Oblast návrhu správy identit a přístupu

Oblast návrhu správy identit a přístupu poskytuje osvědčené postupy, které můžete použít k vytvoření základu zabezpečené a plně kompatibilní architektury veřejného cloudu.

Podniky můžou mít komplexní a heterogenní technologické prostředí, takže zabezpečení je důležité. Robustní správa identit a přístupu tvoří základ moderní ochrany vytvořením hraniční sítě zabezpečení ve veřejném cloudu. Autorizace a řízení přístupu zajišťují, že k aplikacím a prostředkům mají přístup a spravovat jenom ověřené uživatele s ověřenými zařízeními. Zajišťuje, aby správný jednotlivec mohl přistupovat ke správným prostředkům ve správný čas a z správného důvodu. Poskytuje také spolehlivé protokolování auditu a nepopiratelnost akcí identit uživatelů nebo pracovních zátěží. Měli byste poskytovat konzistentní podnikové řízení přístupu, včetně přístupu uživatelů, řízení a rovin správy, externího přístupu a privilegovaného přístupu, aby se zlepšila produktivita a zmírnit riziko eskalace neoprávněných oprávnění nebo exfiltrace dat.

Azure nabízí komplexní sadu služeb, nástrojů a referenčních architektur, které vaší organizaci pomáhají vytvářet vysoce zabezpečená a provozních prostředí. Existuje několik možností správy identity v cloudovém prostředí. Každá možnost se liší v nákladech a složitosti. Určete své cloudové služby identit podle toho, jak moc je potřebujete integrovat s vaší stávající místní infrastrukturou identit. Další informace naleznete v příručce pro rozhodování o identitě .

Správa identit a přístupu v cílových zónách Azure

Správa identit a přístupu je základním aspektem cílových zón platformy i aplikací. V rámci principu návrhu demokratizace předplatnéhoby vlastníci aplikací měli mít autonomii ke správě vlastních aplikací a prostředků s minimálním zásahem od týmu platformy. Cílové zóny jsou hranice zabezpečení a správa identit a přístupu nabízí způsob, jak řídit oddělení jedné cílové zóny od druhé spolu s komponentami, jako jsou sítě a Azure Policy. Použijte robustní návrh správy identit a přístupu, který pomáhá dosáhnout izolace cílové zóny aplikace.

Tým platformy zodpovídá za základ správy identit a přístupu, včetně nasazování a správy centralizovaných adresářových služeb, jako je Microsoft Entra ID, Microsoft Entra Domain Services a Active Directory Domain Services (AD DS). Správci cílové zóny aplikací a uživatelé, kteří přistupují k aplikacím, využívají tyto služby.

Aplikační tým zodpovídá za správu identit a přístupu svých aplikací, včetně zabezpečení přístupu uživatelů k aplikacím a mezi komponentami aplikací, jako je Azure SQL Database, virtuální počítače a Azure Storage. V dobře implementované architektuře cílové zóny může aplikační tým snadno využívat služby, které poskytuje tým platformy.

Mnoho základních konceptů správy identit a přístupu je stejné v cílových zónách platformy i aplikací, jako je řízení přístupu na základě role (RBAC) a princip nejnižších oprávnění.

Kontrola oblasti návrhu

Functions: Správa identit a přístupu vyžaduje podporu jedné nebo více následujících funkcí. Role, které tyto funkce provádějí, můžou pomoct provádět a implementovat rozhodnutí.

• funkce cloudové platformy
• Funkce centra excelence pro cloud
• funkce týmu zabezpečení cloudu

Rozsah : Cílem této oblasti návrhu je pomoct vyhodnotit možnosti pro vaši identitu a základ přístupu. Při návrhu strategie identit byste měli provádět následující úlohy:

• Ověřování uživatelů a identit úloh
• Přiřaďte přístup k prostředkům.
• Určete základní požadavky na oddělení povinností.
• Synchronizujte hybridní identity s ID Microsoft Entra.

Mimo rozsah: Správa identit a přístupu tvoří základ pro správné řízení přístupu, ale nevztahuje se na pokročilejší aspekty, jako jsou:

• Model nulové důvěryhodnosti.
• Provozní správa zvýšených oprávnění.
• Automatizované mantinely, které brání běžným chybám identity a přístupu.

Oblasti návrhu dodržování předpisů pro zabezpečení a řízení se zaměřují na aspekty vně rozsahu. Komplexní doporučení pro správu identit a přístupu najdete v tématu osvědčených postupů pro správu identit a řízení přístupu Azure.

Přehled oblasti návrhu

Identita poskytuje základ pro širokou škálu záruk zabezpečení. Uděluje přístup na základě ověřování identit a autorizačních mechanismů v cloudových službách. Řízení přístupu chrání data a prostředky a pomáhá určit, které požadavky mají být povoleny.

Správa identit a přístupu pomáhá zabezpečit vnitřní a externí hranice prostředí veřejného cloudu. Je základem jakékoli zabezpečené a plně kompatibilní veřejné cloudové architektury.

Následující články popisují aspekty návrhu a doporučení pro správu identit a přístupu v cloudovém prostředí:

• hybridní identita se službou Active Directory a Microsoft Entra ID
• Správa identity a přístupu pro přistávací zónu
• správa identit aplikací a přístupu

Pokyny k návrhu řešení v Azure pomocí zavedených vzorů a postupů najdete v tématu Návrh architektury identit.

Spropitné

Pokud máte více tenantů Microsoft Entra ID, podívejte se na Azure landing zones a více tenantů Microsoft Entra.

Další kroky

Hybridní identita se službou Active Directory a Microsoft Entra ID