Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece uma descrição geral da arquitetura e do gerenciamento do Azure. O ambiente do sistema Azure é composto pelas seguintes redes:
- Rede de produção do Microsoft Azure (rede do Azure)
- Rede corporativa da Microsoft (corpnet)
Equipes de TI separadas são responsáveis pelas operações e manutenção dessas redes.
Arquitetura do Azure
O Azure é uma plataforma e infraestrutura de computação em nuvem para criar, implantar e gerenciar aplicativos e serviços por meio de uma rede de datacenters. A Microsoft gerencia esses datacenters. Com base no número de recursos especificados, o Azure cria máquinas virtuais (VMs) com base na necessidade de recursos. Essas VMs são executadas em um hipervisor do Azure, que foi projetado para uso na nuvem e não é acessível ao público.
Em cada nó do servidor físico do Azure, há um hipervisor que é executado diretamente sobre o hardware. O hipervisor divide um nó em um número variável de VMs convidadas. Cada nó também tem uma VM raiz, que executa o sistema operacional host. O Firewall do Windows está habilitado em cada VM. Você define quais portas são endereçáveis configurando o arquivo de definição de serviço. Estas portas são as únicas abertas e endereçáveis, interna ou externamente. Todo o tráfego e acesso ao disco e à rede é mediado pelo hipervisor e pelo sistema operacional raiz.
Na camada de host, as VMs do Azure executam uma versão personalizada e protegida do Windows Server mais recente. O Azure usa uma versão do Windows Server que inclui apenas os componentes necessários para hospedar VMs. Isso melhora o desempenho e reduz a superfície de ataque. Os limites da máquina são impostos pelo hipervisor, que não depende da segurança do sistema operacional.
Gestão do Azure por controladores de tela
No Azure, as VMs em execução em servidores físicos (blades/nós) são agrupadas em clusters de aproximadamente 1000 servidores. As VMs são gerenciadas independentemente por um componente de software de plataforma escalável e redundante chamado controlador de malha (FC).
Cada FC gerencia o ciclo de vida dos aplicativos em execução em seu cluster e provisiona e monitora a integridade do hardware sob seu controle. Ele executa operações autônomas, como reencarnar instâncias de VM em servidores íntegros quando determina que um servidor falhou. O FC também executa operações de gerenciamento de aplicativos, como implantação, atualização e dimensionamento de aplicativos.
O datacenter é dividido em clusters. Os clusters isolam falhas no nível FC e impedem que determinadas classes de erros afetem os servidores além do cluster em que ocorrem. FCs que atendem a um cluster específico do Azure são agrupados em um cluster FC.
Inventário de hardware
O FC prepara um inventário de hardware e dispositivos de rede do Azure durante o processo de configuração de bootstrap. Todos os novos componentes de hardware e rede que entram no ambiente de produção do Azure devem seguir o processo de configuração de bootstrap. O FC é responsável por gerenciar todo o inventário listado no arquivo de configuração datacenter.xml.
Imagens do sistema operacional gerenciadas por FC
A equipe do sistema operacional fornece imagens, na forma de Discos Rígidos Virtuais, implantadas em todas as VMs de host e convidadas no ambiente de produção do Azure. A equipe constrói essas imagens base por meio de um processo de compilação offline automatizado. A imagem base é uma versão do sistema operacional na qual o kernel e outros componentes principais foram modificados e otimizados para dar suporte ao ambiente do Azure.
Há três tipos de imagens de sistema operacional gerenciadas por malha:
- Host: um sistema operacional personalizado que é executado em VMs host.
- Nativo: um sistema operativo nativo que corre em inquilinos (por exemplo, Azure Storage). Este sistema operativo não tem hipervisor.
- Convidado: um sistema operacional convidado que é executado em VMs convidadas.
O host e os sistemas operacionais nativos gerenciados pelo FC são projetados para uso na nuvem e não são acessíveis publicamente.
Sistemas operacionais de host e nativos
As imagens do sistema operacional "Host" e "nativo" são fortalecidas e hospedam os agentes de infraestrutura, executando-se em um nó de computação (como primeira VM no nó) e em nós de armazenamento. O benefício de usar imagens base otimizadas de host e nativo é que ele reduz a área de superfície exposta por APIs ou componentes não utilizados. Estes podem apresentar elevados riscos de segurança e aumentar a pegada do sistema operativo. Os sistemas operacionais de pegada reduzida incluem apenas os componentes necessários para o Azure.
Sistema operativo convidado
Os componentes internos do Azure em execução em VMs do sistema operacional convidado não têm oportunidade de executar o Protocolo de Área de Trabalho Remota. Quaisquer alterações nas definições de configuração da linha de base devem passar pelo processo de gerenciamento de alterações e liberações.
Datacenters do Azure
A equipe do Microsoft Cloud Infrastructure and Operations (MCIO) gerencia a infraestrutura física e as instalações do datacenter para todos os serviços online da Microsoft. O MCIO é o principal responsável por gerenciar os controles físicos e ambientais dentro dos datacenters, bem como gerenciar e dar suporte a dispositivos de rede de perímetro externo (como roteadores de borda e roteadores de datacenter). MCIO também é responsável por configurar o hardware mínimo do servidor em racks no datacenter. Os clientes não têm interação direta com o Azure.
Gestão de serviços e equipas de serviço
Vários grupos de engenharia, conhecidos como equipes de serviço, gerenciam o suporte do serviço do Azure. Cada equipe de serviço é responsável por uma área de suporte para o Azure. Cada equipe de serviço deve disponibilizar um engenheiro 24 horas por dia, 7 dias por semana, para investigar e resolver falhas no serviço. As equipes de serviço não têm, por padrão, acesso físico ao hardware que opera no Azure.
As equipas de serviço são:
- Plataforma de Aplicação
- Microsoft Entra ID (um serviço de identificação da Microsoft)
- Computação do Azure
- Azure Net
- Serviços de engenharia na nuvem
- ISSD: Segurança
- Autenticação multifator
- Banco de dados SQL
- Armazenamento
Tipos de utilizadores
Os funcionários (ou contratados) da Microsoft são considerados utilizadores internos. Todos os outros utilizadores são considerados utilizadores externos. Todos os usuários internos do Azure têm seu status de funcionário categorizado com um nível de sensibilidade que define seu acesso aos dados do cliente (acesso ou não acesso). Os privilégios de usuário para o Azure (permissão de autorização após a autenticação) são descritos na tabela a seguir:
| Funções | Interno ou externo | Nível de sensibilidade | Privilégios autorizados e funções desempenhadas | Tipo de acesso |
|---|---|---|---|---|
| Engenheiro de datacenter do Azure | Interno | Sem acesso aos dados dos clientes | Gerir a segurança física das instalações. Realize patrulhas dentro e fora do datacenter e monitore todos os pontos de entrada. Escolta para dentro e para fora do datacenter certos funcionários não autorizados que fornecem serviços gerais (como refeições ou limpeza) ou trabalho de TI dentro do datacenter. Realizar monitoramento de rotina e manutenção de hardware de rede. Execute o gerenciamento de incidentes e o trabalho de correção de falhas usando várias ferramentas. Realizar monitoramento de rotina e manutenção do hardware físico nos datacenters. Acesso ao ambiente mediante solicitação por parte dos proprietários. Capaz de realizar investigações forenses, registrar relatórios de incidentes e exigir treinamento obrigatório de segurança e requisitos de políticas. Propriedade operacional e manutenção de ferramentas críticas de segurança, como scanners e coleta de logs. | Acesso persistente ao ambiente. |
| Triagem de incidentes do Azure (engenheiros de resposta rápida) | Interno | Acesso aos dados dos clientes | Gerencie as comunicações entre as equipes MCIO, suporte e engenharia. Triagem de incidentes da plataforma, problemas de implantação e solicitações de serviço. | Acesso just-in-time ao ambiente, com acesso persistente limitado a sistemas que não são clientes. |
| Engenheiros de implantação do Azure | Interno | Acesso aos dados dos clientes | Implante e atualize componentes da plataforma, software e alterações de configuração agendadas para dar suporte ao Azure. | Acesso just-in-time ao ambiente, com acesso persistente limitado a sistemas que não são clientes. |
| Suporte a falhas dos clientes do Azure (inquilino) | Interno | Acesso aos dados dos clientes | Depure e diagnostique interrupções e falhas da plataforma para locatários de computação individuais e contas do Azure. Analise falhas. Conduza correções críticas para a plataforma ou o cliente e impulsione melhorias técnicas em todo o suporte. | Acesso just-in-time ao ambiente, com acesso persistente limitado a sistemas que não são clientes. |
| Engenheiros responsáveis pelo site em operação do Azure (engenheiros que monitorizam) e gestão de incidentes. | Interno | Acesso aos dados dos clientes | Diagnostique e mitigue a saúde da plataforma usando ferramentas de diagnóstico. Implementar correções para controladores de volume, reparar itens resultantes de interrupções e auxiliar nas ações de restauração de interrupções. | Acesso just-in-time ao ambiente, com acesso persistente limitado a sistemas que não são clientes. |
| Clientes do Azure | Externa | N/A | N/A | N/A |
O Azure usa identificadores exclusivos para autenticar usuários e clientes organizacionais (ou processos que atuam em nome de usuários organizacionais). Isso se aplica a todos os ativos e dispositivos que fazem parte do ambiente do Azure.
Autenticação interna do Azure
As comunicações entre componentes internos do Azure são protegidas com criptografia TLS. Na maioria dos casos, os certificados X.509 são autoassinados. Os certificados com conexões que podem ser acessadas de fora da rede do Azure são uma exceção, assim como os certificados para os FCs. Os FCs têm certificados emitidos por um Certificado de Autoridade (CA) da Microsoft que é apoiado por uma CA raiz confiável. Isso permite que as chaves públicas FC sejam rotacionadas facilmente. Além disso, as ferramentas de desenvolvedor da Microsoft usam chaves públicas FC. Quando os desenvolvedores enviam novas imagens de aplicativos, as imagens são criptografadas com uma chave pública FC para proteger quaisquer segredos incorporados.
Autenticação de dispositivo de hardware do Azure
O FC mantém um conjunto de credenciais (chaves e/ou senhas) usadas para autenticar-se em vários dispositivos de hardware sob seu controle. A Microsoft usa um sistema para impedir o acesso a essas credenciais. Especificamente, o transporte, a persistência e o uso dessas credenciais foram projetados para impedir que desenvolvedores, administradores e serviços de backup do Azure e o pessoal acessem informações confidenciais, confidenciais ou privadas.
A Microsoft usa criptografia baseada na chave pública de identidade mestra do FC. Isso ocorre nos momentos de instalação e reconfiguração do FC, para transferir as credenciais usadas para acessar dispositivos de hardware de rede. Quando o FC precisa das credenciais, ele as recupera e descriptografa.
Dispositivos de rede
A equipe de rede do Azure configura contas de serviço de rede para permitir que um cliente do Azure se autentique em dispositivos de rede (roteadores, switches e balanceadores de carga).
Administração segura de serviços
O pessoal de operações do Azure é obrigado a usar estações de trabalho de administração seguras (SAWs). Os clientes podem implementar controles semelhantes usando estações de trabalho de acesso privilegiado. Com SAWs, o pessoal administrativo usa uma conta administrativa atribuída individualmente que é separada da conta de usuário padrão do usuário. O SAW baseia-se nessa prática de separação de contas, fornecendo uma estação de trabalho confiável para essas contas confidenciais.
Próximos passos
Para saber mais sobre o que a Microsoft faz para ajudar a proteger a infraestrutura do Azure, consulte:
- Instalações, edifícios e segurança física do Azure
- Disponibilidade da infraestrutura do Azure
- Arquitetura de rede do Azure
- Rede de produção do Azure
- Recursos de segurança do Banco de Dados SQL do Azure
- Gerenciamento e operações de produção do Azure
- Monitoramento de infraestrutura do Azure
- Integridade da infraestrutura do Azure
- Proteção de dados do cliente do Azure