Mayor seguridad y control de acceso mejorado en Azure Files

Publicado el 7 agosto, 2019

Program Manager, Azure Storage

Con la disponibilidad general de la funcionalidad de autenticación de Azure Active Directory Domain Services (Azure AD DS) para Azure Files, hemos facilitado que los clientes migren sus aplicaciones a la nube mediante lift-and-shift y sigan manteniendo el mismo modelo de seguridad que usaban en el entorno local. Gracias a la integración de Azure AD DS, puede montar un recurso compartido de archivos de Azure que use el protocolo SMB usando las credenciales de Azure Active Directory (Azure AD) desde instancias de Windows Virtual Machines que estén unidas al dominio de Azure AD DS con listas de control de acceso (ACL) NTFS implementadas.

RefreshedDiagram-v2

La autenticación de Azure AD DS para Azure Files permite a los usuarios especificar permisos para los recursos compartidos, los archivos y las carpetas de forma pormenorizada. Hace posibles casos de uso como el de un solo escritor y varios lectores para sus aplicaciones de línea de negocio. Puesto que la experiencia de control y asignación de permisos para los archivos es igual que la de NTFS, migrar una aplicación a Azure mediante lift-and-shift es tan sencillo como moverla a un nuevo servidor de archivos SMB. Esto convierte también a Azure Files en una solución de almacenamiento compartido ideal para servicios basados en la nube. Por ejemplo, Windows Virtual Desktop recomienda el uso de Azure Files para hospedar diferentes perfiles de usuario y aprovechar la autenticación de Azure AD DS para el control del acceso.

Puesto que Azure Files aplica rigurosamente listas de control de acceso discrecionales (DACL) de NTFS, puede usar herramientas que ya conoce, como Robocopy, para mover datos a un recurso compartido de archivos de Azure manteniendo todas sus medidas de seguridad importantes. Las listas de control de acceso de Azure Files se capturan también en las instantáneas de recursos compartidos de archivos de Azure para las copias de seguridad y la recuperación ante desastres. Esto asegura el mantenimiento de las listas de control de acceso a los archivos al recuperar datos con servicios como Azure Backup, que aprovecha las instantáneas de los archivos.

Siga la guía detallada para comenzar hoy mismo. Para comprender mejor las ventajas y la funcionalidad, lea la introducción a la autenticación de Azure AD DS para Azure Files.

¿Qué novedades aporta la versión en disponibilidad general?

En respuesta a los comentarios de los usuarios, se han incluido varias características nuevas respecto a la versión preliminar:

Integración sin problemas con el Explorador de archivos de Windows para la asignación de permisos. Cuando ofrecimos una demostración de esta característica en Microsoft Ignite 2018, mostramos cómo cambiar y ver permisos con una herramienta de la línea de comandos de Windows denominada icacls. Era evidente que tenía cierta complejidad, porque icacls no es fácil de detectar ni está en línea con el comportamiento habitual de los usuarios. Con la versión en disponibilidad general, se pueden ver o modificar los permisos para un archivo o una carpeta con el Explorador de archivos de Windows, igual que con los recursos compartidos de archivos habituales.

Integración con el Explorador de archivos de Windows para la asignación de permisos

Nuevos controles de acceso basados en rol integrados que simplifican la administración del acceso a recursos compartidos. Con el fin de simplificar la administración del acceso a recursos compartidos, hemos integrado tres controles de acceso nuevos basados en rol: lector, colaborador y colaborador con permisos elevados para recursos compartidos SMB de datos de archivos de almacenamiento. En lugar de crear roles personalizados, puede usar los roles integrados para conceder permisos de acceso a recursos compartidos de Azure Files mediante SMB.

¿Qué será lo próximo en cuanto al control de acceso a Azure Files?

La mayor utilidad de la compatibilidad con la autenticación de Azure Active Directory Domain Services se encuentra en los escenarios de migración mediante lift-and-shift, pero Azure Files puede facilitar el traslado de todos los recursos compartidos de archivos del entorno local, independientemente de que proporcionen almacenamiento para una aplicación o para los usuarios finales. Nuestro equipo está trabajando para ampliar la compatibilidad con la autenticación a Windows Server Active Directory (Windows Server AD) hospedado en la nube o en el entorno local. Si necesita una solución de Azure Files con la autenticación de Windows Server AD hoy mismo, puede pensar en instalar Azure File Sync en los servidores de archivos de Windows en los que la integración con Windows Server AD es totalmente compatible.

Si le interesa estar al tanto de las novedades sobre la autenticación de Active Directory para Azure Files, regístrese hoy mismo. Si desea aportar algún comentario general sobre Azure Files, envíenos un correo electrónico a la dirección AzureFiles@microsoft.com.