Alexey bokov windowsazure_security_mssd

Windows Azure – облачные сервисы
и безопасность данных

Alexey Bokov
Windows Azure Evangelist, Microsoft

План
• Облачная платформа Windows Azure
• Сервисы авторизации Windows Azure
• Сценарии использования Active Directory
• Сервисы SQL Azure Labs
• Примеры решений на базе Windows Azure
• Q/A

Windows Azure - инфраструктура
East North Europe
US East Asia
West US

North Central US West Europe
South Central US

South
East Asia

Active Directory Domain Services в Windows
Azure это :
• Возможность быть ближе к пользователю ( 8 ДЦ по всему миру )

• Более высокая отказоустойчивость к техногенным катастрофам-
Disaster recovery

• Оптимизация архитектуры облачных сервисов в случае если нет
необходимости обращения к on-premise AD

Особенности AD в Windows Azure:
• В целом использование AD контроллера доменов в
виртуализованной среде Windows Azure аналогично
использованию под Hyper-V on-premise
• Привязка только к динамически выданному Windows Azure IP (
адрес существует всѐ время жизни виртуальной машины )
• Данные AD должны быть на Data disk ( максимальный размер 1 ТБ
) – он более медленный ( write-throught caching )
• Вместо Copy/restore всей системы в VHD рекомендуется
использовать бэкапирование данных

AD Domain Controller в Windows Azure и on-
premise
• При необходимости обращения к on-premise надо использовать
VPN

• Весь исходящий трафик – платный

• Нет возможности прямого взаимодействия между разными VPN в
Windows Azure

• В Windows Azure конфигурации виртуальных машин являются
фиксированными ( RAM, CPU, сеть, дисковая подсистема )

• Safeguards и клонирование DC - не поддерживаются

AD Federation Services в Windows Azure это:
• Высокая доступность может достигаться встроеными средствами
load-balancing Windows Azure
• Управление ( создание, настройка) федерациями в Windows Azure
проще

• Но не забываем про тарификацию исходящего наружу трафика,
например от AD FS proxy в Windows Azure

• Все пользователи, приложения и AD используют Windows
Azure.
• Нет необходимости в соединении с корпоративной сетью (
например sharepoint инсталлированный в Windows Azure
использует AD из Windows Azure )

• Пользователям нужен доступ к приложениям в корпоративной сети через
Интернет
• Облачные приложения также часто обращаются к ресурсам внутри
корпоративной сети
• Для оптимизации архитектуры к AD внутри корпоративной сети добавляется
несколько AD в клауде Windows Azure

• Оптимизация сетевой latency – пользователи обращаются к ближайшему ДЦ
Windows Azure
• Высокая отказоустойчивость кластера в целом, в т.ч. к техногенным катастрофам
• Минус решения – прямого взаимодействия между разными VPN нет, все через
корпоративную сеть ( исходящий из Windows Azureтрафик будет
тарифицироваться )

• Пользователь обращается к Azure
App и приложение редиректит его
на Azure Access Control Services
• ACS видит что пользователь не
авторизован и перенаправляет его
в ADFS
• ADFS отвечает контекстом юзера (
UPN ~ user@domain.com )

ADFS – Identity provider ( выдает SAML токены )
ACS – Federation provider ( получает SAML от
ADFS и выдает свои SAML
Azure App – relying party ( использует WIF )

• ADFS выдает SAML для ACS и делает
редирект обратно на ACS ( SAML в
POST данных)
• ACS на основе SAML от ADFS делает
свой SAML и выполняет аналогичный
редирект обратно в Azure App ( новый
SAML от ACS в POST данных )
• Azure App получает SAML, выдает
пользователю запрашиваемую
страницу, создает cockie для
следующих запросов на авторизацию

Гибридное решение - Пряники
SQL Azure Data Sync,
Windows Azure Service Bus
Sync Framework/WCF
Web Worker SQL
Azure
Forms WIF

ADFS Proxy SharePoint Пряники
On-
premise

Active Active
Web Clients
Directory Directory

Сервис Пряники – аутентификация
1. User запрашивает страницу SharePoint, на которой есть WebParts, представляющие собой
обычные iFrame.
2. WebParts пробуют начать загруать содерджимое с Azure
3. в этот момент Azure возвращает Redirect на ADFS или ADFS Proxy для аутентификации
4. Пользователь вводит учетные данные или аутентифицируется автоматически (для зоны Intranet) -
его вместе с токеном передают обратно в Azure
Плюсы - простая реализация
Минуcы - редирект пользователя, невозмодность закешировать данные на стороне клиента

Azure

ADFS
Proxy 4 2
SharePoint
3
1
USER Pryaniky
Active
(iFrame)
Directory

Сервис Пряники – аутентификация
WСF +ADFS: позволяет аутентифицировать пользователей из домена в облачном сервисе без
активного участия пользователей
1. Пользователь получает страницу SharePoint
2. При генерации страницы вызывается WCF/WIF компонена которая делает запрос к Azure
3. В процессе установки защищенного соединения и аутентификации пользователя на сервисе требуется
токен, который получается WCF-клиентом от ADFS или ADFS-Proxy
4. В результате после аутентификации клиента WebParts получает необходинмые данные для
отображения
Данный подход позволяет не только кешировать данные, но и сохранить полученный токен для
аутентификации в последующих запросах
Azure

4 2
ADFS
Proxy 3
WCF с SharePoint
WIF
USER 1
Active Pryaniky
Directory

Облачная база данных SQL Azure
• Защищенное соединение с сервисом ( SSL )
• SQL Azure Firewall ограничивает доступ к сервису с определенных IP

• Аутентфикация SQL Server

• Полезные сервисы:
– SQL Azure Security Services

– SQL Azure Trust Services

SQL Azure security services
• Анализ архитектуры базы

SQL Azure security services
• Анализ объектов базы данных на потенциальные уязвимости

SQL Azure Trust Services
• Фреймворк для шифрованной обработки данных

• Данные хранятся в облаке уже в зашифрованном виде

• Удобное управление доступом к данным через портал

Облачная CMS

БД использует
SQL
ASP.NET MVC AppFabri федерации
Azure
3 c Cache

Веб-сайт Очереди Windows
WA
Azure Table
Storag Логи
Multi Tenant e
Worker
Role Blob CDN
Store
Обработка медиа Медиа данные
Биллинг
Сервисы оповещения

Open-source технологии

Надежность и автомасштабирование

Облако как связующее звено

SQL
Контрольная Azure
панель
администратора
на Silverlight
WPF, Win32 Web Role
MultiTenant ASP.NET

Blob
Store

Worker
Role
Обработка
данных,
биллинг

Powered by Windows Azure: сделано в России

Веб платформа для
спортивных команд Пряники – сервис для Сервис для удаленного
нематериальной Wizee Шопинг – мобильный
управления IT ресурсами
мотивации персонала гид по торговым центрам

Инструмент для выбора
надежного партнера по Облачный сервис по
Всероссийская извлечению данных Облачный сервис для
разработке веб-сайтов
школьная организации и
образовательная сеть проведения онлайн
мероприятий

Сервис для поиска работы
Управление процессом
подбора персонала
Сервис для путешественников

Трансляция премии
“Золотой граммофон” онлайн
Тегирование изображений
Онлайн трансляции
представлений


Инструмент
Платформа создания Сервис создания и Облачный сервис для поиска по
бизнес-приложений обработки диаграмм дистрибуции авторского социальным
контента медиа

ERP в облаке

Портал для малого Сервис создания Новостной сервис на всех
бизнеса динамического платформах
видео

Социальная сеть
Видео- интересных мест
трансляции
Универсальный
SaaS для малого
бизнеса
Электронный
документооборот
Облачный хостинг блогов


Система управления и
контроль внутренних Мониторинг и аналитика
процессов брендов Рейтинг блогосферы

Википедия бизнес-контактов
Обмен информацией о
продуктах и технологиях

19 Июня – Windows Azure Workshop в
Екатеринбурге
• Адрес : Большакова 70, офис Microsoft

• Начало в 13-00

• В програме – сервисы и возможности облачной плафтормы, примеры
успешных внедрений облака в России, секция ответов на вопросы.

Полезные ресурсы
• Windows Azure Trust Center: ou.gs/trust
• SQL Azure Labs: ou.gs/labs
• Группа разработчиков Windows Azure: ou.gs/user
• Сообщество по безопасности IT Security: ou.gs/itsec
• Блог Windows Azure в MSDN: ou.gs/msdn
• Наш твиттер Windows Azure: @windowsazure_ru
• Контактный email: azurerus@microsoft.com

Спасибо за внимание!

Thank you!

Алексей Боков, эксперт по платформе Windows Azure
e-mail: abokov@microsoft.com
Twitter: @abokov

Ваши вопросы…

Alexey bokov windowsazure_security_mssd

Related slideshows

More Related Content

Alexey bokov windowsazure_security_mssd

Editor's Notes