1. Windows Azure – облачные сервисы
и безопасность данных
Alexey Bokov
Windows Azure Evangelist, Microsoft
2. План
• Облачная платформа Windows Azure
• Сервисы авторизации Windows Azure
• Сценарии использования Active Directory
• Сервисы SQL Azure Labs
• Примеры решений на базе Windows Azure
• Q/A
3. Windows Azure - инфраструктура
East North Europe
US East Asia
West US
North Central US West Europe
South Central US
South
East Asia
8. Active Directory Domain Services в Windows
Azure это :
• Возможность быть ближе к пользователю ( 8 ДЦ по всему миру )
• Более высокая отказоустойчивость к техногенным катастрофам-
Disaster recovery
• Оптимизация архитектуры облачных сервисов в случае если нет
необходимости обращения к on-premise AD
9. Особенности AD в Windows Azure:
• В целом использование AD контроллера доменов в
виртуализованной среде Windows Azure аналогично
использованию под Hyper-V on-premise
• Привязка только к динамически выданному Windows Azure IP (
адрес существует всѐ время жизни виртуальной машины )
• Данные AD должны быть на Data disk ( максимальный размер 1 ТБ
) – он более медленный ( write-throught caching )
• Вместо Copy/restore всей системы в VHD рекомендуется
использовать бэкапирование данных
10. AD Domain Controller в Windows Azure и on-
premise
• При необходимости обращения к on-premise надо использовать
VPN
• Весь исходящий трафик – платный
• Нет возможности прямого взаимодействия между разными VPN в
Windows Azure
• В Windows Azure конфигурации виртуальных машин являются
фиксированными ( RAM, CPU, сеть, дисковая подсистема )
• Safeguards и клонирование DC - не поддерживаются
11. AD Federation Services в Windows Azure это:
• Высокая доступность может достигаться встроеными средствами
load-balancing Windows Azure
• Управление ( создание, настройка) федерациями в Windows Azure
проще
• Но не забываем про тарификацию исходящего наружу трафика,
например от AD FS proxy в Windows Azure
12. • Все пользователи, приложения и AD используют Windows
Azure.
• Нет необходимости в соединении с корпоративной сетью (
например sharepoint инсталлированный в Windows Azure
использует AD из Windows Azure )
13. • Пользователям нужен доступ к приложениям в корпоративной сети через
Интернет
• Облачные приложения также часто обращаются к ресурсам внутри
корпоративной сети
• Для оптимизации архитектуры к AD внутри корпоративной сети добавляется
несколько AD в клауде Windows Azure
14. • Оптимизация сетевой latency – пользователи обращаются к ближайшему ДЦ
Windows Azure
• Высокая отказоустойчивость кластера в целом, в т.ч. к техногенным катастрофам
• Минус решения – прямого взаимодействия между разными VPN нет, все через
корпоративную сеть ( исходящий из Windows Azureтрафик будет
тарифицироваться )
15. • Пользователь обращается к Azure
App и приложение редиректит его
на Azure Access Control Services
• ACS видит что пользователь не
авторизован и перенаправляет его
в ADFS
• ADFS отвечает контекстом юзера (
UPN ~ user@domain.com )
ADFS – Identity provider ( выдает SAML токены )
ACS – Federation provider ( получает SAML от
ADFS и выдает свои SAML
Azure App – relying party ( использует WIF )
16. • ADFS выдает SAML для ACS и делает
редирект обратно на ACS ( SAML в
POST данных)
• ACS на основе SAML от ADFS делает
свой SAML и выполняет аналогичный
редирект обратно в Azure App ( новый
SAML от ACS в POST данных )
• Azure App получает SAML, выдает
пользователю запрашиваемую
страницу, создает cockie для
следующих запросов на авторизацию
17. Гибридное решение - Пряники
SQL Azure Data Sync,
Windows Azure Service Bus
Sync Framework/WCF
Web Worker SQL
Azure
Forms WIF
ADFS Proxy SharePoint Пряники
On-
premise
Active Active
Web Clients
Directory Directory
18. Сервис Пряники – аутентификация
1. User запрашивает страницу SharePoint, на которой есть WebParts, представляющие собой
обычные iFrame.
2. WebParts пробуют начать загруать содерджимое с Azure
3. в этот момент Azure возвращает Redirect на ADFS или ADFS Proxy для аутентификации
4. Пользователь вводит учетные данные или аутентифицируется автоматически (для зоны Intranet) -
его вместе с токеном передают обратно в Azure
Плюсы - простая реализация
Минуcы - редирект пользователя, невозмодность закешировать данные на стороне клиента
Azure
ADFS
Proxy 4 2
SharePoint
3
1
USER Pryaniky
Active
(iFrame)
Directory
19. Сервис Пряники – аутентификация
WСF +ADFS: позволяет аутентифицировать пользователей из домена в облачном сервисе без
активного участия пользователей
1. Пользователь получает страницу SharePoint
2. При генерации страницы вызывается WCF/WIF компонена которая делает запрос к Azure
3. В процессе установки защищенного соединения и аутентификации пользователя на сервисе требуется
токен, который получается WCF-клиентом от ADFS или ADFS-Proxy
4. В результате после аутентификации клиента WebParts получает необходинмые данные для
отображения
Данный подход позволяет не только кешировать данные, но и сохранить полученный токен для
аутентификации в последующих запросах
Azure
4 2
ADFS
Proxy 3
WCF с SharePoint
WIF
USER 1
Active Pryaniky
Directory
20. Облачная база данных SQL Azure
• Защищенное соединение с сервисом ( SSL )
• SQL Azure Firewall ограничивает доступ к сервису с определенных IP
• Аутентфикация SQL Server
• Полезные сервисы:
– SQL Azure Security Services
– SQL Azure Trust Services
22. SQL Azure security services
• Анализ объектов базы данных на потенциальные уязвимости
23. SQL Azure Trust Services
• Фреймворк для шифрованной обработки данных
• Данные хранятся в облаке уже в зашифрованном виде
• Удобное управление доступом к данным через портал
24. Облачная CMS
БД использует
SQL
ASP.NET MVC AppFabri федерации
Azure
3 c Cache
Веб-сайт Очереди Windows
WA
Azure Table
Storag Логи
Multi Tenant e
Worker
Role Blob CDN
Store
Обработка медиа Медиа данные
Биллинг
Сервисы оповещения
27. Облако как связующее звено
SQL
Контрольная Azure
панель
администратора
на Silverlight
WPF, Win32 Web Role
MultiTenant ASP.NET
Blob
Store
Worker
Role
Обработка
данных,
биллинг
28. Powered by Windows Azure: сделано в России
Веб платформа для
спортивных команд Пряники – сервис для Сервис для удаленного
нематериальной Wizee Шопинг – мобильный
управления IT ресурсами
мотивации персонала гид по торговым центрам
Инструмент для выбора
надежного партнера по Облачный сервис по
Всероссийская извлечению данных Облачный сервис для
разработке веб-сайтов
школьная организации и
образовательная сеть проведения онлайн
мероприятий
Сервис для поиска работы
Управление процессом
подбора персонала
Сервис для путешественников
Трансляция премии
“Золотой граммофон” онлайн
Тегирование изображений
Онлайн трансляции
представлений
29. Powered by Windows Azure: сделано в России
Инструмент
Платформа создания Сервис создания и Облачный сервис для поиска по
бизнес-приложений обработки диаграмм дистрибуции авторского социальным
контента медиа
ERP в облаке
Портал для малого Сервис создания Новостной сервис на всех
бизнеса динамического платформах
видео
Социальная сеть
Видео- интересных мест
трансляции
Универсальный
SaaS для малого
бизнеса
Электронный
документооборот
Облачный хостинг блогов
30. Powered by Windows Azure: сделано в России
Система управления и
контроль внутренних Мониторинг и аналитика
процессов брендов Рейтинг блогосферы
Википедия бизнес-контактов
Обмен информацией о
продуктах и технологиях
31. 19 Июня – Windows Azure Workshop в
Екатеринбурге
• Адрес : Большакова 70, офис Microsoft
• Начало в 13-00
• В програме – сервисы и возможности облачной плафтормы, примеры
успешных внедрений облака в России, секция ответов на вопросы.
32. Полезные ресурсы
• Windows Azure Trust Center: ou.gs/trust
• SQL Azure Labs: ou.gs/labs
• Группа разработчиков Windows Azure: ou.gs/user
• Сообщество по безопасности IT Security: ou.gs/itsec
• Блог Windows Azure в MSDN: ou.gs/msdn
• Наш твиттер Windows Azure: @windowsazure_ru
• Контактный email: azurerus@microsoft.com
33. Спасибо за внимание!
Thank you!
Алексей Боков, эксперт по платформе Windows Azure
e-mail: abokov@microsoft.com
Twitter: @abokov
Ваши вопросы…
Editor's Notes
Do we need to add workflow and integration…??
Windows Azure Active Directory is a modern cloud service providing identity management and access control capabilities to cloud applications, whether those are Windows Azure applications, Microsoft Office 365, Dynamics CRM Online, Windows Intune or other 3rd party cloud services. Combines the proven enterprise capabilities of Active Directory with the scale and elasticity of Windows Azure, so you can bring your applications to the cloud easily. Windows Azure Active Directory provides an identity provider, access control, easy integration with your on-premises AD deployments, and full support of third party identity providers.Benefits of the Windows Azure Active Directory include:Single sign-on across your cloud applications: Windows Azure Active Directory (AD) gives end users a seamless single sign-on experience for Microsoft and third party cloud services as well as applications built on Azure.Simple integration with your on-premises Active Directory: You can quickly extend your existing on-premises Active Directory to apply policy and control and authenticate users with their existing accounts to Windows Azure and other cloud services. Easily create and manage identities in the Cloud : For organizations that don’t require an on-premise AD deployment, Windows Azure Active Directory provides an easy way to create and manage identities in the Cloud.Build social enterprise apps: Windows Azure Active Directory provides an enterprise social graph for applications to discover information and relationships between identities easily so that developers and ISVs can build a richer end user experience. Flexibility to use your development tools and social identities : With Windows Azure Active Directory, you can use .NET, PHP, Java and Node.js and get out-of-the-box support for popular web identity providers including Windows Live ID, Google, Yahoo!, and Facebook.