当事情着火时:办公室365的身份

让我们讨论一些方案,当您的内部环境环境捕获火灾时,云可能会派上派上派包务,因灾难而被中断或扰乱。您如何利用云技术接管,因此您可以从业务连续性中受益,同时恢复?

我从各种客户那里听到了使用云的最关键资产的业务连续性计划。考虑他们的情景:他们投资于Office 365,这意味着它们在SharePoint中拥有相当数量的商业数据,他们在云中拥有电子邮件和日历,以及即时消息,同时也是云托管的会议解决方案。大多数用户(>90%)使用这些功能,同时他们必须保持少数用户仍然属于房屋 - 例如,由于监管原因。这些客户通过传统的设置管理对云的访问:它们具有本地Windows Active Directory(AD),该目录是用于身份验证和粗大访问的主目录。它们还拥有一个身份提供者,它向云发出访问令牌并具有目录同步引擎,该引擎将身份数据传输到云目录中的内部目录 - 在他们的情况下,这是Azure AD(AAD)。

当事情着火时:办公室365的身份

您可以看到,仍有一些托管本地需要成功使用这些业务应用程序的组件,以使用户日常工作成为可能。

现在 - 其中一个客户正在寻找他们的业务连续性计划,作为其中的一部分,是他们最有价值的资产的库存。这种分析的想法非常简单;他们需要尽可能快地恢复最有价值的资产 - 遏制公司损坏,并继续或恢复运行。作为调查的一部分,他们将即时消息(IM)和电子邮件标识为关键组件。您会同意这些可能不是包含公司秘密或有价值的制造数据的资产 - 尽管如此,这些数据库当然也在列表中。不,电子邮件和IM被确定为关键,以恢复在灾难正在进行的员工之间寻求帮助和企业通信的员工之间的清晰通信路径。

显然,目前的IM和电子邮件将依赖于多个本地组件:Windows AD,Identity提供程序,目录同步 - 以及云中的内容:Azure广告。您如何使这些组件有弹性和防灾?

我们正在考虑两种方法:

  • 复制整个环境 在其他地方,您可以轻松连接到您可以轻松地连接和分离到您的环境:使用IAAS构建另一个云环境中的所有所需组件(Windows AD,Identity Provider,Directory Sync)。
  • 更改身份验证配置 并从本地Windows AD身份验证切换到简单的Azure AD身份验证 - 密码哈希同步的帮助。

两种不同的方法在速度恢复时变化,复杂性,构建,维护和运营和安全方面:

重复整个环境更改authn配置
速度恢复 低的 低的
复杂的复杂性 低的 低的
建造成本 高的 低的
维护成本 中等的 低的
复杂性建设 中等的 低的
用户体验 低的 低的

如果您的脚趾甲正在推出,请考虑以下事实:密码永远不会在清晰的文本中留下Windows广告,并且从Windows广告中的密码哈希散列在其被传输到云的安全性之前散列了1000次。

当然,将有安全要求,尤其是关于密码哈希同步时。在这个特定的例子中,客户在云中已经有一个很好的占地面积,当然有助于信任云提供商。此外,要投入透视图,在这个例子中,整个内部部署基础设施死亡,坠毁,脱机,你需要以安全的方式再次将业务再次返回。

向前移动,客户接受了密码哈希同步作为后退选项,并根据Microsoft建议进行配置。密码哈希的哈希作为后备流向Azure广告,而正常操作的主要身份验证仍然通过身份提供商和Windows广告发生。只有在紧急情况下,当他们的Windows广告死亡或受到损害或任何幅度的情况时,它们只能在Azure AD中直接切换到基于密码的登录。那“flip over”从IDP-SSO到Azure AD中的密码是一个Funky PowerShell命令,一旦密码同步成功。在客户经历的测试中,交换机只需要几秒钟。

长话短说 - 你可能会或可能不喜欢密码哈希同步的原因,并且更喜欢为灾难的情况构建很大的额外基础设施(希望从未发生过!),但是我们希望你逃脱的东西是:

  • 看看你宝贵的资产并列出 对您的业务至关重要 - 如果发生某些事情,则必须尽快恢复。
  • 看看这些资产不仅来自商业应用程序角度 - 你如何沟通 对劳动力并提供这场危机的帮助/援助/指导?什么是whatsapp群体可能是一个适当的替代方案
  • 考虑你的 云脚印 已经 - 从云/其他供应商主持的核心服务的内部部署依赖关系是什么?
  • 你的...是 愿意投资 进入灾难恢复“setup”。考虑复杂性(构建,维护,运营),成本(建立,维护,操作,框,VMS,...)和安全性的费用(考虑到您处于非常严重的情况)。您能否将所有环境保持同步?
  • 一旦你有一个计划:你的机会有多好 执行计划 (文档,练习,说明清除,最新?),当事情着火时,你的手摇晃?

有趣的现实检查,呵呵?顺便问一下,你检查过吗? Azure网站恢复(ASR)?

标签

相关文章

发表评论

本网站使用AkisMet减少垃圾邮件。 了解如何处理评论数据.