Azure通过增强的访问控制体验提高安全性
微软在拉斯维加斯举行的黑帽大会上宣布,他们正在加倍降低 Azure安全性。
今天,微软宣布了新的安全功能,这将增强访问控制体验; 包括为服务器消息块(SMB)访问引入Azure Active Directory域服务(Azure AD DS)身份验证支持。
现在,加入域的Windows虚拟机可以使用带有强制NTFS访问控制列表的AD DS凭据,通过SMB安装和访问Azure文件共享。
此外,您可以使用基于角色的访问控制(RBAC)限制对某些文件和文件夹的共享级别访问。权限分配功能类似于NTFS,因此“提升和转移”应用程序的过程更容易。
Azure文件的Azure AD DS身份验证允许用户指定对共享,文件和文件夹的细化权限。它为您的业务线应用程序解除了单一编写器和多读取器场景等常见用例的阻止。由于文件权限分配和执行经验与NTFS相匹配,因此将应用程序提升并转移到Azure就像将其移动到新的SMB文件服务器一样简单。这也使Azure Files成为基于云的服务的理想共享存储解决方案。例如, Windows Virtual Desktop 建议使用Azure文件托管不同的用户配置文件,并利用Azure AD DS身份验证进行访问控制。
此外,支持使用Azure Files强制执行NTFS自主访问控制列表(DACL),可以在复制和数据恢复过程中维护DACL。
由于Azure文件严格执行NTFS自主访问控制列表(DACL),因此您可以使用熟悉的工具(如 Robocopy) 将数据移动到Azure文件共享中,从而保持所有重要的安全控制。Azure文件访问控制列表也在Azure文件共享快照中捕获,用于备份和灾难恢复方案。这可确保使用Azure Backup等利用文件快照的服务在数据恢复时保留文件访问控制列表。
此外,您现在可以通过文件资源管理器重新分配权限。
接下来,突出显示了通过文件资源管理器修改权限。该功能首次在Ignite 2018上展出; 那时,查看和更改权限需要一个名为“icacls”的Windows命令行工具。但是,发现此工具不容易被发现或与用户行为一致。因此,现在可以使用文件资源管理器提供此功能,从而可以轻松地为Azure文件分配权限。
Microsoft推出了三种新的内置基于角色的访问控制,以简化共享级访问管理 - 存储文件数据SMB共享提升贡献者,贡献者和读者。
为简化共享级访问管理,我们引入了三个新的内置基于角色的访问控制 - 存储文件数据SMB共享提升贡献者,贡献者和读者。您可以使用内置角色来授予对Azure文件的SMB访问权限的共享级权限,而不是创建自定义角色。
Azure Files团队旨在将身份验证支持作为访问控制体验的一部分,扩展到本地或云端的Windows Server Active Directory。
支持Azure Active Directory域服务的身份验证对于应用程序提升和转移方案最有用,但Azure文件可以帮助移动所有本地文件共享,无论它们是为应用程序还是为最终用户提供存储。我们的团队正致力于将身份验证支持扩展到本地或云中托管的Windows Server Active Directory。