Designbereich "Identitäts- und Zugriffsverwaltung"
Der Designbereich "Identitäts- und Zugriffsverwaltung" bietet bewährte Methoden, mit denen Sie die Grundlage Ihrer sicheren und vollständig kompatiblen öffentlichen Cloudarchitektur einrichten können.
Unternehmen können komplexe und heterogene technologische Landschaften haben, daher ist Sicherheit kritisch. Robuste Identitäts- und Zugriffsverwaltung bildet die Grundlage für modernen Schutz, indem ein Sicherheitsperimeter in einer öffentlichen Cloud erstellt wird. Autorisierungs- und Zugriffskontrollen stellen sicher, dass nur authentifizierte Benutzer mit überprüften Geräten auf Anwendungen und Ressourcen zugreifen und diese verwalten können. Es stellt sicher, dass die richtige Person zur richtigen Zeit auf die richtigen Ressourcen zugreifen kann, und aus dem richtigen Grund. Darüber hinaus bietet es zuverlässige Überwachungsprotokollierung und Nichtabstreitbarkeit von Identitätsaktionen von Benutzer*innen oder Workloads. Sie sollten eine konsistente Unternehmenszugriffskontrollebereitstellen, einschließlich Benutzerzugriff, Kontroll- und Verwaltungsebenen, externer Zugriff und privilegierter Zugriff, um die Produktivität zu verbessern und das Risiko einer unangemessenen Berechtigungseskalation oder Datenexfiltration zu verringern.
Azure bietet eine umfassende Reihe von Diensten, Tools und Referenzarchitekturen, die Ihrer Organisation dabei helfen, hochsichere und betriebseffiziente Umgebungen zu erstellen. Es gibt mehrere Optionen zum Verwalten von Identitäten in einer Cloudumgebung. Jede Option variiert in Kosten und Komplexität. Ermitteln Sie Ihre cloudbasierten Identitätsdienste basierend darauf, wie viel Sie sie in Ihre vorhandene lokale Identitätsinfrastruktur integrieren müssen. Weitere Informationen finden Sie im Leitfaden zur Entscheidungsfindung für die Identitätsverwaltung.
Identitäts- und Zugriffsverwaltung in Azure-Zielzonen
Die Identitäts- und Zugriffsverwaltung ist sowohl in Plattform- als auch Anwendungslandezonen von zentraler Bedeutung. Im Designprinzip der Abonnementdemokratisierungsollten Anwendungsbesitzer über die Autonomie verfügen, ihre eigenen Anwendungen und Ressourcen mit minimalem Eingreifen des Plattformteams zu verwalten. Landezonen sind eine Sicherheitsgrenzlinie, und die Identitäts- und Zugriffsverwaltung bietet eine Möglichkeit, die Trennung einer Landezone von einer anderen sowie Komponenten wie Netzwerke und Azure-Richtlinien zu steuern. Wenden Sie ein robustes Identitäts- und Zugriffsverwaltungsdesign an, um die Isolation der Application Landing Zone sicherzustellen.
Das Plattformteam ist für die Grundlage der Identitäts- und Zugriffsverwaltung verantwortlich, einschließlich der Bereitstellung und Verwaltung zentralisierter Verzeichnisdienste, z. B. Microsoft Entra ID, Microsoft Entra Domain Services und Active Directory Domain Services (AD DS). Anwendungszielzonenadministratoren und Benutzer, die auf Anwendungen zugreifen, nutzen diese Dienste.
Das Anwendungsteam ist für die Identitäts- und Zugriffsverwaltung ihrer Anwendungen verantwortlich, einschließlich der Sicherung des Benutzerzugriffs auf Anwendungen und zwischen Anwendungskomponenten wie Azure SQL-Datenbank, virtuellen Computern und Azure Storage. In einer gut implementierten Landing-Zone-Architektur kann das Anwendungsteam mühelos Dienste nutzen, die das Plattformteam bereitstellt.
Viele der grundlegenden Konzepte der Identitäts- und Zugriffsverwaltung sind sowohl in Plattform- als auch in Anwendungslandezonen die gleichen, wie zum Beispiel rollenbasierte Zugriffssteuerung (RBAC) und das Prinzip der minimalen Rechte.
Überprüfung des Entwurfsbereichs
Funktionen: Identitäts- und Zugriffsverwaltung erfordert die Unterstützung einer oder mehrerer der folgenden Funktionen. Die Rollen, die diese Funktionen ausführen, können dazu beitragen, Entscheidungen zu treffen und zu implementieren.
- Cloud-Plattform-Funktionen
- Funktionen des Cloud-Exzellenzzentrums
- Funktionen des Cloudsicherheitsteams
Umfang: Das Ziel dieses Entwurfsbereichs besteht darin, Ihnen zu helfen, Optionen für die Identitätsverwaltungsgrundlage auszuwerten. Wenn Sie Ihre Identitätsstrategie entwerfen, sollten Sie die folgenden Aufgaben ausführen:
- Authentifizierung von Benutzer- und Workload-Identitäten.
- Weisen Sie Zugriff auf Ressourcen zu.
- Bestimmen Sie die Kernanforderungen für die Trennung von Aufgaben.
- Synchronisieren von Hybrididentitäten mit Microsoft Entra ID.
Außerhalb des Gültigkeitsbereichs: Identitäts- und Zugriffsverwaltung bildet eine Grundlage für die ordnungsgemäße Zugriffssteuerung, behandelt aber nicht komplexere Aspekte wie:
- Das Zero Trust-Modell.
- Die operative Verwaltung erhöhter Berechtigungen.
- Automatisierte Schutzschienen, um häufige Identitäts- und Zugriffsfehler zu verhindern.
Die Entwurfsbereiche zu Compliance für Sicherheit und Governance umfassen die Aspekte, die außerhalb des Geltungsbereichs liegen. Umfassende Empfehlungen für die Identitäts- und Zugriffsverwaltung finden Sie unter Azure Identity Management and Access Control Security Best Practices.
Übersicht über den Entwurfsbereich
Identity bietet die Basis für ein breites Spektrum an Sicherheitsgarantien. Er gewährt Zugriff basierend auf Identitätsauthentifizierungs- und Autorisierungskontrollen in Clouddiensten. Die Zugriffssteuerung schützt Daten und Ressourcen und bestimmt, welche Anforderungen zulässig sein sollen.
Die Identitäts- und Zugriffsverwaltung trägt zur Sicherung der internen und externen Grenzen einer öffentlichen Cloudumgebung bei. Es ist die Grundlage jeder sicheren und vollständig kompatiblen öffentlichen Cloudarchitektur.
In den folgenden Artikeln werden Entwurfsüberlegungen und Empfehlungen für die Identitäts- und Zugriffsverwaltung in einer Cloudumgebung untersucht:
- Hybride Identität mit Active Directory und Microsoft Entra ID
- Landezonen-Identität und Zugriffsmanagement
- Anwendungsidentität und Zugriffsverwaltung
Anleitungen zum Entwerfen von Lösungen in Azure mithilfe von etablierten Mustern und Methoden finden Sie unter Design der Identitätsarchitektur.
Tipp
Wenn Sie über mehrere Microsoft Entra ID-Mandanten verfügen, finden Sie weitere Informationen unter Azure-Zielzonen und mehrere Microsoft Entra-Mandanten.