетью. All traffic and access to the disk and network is mediated by the hypervisor and root operating system.

В слое узла виртуальных машин Azure запускается настроенная и защищенная последняя версия Windows Server. At the host layer, Azure VMs run a customized and hardened version of the latest Windows Server. Azure использует версию Windows Server, которая включает в себя только компоненты, необходимые для размещения виртуальных машин. Azure uses a version of Windows Server that includes only those components necessary to host VMs. Это повышает производительность и уменьшает область атаки. This improves performance and reduces attack surface. Компьютерные границы устанавливаются гипервизором, который не зависит от безопасности операционной системы. Machine boundaries are enforced by the hypervisor, which doesn’t depend on the operating system security.

Управление Azure с помощью контроллеров структуры Azure management by fabric controllers

В Azure виртуальные машины, работающие на физических серверах (колонки или узлы), группируются в кластеры примерно по 1000 объектов. In Azure, VMs running on physical servers (blades/nodes) are grouped into clusters of about 1000. Виртуальные машины независимо управляются программным компонентом избыточной и горизонтально масштабированной платформы, который называется контроллером структуры. The VMs are independently managed by a scaled-out and redundant platform software component called the fabric controller (FC).

Каждый контроллер структуры управляет жизненным циклом приложений, работающих в его кластере, а также подготавливает и отслеживает работоспособность оборудования под своим контролем. Each FC manages the lifecycle of applications running in its cluster, and provisions and monitors the health of the hardware under its control. Он выполняет независимые операции, такие как переориентирование экземпляров виртуальных машин на работоспособные серверы при определении, что произошел сбой сервера. It runs autonomic operations, such as reincarnating VM instances on healthy servers when it determines that a server has failed. Контроллер структуры также выполняет операции управления приложениями, такие как развертывание, обновление и их масштабирование. The FC also performs application-management operations, such as deploying, updating, and scaling out applications.

Центр обработки данных состоит из кластеров. The datacenter is divided into clusters. Кластеры изолируют ошибки на уровне контроллера структуры и предотвращают влияние определенных классов ошибок на серверы за пределами кластера, в котором они возникают. Clusters isolate faults at the FC level, and prevent certain classes of errors from affecting servers beyond the cluster in which they occur. Контроллеры структуры, которые обрабатывают определенный кластер Azure, группируются в кластер контроллера структуры. FCs that serve a particular Azure cluster are grouped into an FC cluster.

Инвентаризация оборудования Hardware inventory

Контроллер структуры подготавливает инвентаризацию аппаратных и сетевых устройств Azure в процессе конфигурации начальной загрузки. The FC prepares an inventory of Azure hardware and network devices during the bootstrap configuration process. Новое оборудование и сетевые компоненты, входящие в рабочую среду Azure, должны следовать процессу настройки начальной загрузки. Any new hardware and network components entering the Azure production environment must follow the bootstrap configuration process. Контроллер структуры отвечает за управление всеми данными инвентаризации, перечисленными в файле конфигурации datacenter.xml. The FC is responsible for managing the entire inventory listed in the datacenter.xml configuration file.

Образы операционной системы, управляемые контроллером структуры FC-managed operating system images

Команда ОС предоставляет образы в форме виртуальных жестких дисков, развернутых на всех виртуальных машинах узла и гостевых виртуальных машинах в рабочей среде Azure. The operating system team provides images, in the form of Virtual Hard Disks, deployed on all host and guest VMs in the Azure production environment. Эта команда создает эти базовые образы с помощью автоматического процесса автономной сборки. The team constructs these base images through an automated offline build process. Базовый образ — это версия операционной системы, в которой ядро и другие основные компоненты были изменены и оптимизированы для поддержки среды Azure. The base image is a version of the operating system in which the kernel and other core components have been modified and optimized to support the Azure environment.

Есть три типа образов операционной системы, управляемых контроллером структуры: There are three types of fabric-managed operating system images:

• ОС узла: это настраиваемая операционная система, которая выполняется на узле виртуальных машин. Host: A customized operating system that runs on host VMs.
• Собственная операционная система, которая выполняется на клиентах (например, в службе хранилища Azure). Native: A native operating system that runs on tenants (for example, Azure Storage). В этой операционной системе нет гипервизора. This operating system does not have any hypervisor.
• Гость: гостевая ОС, которая выполняется на гостевых виртуальных машинах. Guest: A guest operating system that runs on guest VMs.

Собственные ОС и ОС узла, управляемые контроллером структуры, предназначены для использования в облаке и не являются общедоступными. The host and native FC-managed operating systems are designed for use in the cloud, and are not publicly accessible.

Собственная ОС и ОС узла Host and native operating systems

ОС узла и собственная ОС — это защищенные образы ОС, на которых размещены агенты структуры и которые запускаются на вычислительном узле (запускается как первая виртуальная машина на узле) и на узлах хранилища. Host and native are hardened operating system images that host the fabric agents, and run on a compute node (runs as first VM on the node) and storage nodes. Преимущество использования оптимизированных базовых образов ОС узла и собственной ОС заключается в уменьшении контактной зоны, предоставленной API-интерфейсами или неиспользуемыми компонентами. The benefit of using optimized base images of host and native is that it reduces the surface area exposed by APIs or unused components. Это может привести к высоким рискам безопасности и увеличению объема памяти операционной системы. These can present high security risks and increase the footprint of the operating system. Сокращенные в объеме операционные системы включают только компоненты, необходимые для Azure. Reduced-footprint operating systems only include the components necessary to Azure.

Операционная система на виртуальной машине Guest operating system

Внутренние компоненты Azure, работающие на виртуальных машинах гостевой ОС, не имеют возможности запустить протокол RDP. Azure internal components running on guest operating system VMs have no opportunity to run Remote Desktop Protocol. Любые изменения настроек базовой конфигурации необходимо осуществлять в процессе обновления и управления выпусками. Any changes to baseline configuration settings must go through the change and release management process.

Центры обработки данных Azure Azure datacenters

Команда обслуживания и инфраструктуры Microsoft Cloud (MCIO) управляет центрами обработки данных и физической инфраструктурой для всех веб-служб Майкрософт. The Microsoft Cloud Infrastructure and Operations (MCIO) team manages the physical infrastructure and datacenter facilities for all Microsoft online services. MCIO в основном отвечает за управление физическими элементами управления и элементами управления среды в центрах обработки данных, а также за контроль и поддержку внешних сетевых устройств (пограничные маршрутизаторы и маршрутизаторы центра обработки данных). MCIO is primarily responsible for managing the physical and environmental controls within the datacenters, as well as managing and supporting outer perimeter network devices (such as edge routers and datacenter routers). MCIO также несет ответственность за настройку минимально возможного серверного оборудования на стойках в центре обработки данных. MCIO is also responsible for setting up the bare minimum server hardware on racks in the datacenter. Клиенты не взаимодействуют с Azure напрямую. Customers have no direct interaction with Azure.

Управление службой и группы обслуживания Service management and service teams

Ряд технических групп, известных как группы обслуживания, управляет поддержкой службы Azure. Various engineering groups, known as service teams, manage the support of the Azure service. Каждый специалист группы обслуживания отвечает за определенную область обслуживания Azure. Each service team is responsible for an area of support for Azure. Каждая группа обслуживания должна быть доступна круглосуточно для изучения и устранения проблем в службе. Each service team must make an engineer available 24×7 to investigate and resolve failures in the service. По умолчанию у групп обслуживания нет физического доступа к оборудованию, работающему в Azure. Service teams do not, by default, have physical access to the hardware operating in Azure.

Ниже приведены группы обслуживания: The service teams are:

• Платформы приложений Application Platform
• Azure Active Directory Azure Active Directory
• Служба вычислений Azure Azure Compute
• Azure NET. Azure Net
• Службы проектирования облака. Cloud Engineering Services
• ISSD: безопасность. ISSD: Security
• Многофакторная идентификация. Multifactor Authentication
• База данных SQL SQL Database
• Память Storage

Типы пользователей Types of users

Сотрудники (или подрядчики) корпорации Майкрософт считаются внутренними пользователями. Employees (or contractors) of Microsoft are considered to be internal users. Все остальные пользователи считаются внешними. All other users are considered to be external users. Всем внутренним пользователям Azure присвоен статус сотрудника с категорией по уровню конфиденциальности, который определяет их доступ к клиентским данным (разрешен или запрещен). All Azure internal users have their employee status categorized with a sensitivity level that defines their access to customer data (access or no access). Привилегии пользователей в Azure (разрешение авторизации после аутентификации) описаны в следующей таблице: User privileges to Azure (authorization permission after authentication takes place) are described in the following table:

Роль Role	Внутренний или внешний Internal or external	Уровень конфиденциальности Sensitivity level	Авторизованные привилегии и выполняемые функции Authorized privileges and functions performed	Тип доступа Access type
Инженер центра обработки данных Azure Azure datacenter engineer	Внутренние Internal	Отсутствие доступа к клиентским данным No access to customer data	Управление физической безопасностью локальной среды. Manage the physical security of the premises. Проведение внутренних и внешних патрулирований центра обработки данных и отслеживание всех точек входа. Conduct patrols in and out of the datacenter, and monitor all entry points. Сопровождение некоторых сотрудников без допуска, которые предоставляют общие услуги (питание, уборка) или ИТ-услуги в центре обработки данных (сопровождение в центр обработки данных и из него). Escort into and out of the datacenter certain non-cleared personnel who provide general services (such as dining or cleaning) or IT work within the datacenter. Систематический мониторинг и обслуживание сетевого оборудования. Conduct routine monitoring and maintenance of network hardware. Управление инцидентами, замена или ремонт с помощью различных инструментов. Perform incident management and break-fix work by using a variety of tools. Систематический мониторинг и обслуживание физического оборудования в центрах обработки данных. Conduct routine monitoring and maintenance of the physical hardware in the datacenters. Доступ к среде по запросу владельцев. Access to environment on demand from property owners. Возможность проводить судебные разбирательства, регистрировать отчеты об инцидентах и требовать обязательного обучения в сфере безопасности, а также соблюдения требований политики. Capable to perform forensic investigations, log incident reports, and require mandatory security training and policy requirements. Операционное владение и обслуживание критических инструментов безопасности, таких как сканеры и сбор данных журналов. Operational ownership and maintenance of critical security tools, such as scanners and log collection.	Постоянный доступ к среде. Persistent access to the environment.
Рассмотрение инцидентов Azure (инженеры быстрого реагирования) Azure incident triage (rapid response engineers)	Внутренние Internal	Доступ к клиентским данным Access to customer data	Управление обменом данных между отделом обслуживания инфраструктуры, службой поддержки и группами инженеров. Manage communications among MCIO, support, and engineering teams. Рассмотрение инцидентов платформы, проблем с развертыванием и запросов на обслуживание. Triage platform incidents, deployment issues, and service requests.	JIT-доступ к среде с ограниченным постоянным доступом к системам, неиспользуемым клиентами. Just-in-time access to the environment, with limited persistent access to non-customer systems.
Инженеры по развертыванию Azure Azure deployment engineers	Внутренние Internal	Доступ к клиентским данным Access to customer data	Выполнение развертывания и обновления компонентов платформы, программного обеспечения и запланированных изменений конфигурации в обслуживании Azure. Deploy and upgrade platform components, software, and scheduled configuration changes in support of Azure.	JIT-доступ к среде с ограниченным постоянным доступом к системам, неиспользуемым клиентами. Just-in-time access to the environment, with limited persistent access to non-customer systems.
Служба поддержки при клиентских сбоях Azure (клиент) Azure customer outage support (tenant)	Внутренние Internal	Доступ к клиентским данным Access to customer data	Отладка и диагностика сбоев и ошибок платформы для отдельных вычислительных клиентов и учетных записей Azure. Debug and diagnose platform outages and faults for individual compute tenants and Azure accounts. Анализ ошибок. Analyze faults. Внедрение критически важных исправлений платформы или клиента, а также технических улучшений в службе поддержки. Drive critical fixes to the platform or customer, and drive technical improvements across support.	JIT-доступ к среде с ограниченным постоянным доступом к системам, неиспользуемым клиентами. Just-in-time access to the environment, with limited persistent access to non-customer systems.
Инженеры инцидентов действующих сайтов Azure (инженеры по мониторингу) Azure live site engineers (monitoring engineers) and incident	Внутренние Internal	Доступ к клиентским данным Access to customer data	Диагностика работоспособности платформы и устранение рисков с помощью инструментов диагностики. Diagnose and mitigate platform health by using diagnostic tools. Внедрение исправлений драйверов тома, восстановление компонентов после сбоев, поддержка по восстановлению после сбоев. Drive fixes for volume drivers, repair items resulting from outages, and assist outage restoration actions.	JIT-доступ к среде с ограниченным постоянным доступом к системам, неиспользуемым клиентами. Just-in-time access to the environment, with limited persistent access to non-customer systems.
Клиенты Azure Azure customers	External External	Недоступно N/A	Недоступно N/A	Недоступно N/A

Azure использует уникальные идентификаторы для аутентификации пользователей организации и клиентов (или процессов, выполняющихся от имени пользователей организации) Azure uses unique identifiers to authenticate organizational users and customers (or processes acting on behalf of organizational users). на всех ресурсах или устройствах, которые являются частью среды Azure. This applies to all assets and devices that are part of the Azure environment.

Внутренняя аутентификация Azure Azure internal authentication

Обмен данными между внутренними компонентами Azure защищен с помощью шифрования TLS. Communications between Azure internal components are protected with TLS encryption. В большинстве случаев сертификаты X.509 являются самозаверяющими. In most cases, the X.509 certificates are self-signed. Для сертификатов с подключениями, которые доступны за пределами сети Azure, а также сертификатов для контроллеров структуры применяются исключения. Certificates with connections that can be accessed from outside the Azure network are an exception, as are certificates for the FCs. Контроллеры структуры имеют сертификаты, выданные центром сертификации Microsoft (ЦС) и поддерживаемые доверенным корневым ЦС. FCs have certificates issued by a Microsoft Certificate of Authority (CA) that is backed by a trusted root CA. Это позволяет легко выпускать открытые ключи контроллера структуры. This allows FC public keys to be rolled over easily. Кроме того, открытые ключи контроллера структуры используются инструментами разработчика Майкрософт, Additionally, Microsoft developer tools use FC public keys. чтобы новые образы приложений при отправке разработчиками шифровались открытым ключом контроллера структуры для защиты любых внедренных секретов. When developers submit new application images, the images are encrypted with an FC public key in order to protect any embedded secrets.

Аутентификация аппаратного устройства Azure Azure hardware device authentication

Контроллер структуры хранит набор учетных данных (ключи и пароли), которые используются для его аутентификации в различных аппаратных устройствах, находящихся под контролем этого контроллера. The FC maintains a set of credentials (keys and/or passwords) used to authenticate itself to various hardware devices under its control. Корпорация Майкрософт использует систему для предотвращения доступа к этим учетным данным. Microsoft uses a system to prevent access to these credentials. Система, используемая для транспортировки, сохранения и использования этих учетных данных, предназначена для предотвращения доступа разработчиков, администраторов и вспомогательных служб или сотрудников службы поддержки Azure к конфиденциальной или личной информации. Specifically, the transport, persistence, and use of these credentials is designed to prevent Azure developers, administrators, and backup services and personnel access to sensitive, confidential, or private information.

Корпорация Майкрософт использует шифрование на основе главного открытого ключа удостоверения контроллера структуры. Microsoft uses encryption based on the FC’s master identity public key. Это шифрование используется в настройке и повторной конфигурации контроллера структуры, чтобы передать учетные данные, используемые для доступа к аппаратным устройствам сети. This occurs at FC setup and FC reconfiguration times, to transfer the credentials used to access networking hardware devices. Когда контроллеру структуры требуются учетные данные, он их извлекает и расшифровывает. When the FC needs the credentials, the FC retrieves and decrypts them.

Сетевые устройства Network devices

Команда по обслуживанию сетей Azure настраивает учетные записи сетевой службы, чтобы обеспечить аутентификацию клиента Azure на сетевых устройствах (маршрутизаторах, коммутаторах и подсистемах балансировки нагрузки). The Azure networking team configures network service accounts to enable an Azure client to authenticate to network devices (routers, switches, and load balancers).

Безопасное администрирование служб Secure service administration

Сотрудники, занимающиеся обслуживанием Azure, должны использовать безопасные рабочие станции администрирования (SAW). Azure operations personnel are required to use secure admin workstations (SAWs). Клиенты могут реализовать похожие элементы управления с помощью рабочих станций с привилегированным доступом. Customers can implement similar controls by using privileged access workstations. Для станций SAW персонал по управлению использует отдельно назначенную учетную запись администратора, отличную от учетной записи обычного пользователя. With SAWs, administrative personnel use an individually assigned administrative account that is separate from the user’s standard user account. Это разделение лежит в основе подхода с использованием безопасных рабочих станций администрирования, в соответствии с которым для работы с конфиденциальными учетными записями предоставляется надежная рабочая станция. The SAW builds on that account separation practice by providing a trustworthy workstation for those sensitive accounts.

Дальнейшие действия Next steps

Дополнительные сведения о действиях корпорации Майкрософт для защиты инфраструктуры Azure приведены в следующих статьях: To learn more about what Microsoft does to help secure the Azure infrastructure, see: