סקירה ועקרונות אבטחת ענן AZURE

 

מיקרוסופט השקיעה כמות משמעותית של תכנון וטכנולוגיות כדי להבטיח את נתוני הלקוח ואת הגישה בתוך Azure. אני אנסה כמיטב יכולתי לענות על כמה שאלות:

  • כיצד אוכל להבטיח שהנתונים שלי יישארו פרטיים?
  • האם ניתן למנוע שיחות לא מורשות בקוד שלי?
  • האם עלי להצפין את הנתונים שלי עבור Azure?
  • מה לגבי פעולות מרובות דיירים והגנה על נתונים משותפים?
  • האם שיחות בין Azure לבין הלקוח, וכן בתוך Azure, מאובטחות?
  • כיצד מגובים הנתונים שלי?
  • כאשר הנתונים נמחקים באופן לוגי אני יכול להבטיח שזה נעשה גם פיזית?
  • מה לגבי דרישות נתונים רגולטוריים?

 

Access Security

בקרת גישה לשירותים מתארחים ולחשבונות אחסון כפופה למנוי. היכולת לאמת עם מזהה Live המשויך למנוי מעניקה שליטה מלאה לכל השירותים המאוכסנים ואחסון בתוך אותו מנוי. מנהלי מערכת יכולים ליצור מנהלי מערכת שיש להם גישה לכל השירותים המופיעים במנוי זה.

לקוחות מעלים יישומים מפותחים ומנהלים את השירותים המאוכסנים ואת חשבונות האחסון שלהם דרך אתר האינטרנט של פורטל Windows Azure או באופן תכנותי באמצעות ממשק API לניהול שירותים (SMAPI). לקוחות ניגשים לפורטל Windows Azure דרך דפדפן אינטרנט או ניגשים ל SMAPI באמצעות כלי שורת פקודה העצמאי, או באופן תכנותי או באמצעות Visual Studio.

אימות SMAPI מבוסס על צמד מפתח ציבורי / פרטי שנוצר על ידי המשתמש ותעודה חתומה עצמית הרשומה דרך פורטל Windows Azure. לאחר מכן, התעודה משמשת לאימות גישה עוקבת ל- SMAPI. תורי SMAPI בקשות למארג Windows Azure, אשר לאחר מכן מפרט, מאתחל ומנהל את היישום הדרוש. לקוחות יכולים לפקח ולנהל את היישומים שלהם באמצעות הפורטל או באמצעות תכנות באמצעות SMAPI ע"י אותו מנגנון אימות.

הגישה לאחסון של Windows Azure כפופה למפתח חשבון אחסון (SAK) המשויך לכל חשבון אחסון. מודל בקרת גישה מתוחכם יותר יכול להיות מושג על ידי יצירת יישום מותאם אישית "חזיתי" לאחסון, נותן ליישום את מפתח האחסון, ומאפשר ליישום לאמת משתמשים מרוחקים ואפילו לאשר בקשות אחסון בודדות

Window Azure VM Protection

Windows Azure יוצר מכונה וירטואלית (VM) עבור כל מופע ולאחר מכן מפעיל את התפקיד באחת מאותם מחשבים וירטואליים. אלה VMs שרצים על hypervisor המיועד במיוחד לשימוש ענן (Windows Azure Hypervisor). יש VM מיוחד: מפעילה מערכת הפעלה מוקשחת הנקראת מערכת ההפעלה השורשית המארחת סוכן בד (facric agent) (FA). FAs משמשים בתורם לנהל סוכני אורח (GA) בתוך מערכות הפעלה על VMs הלקוח. FAs גם מנהלים את ה"נודים" לאחסון.

לאחר האתחול, הוא מתחיל את סוכן בד (FA) ומחכה לחיבורים ולפקודות מבקר בד (FC). FC מתחבר אל הצומת החדש לאתחול באמצעות SSL, אימות דו כיווני באמצעות SSL כמתואר לעיל. תקשורת FC עם FAs היא דרך לדחוף בכיוון אחד, מה שהופך לקשה לתקוף אותם וממקם גבוה יותר בשרשרת הפיקוד כי הם לא יכולים לעשות בקשות ישירות לרכיבים אלה. בשילוב עם המנגנונים הרבים המתוארים לעיל, תכונות אלה עוזרות לשמור על הfabric agent במצב בטוח ונקי עבור הלקוחות.

כל אלה שכבות של ניהול VM ואת העובדה שהוא מוקשח עושה עושה חיים קשים מאוד עבור כל אחד שרוצה לקבל גישה לא מורשית.

סודיות נתוני לקוח של Windows Azure

סודיות מבטיחה שהנתונים של הלקוח נגישים רק על ידי ישויות מורשות. Windows Azure מספק סודיות באמצעות המנגנונים הבאים. (אני אדון על כל אחד מהם בסעיפים הבאים).

  1. ניהול זהויות וגישה – מבטיח שרק גופים מאומתים כראוי מורשים לגשת.
  2. בידוד – ממזער את האינטראקציה עם נתונים על ידי שמירה על המכלים המתאימים מבחינה לוגית או פיזית.
  3. הצפנה – משמש באופן פנימי בתוך Windows Azure להגנה על ערוצי בקרה וניתן באופן אופציונלי ללקוחות הזקוקים ליכולות קפדניות להגנה על נתונים.
  4. מחיקה של נתוני לקוח זרים – הסרה כאשר אין צורך עוד
  5. integrity של נתוני הלקוח – VM fabric וגישה מבוקרת היטב לכונן קשיח וירטואלי שבו הדרך היחידה לנתונים היא באמצעות fabric agent.
  6. פעולות שירות – אנשי צוות של הדאטה סנטר יחד עם אבטחה משופרת ברשת

ניהול גישה לזיהוי זהויות

ניהול אישורים ומפתחות הם רכיבים קריטיים בתכנון וביצוע האבטחה של Windows Azure, הוא משתמש בהם כדי להבטיח שרק משתמשים מאומתים יקבלו גישה למשאבים מסוג Azure.

הפעלת יישומים עם " least privilege" נחשבת באופן נרחב כמו אבטחת מידע הטובה ביותר. כדי להתאים לעקרון של פחות זכויות, לקוחות אינם מקבלים גישה ניהולית ל- VMs שלהם, ותוכנת הלקוח ב- Windows Azure מוגבלת לפעול תחת חשבון הרשאות נמוך כברירת מחדל (בגרסאות עתידיות, לקוחות עשויים לבחור מודלים שונים של הרשאות ב- אופציה). זה מקטין את ההשפעה הפוטנציאלית ומגדיל את התחכום הנדרש של כל התקפה, הדורש העלאת גובה. זה גם מגן על השירות של הלקוח מפני התקפה על ידי משתמשי הקצה שלה.

כל התקשורת בין רכיבים פנימיים של Windows Azure מוגנים באמצעות SSL. ברוב המקרים, אישורי SSL חתומים על עצמם.

בידוד של רכיבי מפתח

גבול קריטי הוא בידוד של שורש VM מן VMs אורח ו- VMs אורח אחד מהשני, המנוהלת על ידי hypervisor ואת מערכת ההפעלה השורש. שיוך ה- Hypervisor / root של מערכת ההפעלה ממנף את ניסיון האבטחה של מערכת ההפעלה של מיקרוסופט בעשרות שנים, כמו גם למידה עדכנית יותר מ- Hyper-V של מיקרוסופט, כדי לספק בידוד חזק של מערכות VM של אורחים.

כמו Orchestrator המרכזי של הרבה של Windows Azure Fabric, פקדים משמעותיים נמצאים במקום כדי להקל על האיומים על בקרי fabric, במיוחד מתוך FAs פוטנציאליים בתוך יישומים הלקוח. תקשורת מ- FC ל- FA היא חד-כיוונית – ה- FA מיישם שירות המוגן באמצעות SSL אליו ניתן לגשת מה FC ומשיב לבקשות בלבד. הוא אינו יכול ליזום חיבורים לצוות FC או לצמתים פנימיים חסויים אחרים. FC מנתח את כל התגובות כאילו היו תקשורת לא מהימנה. בנוסף, FCs והתקנים שאינם מסוגלים ליישם SSL נמצאים על רשתות VLAN נפרדות. זה מגביל את החשיפה של ממשקי האימות שלהם לצומת שנפגע המארח מחשבים וירטואליים.

Hypervisor ומערכת ההפעלה root מספקים מסנני מנות (packet filters) רשת כדי להבטיח ש- VMs לא מהימנים לא יוכלו ליצור תנועה מזויפת, לא יוכלו לקבל תנועה שלא תועבר אליהם, לא יוכלו להפנות את התנועה אל נקודות קצה מוגנות בתשתית, ולא ניתן לשלוח או לקבל תעבורת שידור לא הולמת. גישת הלקוחות ל- VMs מוגבלת על ידי סינון מנות במארזי עומס קצה ובמערכת ההפעלה של השורש. במיוחד, ניפוי באגים מרחוק, שירותי טרמינל מרוחקים או גישה מרחוק לשיתופי קבצים של VM אינם מותרים כברירת מחדל.

VLANs משמשים לבידוד FCs והתקנים אחרים. רשתות VLAN מחלקות רשת כזו שאין תקשורת בין VLAN מבלי לעבור דרך נתב.

הצפנת נתונים ותקשורת

ניתן להשתמש בהצפנה של נתונים באחסון ובהעברה על-ידי לקוחות ב- Windows Azure כדי להתאים לשיטות העבודה המומלצות להבטחת סודיות הנתונים ושלמותם. כפי שצוין קודם לכן, תקשורת פנימית קריטית מוגנת באמצעות הצפנת SSL. לפי אפשרות הלקוח, Windows Azure SDK מרחיב את ספריות הליבה של .NET כדי לאפשר למפתחים לשלב את ספקי שירותי ההצפנה של NET (CSPs) בתוך Windows Azure. מפתחים CSPs. NET יכולים בקלות ליישם הצפנה, hashing, ופונקציונליות ניהול מפתח עבור הנתונים המאוחסנים או המועברים.

 

מחיקת נתוני לקוח

במידת הצורך, הסודיות צריכה להימשך מעבר למחזור החיים השימושי של הנתונים. תת-מערכת האחסון של Windows Azure הופכת את נתוני הלקוח לזמינים כאשר פעולות המחיקה נקראות. כל פעולות האחסון כולל מחיקה נועדו להיות עקביות באופן מיידי. ביצוע מוצלח של פעולת מחיקה מסיר את כל ההפניות לפריט הנתונים המשויך ולא ניתן לגשת אליו דרך ממשקי ה- API של האחסון. כל העותקים של פריט הנתונים שנמחקים נאספו אז אשפה. הפיסות הפיזיות מוחלפות כאשר נעשה שימוש חוזר בבלוק האחסון המשויך לאחסון נתונים אחרים, כפי שהוא אופייני לכוננים קשיחים סטנדרטיים במחשב.

 

שלמות של נתוני הלקוח

המנגנון העיקרי של הגנה על שלמות הנתונים של הלקוח טמון בעיצוב VM של הfabric. כל VM מחובר לשלושה כוננים קשיחים וירטואליים (VHD):

  • הכונן D: מכיל אחת מכמה גרסאות של מערכת ההפעלה Guest ושומר את מרבית העדכונים העדכניים.
  • הכונן E מכיל תמונה שנבנתה על ידי FC בהתבסס על החבילה שסופקה על ידי הלקוח.
  • כונן C: מכיל מידע תצורה, קבצי החלפה ואחסון אחר.

D: ו- E: כוננים וירטואליים הם לקריאה יעילה רק משום שלהם ACL מוגדרים כדי לאסור על גישה לכתוב תהליכי הלקוח. מאחר שמערכת ההפעלה עשויה לעדכן את אמצעי האחסון לקריאה בלבד, הם מיושמים כ – VHD עם קבצי דלתא. כונן הדלתא עבור הכונן D: נמחק בכל עת ש- Windows Azure מדביק את ה- VHD המכיל את מערכת ההפעלה. כונן הדלתא עבור הכונן E: נמחק בכל פעם שה- VHD מתעדכן עם תמונת יישום חדשה. עיצוב זה משמר בקפדנות את השלמות של מערכת ההפעלה הבסיסית ושל יישומי הלקוח.

קובץ התצורה מאוחסן בכונן קריאה / כתיבה C: המציין את דרישות הקישוריות של כל התפקידים ביישום. FC לוקח את המשנה של אותו קובץ תצורה המתאים לכל תפקיד וממקם אותו בכונן C: עבור כל מופע. אם הלקוח מעדכן את קובץ התצורה בזמן שמספר המופעים פועל, בקר (FC) – באמצעות סוכן (FA) – יוצר קשר עם נציג האורחים (GA) הפועל במערכת ההפעלה האורחת של VM ומורה לו לעדכן את קובץ התצורה על הכונן C:. לאחר מכן הוא יכול לסמן את היישום של הלקוח כדי לקרוא מחדש את קובץ התצורה. רק לקוחות מורשים הזקוקים לשירותים המתארחים שלהם באמצעות פורטל Azure או SMAPI יכולים לשנות את קובץ התצורה. לכן, על ידי העיצוב המובנה של Windows Azure, שלמות תצורת הלקוח מוגנת, מתוחזקת ומתמידה כל הזמן במהלך חיי היישום. באשר לאחסון של Windows Azure, השלמות מוכתבת על ידי יישומים באמצעות מודל בקרת הגישה הפשוט שתואר. לכל חשבון אחסון שני מפתחות חשבון אחסון המשמשים לשליטה בגישה לכל הנתונים בחשבון האחסון, ולכן הגישה למפתחות האחסון מספקת שליטה מלאה בנתונים המשויכים.

פעולות שירות מאובטחות

Microsoft כוללת המנגנונים הבאים כדי לסייע בהגנה מפני פעילות מפתח ו / או ניהול לא מורשים. הם שומרים על בקרת גישה צמודה על נתונים רגישים, ושילובים של פקדים שמגבירים באופן משמעותי זיהוי עצמאי של פעילות זדונית. בנוסף, מיקרוסופט עורכת בדיקות אימות רקע של אנשי תפעול מסוימים ומגבילה את הגישה ליישומים, למערכות ולתשתית הרשת ביחס לרמת אימות הרקע.

כלל דאטה סנטר יש מינימום שני מקורות של חשמל, כולל יכולת ייצור חשמל עבור פעולה מורחבת מחוץ לרשת.

Windows Azure פועל במתקני Microsoft מבוזרים גיאוגרפית, משתף שטח ושירותים עם שירותים מקוונים אחרים של Microsoft. כל מתקן מתוכנן לפעול 24X7 ומעסיק אמצעים שונים כדי לסייע בהגנה על פעולות כשל חשמל, חדירה פיזית, והפסקות רשת. מרכזי נתונים אלה עומדים בתקני התעשייה עבור אבטחה פיזית ואמינות והם מנוהלים על ידי אנשי תפעול של Microsoft.

הרשת הפנימית של Windows Azure מבודדת על ידי סינון חזק של תנועה אל רשתות אחרות וממנה. זה מספק "backplane" עבור תעבורת הרשת הפנימית. התצורה והניהול של התקני רשת, כגון מתגים, נתבים ובדיקות עומס, מבוצעות רק על ידי אנשי תפעול מורשים של Microsoft, ובדרך כלל רק בשינויים משמעותיים (כגון כאשר מרכז הנתונים עצמו מוגדר מחדש). הווירטואליזציה שסופקה על ידי Windows Azure Fabric עושה שינויים כאלה כמעט בלתי נראים ללקוחות. יתר על כן, כל חומרה שאינה מיישמת תכונות אבטחה נאותות (כגון SSL) מנוהלת על גבי רשת LAN נפרדת המבודדת מהצמתים החשופים לאינטרנט או לגישה ללקוחות.

דרישות עסקיות ורגולטוריות

התאימות לתקנות גדלה באופן דרמטי עם התפשטות תקנים גלובליים, כולל ISO 27001, Safe Harbor ועוד רבים אחרים. במקרים רבים, אי עמידה בתקנים אלה יכולה להשפיע באופן דרמטי על ארגונים, עד וכולל קנסות כספיים קטסטרופליים ופגיעה במוניטין. כל אחד מהאיומים שנדונו בעבר עשוי להשפיע על הציות, אך ישנם גם איומים הקשורים ישירות לאי-ציות לפרקטיקות מוכרות, לספק ייצוג של רואי חשבון עצמאיים, גילוי אלקטרוני, וכן להקל על מאמצים סבירים של לקוחות כדי לאמת יישור קו עם רגולטורים. Microsoft מספקת ללקוחות את המידע הדרוש להם כדי להחליט אם ניתן לקיים את החוקים והתקנות שאליהם הם כפופים במסגרת Windows Azure ואת הכלים להדגשת תאימות כאשר הדבר אפשרי.

אישור ISO 27001

הסמכה של צד שלישי מהימן מספקת מנגנון מבוסס היטב להוכחת הגנה על נתוני לקוחות מבלי לתת גישה מוגזמת לצוותים של רואי חשבון עצמאיים העלולים לאיים על שלמות הפלטפורמה הכוללת. Windows Azure פועל בתשתית שירותי התמיכה הגלובלית של Microsoft (GFS), אשר חלקים מהם מאושרים על-ידי ISO27001 .Windows Azure נמצא בתהליך של הערכת אישורי תעשייה נוספים. בנוסף לתקן ISO27001 המוכר בעולם, Microsoft Corporation חתומה על Safe Harbor והיא מחויבת למלא את כל התחייבויותיה במסגרת Safe Harbor Framework. בעוד שהאחריות לעמידה בחוקים, בתקנות ובדרישות בתעשייה נותרת אצל לקוחות Microsoft.

 

 

לסיכום

Windows Azure מספק מנגנונים רבים להגנה על גישה לנתונים ולקוחות. המינויים מנהלים גישה למשאבים מסוג Azure. אחסון מסוג Azure משתמש במפתחות כדי להגן על הגישה לנתונים המאוחסנים באותן ישויות. סודיות נתוני הלקוחות של Azure מתבצעת באמצעות הגנה על ניהול זהויות ומפעילה יישומים עם כמות פחותה של הרשאה כדי למנוע נזק. הצפנה של תקשורת מוגנת באמצעות הצפנת SSL. ניהול מחיקת נתוני הלקוח מונע ממנו להיות נגיש לאחר הסרתו. המבנה לקריאה בלבד של כוננים וירטואליים D ו- E מגן על התוכן שלהם מפני חדירה. פיקוח הדוק ותאימות רגולטורית על כוח האדם ומרכז הנתונים שלהם ברמה של הגנה פיזית שלא נמצאת ברוב החברות. נתונים המאוחסנים בחלון Azure הם ברוב המקרים בטוחים יותר מאשר בתוך הקירות של מערכת או בתוך בסיס נתונים.

 

 

מקורות

http://www.globalfoundationservices.com/security/

http://www.windowsazure.com/en-us/support/trust-center/

2017@TomA

 

Leave a Reply

האימייל לא יוצג באתר. שדות החובה מסומנים *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>