День 3. Безопасность и диагностика Фещенко АлександрWindows Azure MVPDigital Cloud Technologies
AgendaБезопасность Windows
Azure
Role Based Identity vs Claims Based Identity
Windows Identity Foundation
Windows Azure Access Control Service
Windows Azure Diagnostics
Уровни безопасности
Физическая безопасность
Безопасность ОС
Сетевая безопасность
Безопасность приложения
Уровни безопасности Windows Azure Управляемый код. Partial Trust.
Windows Account
Firewall. Правила из конфигурации
VM. Фиксированные CPU, RAM
Root Partition Packet Filter
Network ACLs
Что такое личность?Набор информации о сущности
Уникальный идентификатор
Фотография
Пол
Возраст
Дата регистрации
Role Based Identity
Логин и пароль привязываются к личностиЛичность принадлежит одной или более группПриложение использует группы для авторизации личностиРеализация в облаке:
ASP.NET Membership (SQL Azure …)Domain Join (Windows Azure Connect)
Claims Based Identity
Claims-Based Identity
Логин и пароль привязываются к токенуТокен это набор утвержденийПриложение использует утверждения для авторизации личностиУтверждения могут содержать любую другую информацию
Термины Claims Based Аутентификации- Relying party – зависимое
приложение- Security Token Service – сервис по
генерации токенов- Identity Provider – поставщик
данных о пользователе
Структура токена
Токен
Возраст
Фамилия
Имя
Сигнатура
Токен содержит широкий набор информацииЗадачи по управлению личностями возлагаются на Identity Provider-аSTS создает токены базируясь на информации, полученной от Identity Provider-а
Windows Identity FoundationФреймворк для ускоренного построения приложений, использующий claims-based парадигмуУпрощает создание STSРеализует большинство промышленных стандартовЛегко интегрируется с веб-сайтами, сервисами и облачными приложениями
Веб роль и WIFПростой визард для конфигурирования любого веб-приложения
WIF инфраструктура для ASP.NET
FAM SAM CAMРедиректОбработка токенаФильтрация
Сессия Авторизация
Windows Azure
Claims
Windows Azure Access Control Service
Access Control ServiceЧасть Azure Integration ServicesПоддержка ODataПоддержка SAMLWS Trust, WS Federation, OpenID Множество социальных провайдеров
FacebookLiveIdADFS 2.0
Аутентификация пользователя (I)
Windows Azure
Аутентификация пользователей (II)
Windows Azure
Windows Azure
Access Control ServiceSTS в облаке
Упрощает взаимодействие с другими IPs
WS-Federation, WS-Trust, Open ID, OAuth
Аутентификация через социальные провайдеры
Windows Azure
Access Control Service
demo
Windows Azure Diagnostics
Диагностика в Windows AzureРаспределенный мониторинг приложений и сбор данныхВыберите что собирать и когда собирать•Event Logs, Trace Logs, Performance Counters•IIS Web/Failed Request Logs, Crash Dumps,е•Другие логи файлы(custom apps, other web/app servers)
Cloud Friendly•Централизованно управляйте множеством инстансов
Возможность удаленной конфигурации
Диагностика: Single Server vs Cloud
CloudДинамическая среда
Локальный доступ невозможенМножество узловРаспределенные данные
Single ServerСтатическая среда
Локальный доступ возможенДанные и средства в одном местеIn-Place изменения
Экземпляр роли
Как это работает в целом?Экземпляр роли запускаетсяЗапускается диагностический мониторМонитор конфигурируется•Императивно во время старта•Удаленно в любое время•Конфигурация сохраняется в хранилище
Монитор буферизирует данные локально•Пользователь может установить квоту(FIFO)
Инициация передачи данных из буфера в хранилище•По расписанию•По требованию
Расположение данных диагностики
Windows Event Logs WADWindowsEventLogsTable
Performance Counters WADPerformanceCountersTable
Windows Azure Logs WADLogsTable
Diagnostic Infrastructure Logs WADDiagnosticInfrastructureLogsTable
IIS Logs wad-iis-logfiles - WADDirectoriesTable (index entry)
IIS Failed Request Logs wad-iis-failedreqlogfiles - WADDirectoriesTable (index entry)
Crash Dumps wad-crash-dumps - WADDirectoriesTable (index entry)
Custom File Based Logs (must be configured) - WADDirectoriesTable (index entry)
Конфигурация диагностики
Программно используя DiagnosticMonitor.Start()Декларативно используя диагностический модуль
Конфигурирование диагностики•DiagnosticsMonitor/RoleInstanceDiagnosticManager•diagnostics.wadcfg (XML конфигурация)•Утилиты: Azure MMC, Operations Manager , Cerebrata, многие другие…Windows Azure PowerShell Cmdlets
Diagnostic Monitor (Запуск роли)• DiagnosticMonitorConfiguration dc =• DiagnosticMonitor.GetDefaultInitialConfiguration();
• dc.WindowsEventLog.DataSources.Add("Application!*");• dc.WindowsEventLog. ScheduledTransferLogLevelFilter = • LogLevel.Error;• dc.WindowsEventLog.ScheduledTransferPeriod = • System.TimeSpan.FromMinutes(5.0);• // добавить другие источники
• DiagnosticMonitor.Start("DiagnosticsConnectionString", dc);
RoleInstanceDiagnosticManager (в любое время)• CloudStorageAccount storage = CloudStorageAccount.Parse(…);
• RoleInstanceDiagnosticManager rdm = new • RoleInstanceDiagnosticManager(storage, DeploymentId,
• RoleName, RoleInstanceId);
• DiagnosticMonitorConfiguration config = rdm.GetCurrentConfiguration();
• dc.WindowsEventLog.DataSources.Add("Application!*");• dc.WindowsEventLog. ScheduledTransferLogLevelFilter = • LogLevel.Error;• dc.WindowsEventLog.ScheduledTransferPeriod = • TimeSpan.FromMinutes(5.0);• // добавить другие источники
• rdm.SetCurrentConfiguration(config);
Windows Azure Diagnostics
demo
Спасибо
Top Related