Übersicht über die Sicherheit der Azure Arc-Ressourcenbrücke
In diesem Artikel werden die Sicherheitskonfiguration und Überlegungen beschrieben, die Sie vor der Bereitstellung der Azure Arc-Ressourcenbrücke in Ihrem Unternehmen auswerten sollten.
Verwaltete Identität
Standardmäßig wird eine Microsoft Entra systemseitig zugewiesene verwaltete Identität erstellt und der Azure Arc-Ressourcenbrücke zugewiesen. Die Azure Arc-Ressourcenbrücke (Vorschau) unterstützt derzeit nur eine systemseitig zugewiesene Identität. Die Identität clusteridentityoperator
initiiert die erste ausgehende Kommunikation und ruft das MSI-Zertifikat (Managed Service Identity) ab, das von anderen Agents für die Kommunikation mit Azure verwendet wird.
Identität und Zugriffssteuerung
Die Azure Arc-Ressourcenbrücke wird als Ressource in einer Ressourcengruppe innerhalb eines Azure-Abonnements dargestellt. Der Zugriff auf diese Ressource wird durch die standardmäßige rollenbasierte Zugriffssteuerung von Azure gesteuert. Auf der Seite Access Control (IAM) im Azure-Portal können Sie überprüfen, wer Zugriff auf Ihre Azure Arc-Ressourcenbrücke hat.
Benutzer und Anwendungen, denen die Rolle Mitwirkender oder „Administrator“ auf die Ressourcengruppe gewährt wurde, können Änderungen an der Ressource vornehmen, einschließlich der Bereitstellung oder des Löschens von Clustererweiterungen.
Datenresidenz
Azure Arc-Ressourcenbrücke hält Datenresidenzbestimmungen ein, die für jede Region spezifisch sind. Falls zutreffend, werden Daten in einer sekundären Paar-Region gemäß den Datenresidenzbestimmungen gesichert. Andernfalls befinden sich Daten nur in dieser bestimmten Region. Daten werden nicht geografieübergreifend gespeichert oder verarbeitet.
Datenverschlüsselung ruhender Daten
Die Azure Arc-Ressourcenbrücke speichert Ressourceninformationen in Azure Cosmos DB. Wie unter Datenverschlüsselung in Azure Cosmos DB beschrieben, werden alle Daten im Ruhezustand verschlüsselt.
Sicherheitsüberwachungsprotokolle
Das Aktivitätsprotokoll ist ein Azure-Plattformprotokoll, das einen Einblick in Ereignisse auf Abonnementebene ermöglicht. Dies schließt beispielsweise Informationen für den Fall ein, dass die Azure Arc-Ressourcenbrücke geändert, gelöscht oder hinzugefügt wird.
Sie können das Aktivitätsprotokoll im Azure-Portal anzeigen oder Einträge mit PowerShell und der Azure CLI abrufen. Aktivitätsprotokollereignisse werden in Azure standardmäßig 90 Tage lang aufbewahrt und dann gelöscht.
Nächste Schritte
- Verstehen der Systemanforderungen und Netzwerkanforderungen für Azure Arc-Ressourcenbrücke.
- Lesen Sie sich die Übersicht über die Azure Arc-Ressourcenbrücke durch, um die Funktionen und Vorteile zu verstehen.
- Weitere Informationen zu Azure Arc.