День 3. Безопасность и диагностика Фещенко АлександрWindows Azure MVPDigital Cloud Technologies

AgendaБезопасность Windows

Azure

Role Based Identity vs Claims Based Identity

Windows Identity Foundation

Windows Azure Access Control Service

Windows Azure Diagnostics

Уровни безопасности

Физическая безопасность

Безопасность ОС

Сетевая безопасность

Безопасность приложения

Уровни безопасности Windows Azure Управляемый код. Partial Trust.

Windows Account

Firewall. Правила из конфигурации

VM. Фиксированные CPU, RAM

Root Partition Packet Filter

Network ACLs

Что такое личность?Набор информации о сущности

Уникальный идентификатор

Фотография

Пол

Возраст

Дата регистрации

Role Based Identity

Логин и пароль привязываются к личностиЛичность принадлежит одной или более группПриложение использует группы для авторизации личностиРеализация в облаке:

ASP.NET Membership (SQL Azure …)Domain Join (Windows Azure Connect)

Claims Based Identity

Claims-Based Identity

Логин и пароль привязываются к токенуТокен это набор утвержденийПриложение использует утверждения для авторизации личностиУтверждения могут содержать любую другую информацию

Термины Claims Based Аутентификации- Relying party – зависимое

приложение- Security Token Service – сервис по

генерации токенов- Identity Provider – поставщик

данных о пользователе

Структура токена

Токен

Возраст

Фамилия

Имя

Сигнатура

Токен содержит широкий набор информацииЗадачи по управлению личностями возлагаются на Identity Provider-аSTS создает токены базируясь на информации, полученной от Identity Provider-а

Windows Identity FoundationФреймворк для ускоренного построения приложений, использующий claims-based парадигмуУпрощает создание STSРеализует большинство промышленных стандартовЛегко интегрируется с веб-сайтами, сервисами и облачными приложениями

Веб роль и WIFПростой визард для конфигурирования любого веб-приложения

WIF инфраструктура для ASP.NET

FAM SAM CAMРедиректОбработка токенаФильтрация

Сессия Авторизация

Windows Azure

Claims

Windows Azure Access Control Service

Access Control ServiceЧасть Azure Integration ServicesПоддержка ODataПоддержка SAMLWS Trust, WS Federation, OpenID Множество социальных провайдеров

FacebookLiveIdADFS 2.0

Аутентификация пользователя (I)

Windows Azure

Аутентификация пользователей (II)

Windows Azure

Windows Azure

Access Control ServiceSTS в облаке

Упрощает взаимодействие с другими IPs

WS-Federation, WS-Trust, Open ID, OAuth

Аутентификация через социальные провайдеры

Windows Azure

Access Control Service

demo

Windows Azure Diagnostics

Диагностика в Windows AzureРаспределенный мониторинг приложений и сбор данныхВыберите что собирать и когда собирать•Event Logs, Trace Logs, Performance Counters•IIS Web/Failed Request Logs, Crash Dumps,е•Другие логи файлы(custom apps, other web/app servers)

Cloud Friendly•Централизованно управляйте множеством инстансов

Возможность удаленной конфигурации

Диагностика: Single Server vs Cloud

CloudДинамическая среда

Локальный доступ невозможенМножество узловРаспределенные данные

Single ServerСтатическая среда

Локальный доступ возможенДанные и средства в одном местеIn-Place изменения

Экземпляр роли

Как это работает в целом?Экземпляр роли запускаетсяЗапускается диагностический мониторМонитор конфигурируется•Императивно во время старта•Удаленно в любое время•Конфигурация сохраняется в хранилище

Монитор буферизирует данные локально•Пользователь может установить квоту(FIFO)

Инициация передачи данных из буфера в хранилище•По расписанию•По требованию

Расположение данных диагностики

Windows Event Logs WADWindowsEventLogsTable

Performance Counters WADPerformanceCountersTable

Windows Azure Logs WADLogsTable

Diagnostic Infrastructure Logs WADDiagnosticInfrastructureLogsTable

IIS Logs wad-iis-logfiles - WADDirectoriesTable (index entry)

IIS Failed Request Logs wad-iis-failedreqlogfiles - WADDirectoriesTable (index entry)

Crash Dumps wad-crash-dumps - WADDirectoriesTable (index entry)

Custom File Based Logs (must be configured) - WADDirectoriesTable (index entry)

Конфигурация диагностики

Программно используя DiagnosticMonitor.Start()Декларативно используя диагностический модуль

Конфигурирование диагностики•DiagnosticsMonitor/RoleInstanceDiagnosticManager•diagnostics.wadcfg (XML конфигурация)•Утилиты: Azure MMC, Operations Manager , Cerebrata, многие другие…Windows Azure PowerShell Cmdlets

Diagnostic Monitor (Запуск роли)• DiagnosticMonitorConfiguration dc =• DiagnosticMonitor.GetDefaultInitialConfiguration();

• dc.WindowsEventLog.DataSources.Add("Application!*");• dc.WindowsEventLog. ScheduledTransferLogLevelFilter = • LogLevel.Error;• dc.WindowsEventLog.ScheduledTransferPeriod = • System.TimeSpan.FromMinutes(5.0);• // добавить другие источники

• DiagnosticMonitor.Start("DiagnosticsConnectionString", dc);

RoleInstanceDiagnosticManager (в любое время)• CloudStorageAccount storage = CloudStorageAccount.Parse(…);

• RoleInstanceDiagnosticManager rdm = new • RoleInstanceDiagnosticManager(storage, DeploymentId,

• RoleName, RoleInstanceId);

• DiagnosticMonitorConfiguration config = rdm.GetCurrentConfiguration();

• dc.WindowsEventLog.DataSources.Add("Application!*");• dc.WindowsEventLog. ScheduledTransferLogLevelFilter = • LogLevel.Error;• dc.WindowsEventLog.ScheduledTransferPeriod = • TimeSpan.FromMinutes(5.0);• // добавить другие источники

• rdm.SetCurrentConfiguration(config);

Windows Azure Diagnostics

demo

Спасибо