Compartir a través de


Recomendaciones para la administración de identidad y acceso

Se aplica a esta recomendación de lista de comprobación de seguridad de Azure Well-Architected Framework:

SE:05 Implemente la administración estricta, condicional y auditable de identidades y acceso (IAM) en todos los usuarios de cargas de trabajo, miembros del equipo y componentes del sistema. Limite el acceso exclusivamente a según sea necesario. Use estándares modernos del sector para todas las implementaciones de autenticación y autorización. Restrinja y audite rigurosamente el acceso que no se basa en la identidad.

En esta guía se describen las recomendaciones para autenticar y autorizar identidades que intentan acceder a los recursos de carga de trabajo.

Desde una perspectiva de control técnico, la identidad siempre es el perímetro principal. Este ámbito no solo incluye los bordes de la carga de trabajo. También incluye componentes individuales que están dentro de la carga de trabajo. Las identidades típicas incluyen:

  • Humanos. Usuarios, administradores, operadores, auditores y actores incorrectos de la aplicación.

  • Sistemas. Identidades de carga de trabajo, identidades administradas, claves de API, entidades de servicio y recursos de Azure.

  • Anónimo. Entidades que no han proporcionado ninguna evidencia sobre quiénes son.

Definiciones 

Letra chica Definición
Autenticación (AuthN) Proceso que comprueba que una identidad es quién o lo que dice que es.
Autorización (AuthZ) Proceso que comprueba si una identidad tiene permiso para realizar una acción solicitada.
Acceso condicional Conjunto de reglas que permite acciones basadas en criterios especificados.
IdP Un proveedor de identidades, como microsoft Entra ID.
Rol Función de trabajo o título que tiene un conjunto de responsabilidades y acciones.
Claves previamente compartidas Tipo de secreto que se comparte entre un proveedor y un consumidor y que se usa a través de un mecanismo seguro y acordado.
Identidad del recurso Una identidad definida para los recursos en la nube administrados por la plataforma.
Role Un conjunto de permisos que definen lo que un usuario o grupo puede hacer.
Ámbito Diferentes niveles de jerarquía organizativa en los que se permite que un rol funcione. También un grupo de características de un sistema.
Entidad de seguridad Una identidad que proporciona permisos. Puede ser un usuario, un grupo o una entidad de servicio. Los miembros del grupo obtienen el mismo nivel de acceso.
Identidad del usuario Una identidad para una persona, como un empleado o un usuario externo.
Identidad de la carga de trabajo Una identidad del sistema para una aplicación, servicio, script, contenedor u otro componente de una carga de trabajo que se usa para autenticarse en otros servicios y recursos.

Nota:

Una identidad se puede agrupar con otras identidades similares en un elemento primario denominado entidad de seguridad. Un grupo de seguridad es un ejemplo de una entidad de seguridad. Esta relación jerárquica simplifica el mantenimiento y mejora la coherencia. Dado que los atributos de identidad no se controlan en el nivel individual, también se reducen las posibilidades de errores. En este artículo, el término identidad es inclusiva de las entidades de seguridad.

Rol de un proveedor de identidades

Un proveedor de identidades (IdP) es un servicio hospedado en la nube que almacena y administra a los usuarios como identidades digitales.

Aproveche las funcionalidades proporcionadas por un IdP de confianza para la administración de identidades y acceso. No implemente sistemas personalizados para reemplazar un IdP. Los sistemas IdP se mejoran con frecuencia en función de los vectores de ataque más recientes mediante la captura de miles de millones de señales en varios inquilinos cada día. Microsoft Entra ID es el IdP para la plataforma en la nube de Azure.

Autenticación

La autenticación es un proceso que comprueba las identidades. La identidad solicitante es necesaria para proporcionar alguna forma de identificación verificable. Por ejemplo:

  • Un nombre de usuario y una contraseña.

  • Un secreto compartido previamente, como una clave de API que concede acceso.

  • Un token de firma de acceso compartido (SAS).

  • Certificado que se usa en la autenticación mutua tls.

Tanto como sea posible, el idP debe controlar el proceso de comprobación.

Authorization

La autorización es un proceso que permite o deniega las acciones solicitadas por la identidad comprobada. La acción puede estar operativa o relacionada con la administración de recursos.

La autorización requiere que asigne permisos a las identidades, que debe hacer mediante la funcionalidad proporcionada por el IdP.

Estrategias de diseño principales

Para obtener una vista holística de las necesidades de identidad de una carga de trabajo, debe catalogar los flujos, los recursos de carga de trabajo y los roles, y las acciones que realizarán los recursos y los roles. La estrategia debe cubrir todos los casos de uso que controlan los flujos que llegan a la carga de trabajo o sus componentes (acceso externo) y los flujos que llegan desde la carga de trabajo a otros orígenes (acceso interno) .

Cada caso de uso probablemente tendrá su propio conjunto de controles que necesita diseñar con una mentalidad de supuesto incumplimiento. En función de los requisitos de identidad del caso de uso o de los roles, identifique las opciones condicionales. Evite usar una solución para todos los casos de uso. Por el contrario, los controles no deben ser tan granulares que se introducen sobrecargas de administración innecesarias.

Debe registrar la pista de acceso a la identidad. Esto ayuda a validar los controles y puede usar los registros para las auditorías de cumplimiento.

Determinación de todas las identidades para la autenticación

  • Acceso de fuera hacia dentro. El diseño de identidad debe autenticar a todos los usuarios que accedan a la carga de trabajo con diversos fines. Por ejemplo, un usuario final que accede a la aplicación llamando a las API.

    En un nivel pormenorizados, es posible que los componentes de la carga de trabajo también necesiten acceso desde fuera. Por ejemplo, un operador que necesita acceso a través del portal o acceso al proceso para ejecutar comandos.

    Ambos son ejemplos de identidades de usuario que tienen diferentes roles.

  • Acceso de dentro hacia fuera. La aplicación tendrá que acceder a otros recursos. Por ejemplo, leer o escribir en la plataforma de datos, recuperar secretos del almacén de secretos y registrar telemetría en los servicios de supervisión. Incluso podría necesitar acceder a servicios de terceros. Estas necesidades de acceso requieren una identidad de carga de trabajo, que permite a la aplicación autenticarse en los demás recursos.

    El concepto se aplica en el nivel de componente. En el ejemplo siguiente, es posible que el contenedor necesite acceso a las canalizaciones de implementación para obtener su configuración. Estas necesidades de acceso requieren la identidad del recurso.

El IdP debe autenticar todas estas identidades.

Este es un ejemplo de cómo se puede implementar la identidad en una arquitectura:

Diagrama que muestra cómo se puede implementar la identidad en una arquitectura.

Determinación de acciones para la autorización

A continuación, debe saber qué está intentando hacer cada identidad autenticada para que esas acciones se puedan autorizar. Las acciones se pueden dividir por el tipo de acceso que requieren:

  • Acceso al plano de datos. Las acciones que tienen lugar en el plano de datos provocan la transferencia de datos para el acceso de dentro o fuera. Por ejemplo, una aplicación que lee datos de una base de datos y escribe datos en una base de datos, captura secretos o escribe registros en un receptor de supervisión. En el nivel de componente, el proceso que extrae o inserta imágenes en o desde un registro se considera operaciones del plano de datos.

  • Acceso al plano de control. Las acciones que tienen lugar en el plano de control hacen que se cree, modifique o elimine un recurso de Azure. Por ejemplo, los cambios en las propiedades de los recursos.

Las aplicaciones suelen tener como destino las operaciones del plano de datos, mientras que las operaciones suelen acceder tanto al control como a los planos de datos. Para identificar las necesidades de autorización, tenga en cuenta las acciones operativas que se pueden realizar en el recurso. Para obtener información sobre las acciones permitidas para cada recurso, consulte Operaciones del proveedor de recursos de Azure.

Proporcionar autorización basada en roles

En función de la responsabilidad de cada identidad, autorice las acciones que se deben permitir. No se debe permitir que una identidad haga más de lo que necesita. Antes de establecer reglas de autorización, debe tener un conocimiento claro de quién o qué está realizando solicitudes, qué rol puede hacer y en qué medida puede hacerlo. Esos factores conducen a opciones que combinan identidad, rol y ámbito.

Considere una identidad de carga de trabajo como ejemplo. La aplicación debe tener acceso al plano de datos a la base de datos, por lo que se deben permitir acciones de lectura y escritura en el recurso de datos. Sin embargo, ¿la aplicación necesita acceso al plano de control al almacén de secretos? Si la identidad de la carga de trabajo se ve comprometida por un actor incorrecto, ¿cuál sería el impacto en el sistema, en términos de confidencialidad, integridad y disponibilidad?

Asignación de roles

Un rol es un conjunto de permisos asignados a una identidad. Asigne roles que solo permitan que la identidad complete la tarea y no más. Cuando los permisos del usuario están restringidos a sus requisitos de trabajo, es más fácil identificar comportamientos sospechosos o no autorizados en el sistema.

Haga preguntas como estas:

  • ¿El acceso de solo lectura es suficiente?
  • ¿La identidad necesita permisos para eliminar recursos?

Limitar el nivel de acceso que los usuarios, las aplicaciones o los servicios tienen a los recursos de Azure reducen la posible superficie expuesta a ataques. Si concede solo los permisos mínimos necesarios para realizar tareas específicas, se reduce significativamente el riesgo de un ataque correcto o acceso no autorizado. Por ejemplo, los equipos de seguridad solo necesitan acceso de solo lectura a los atributos de seguridad para todos los entornos técnicos. Ese nivel es suficiente para evaluar los factores de riesgo, identificar posibles mitigaciones e informar sobre los riesgos.

Hay escenarios en los que los usuarios necesitan más acceso debido a la estructura organizativa y a la organización del equipo. Es posible que haya una superposición entre varios roles o que los usuarios individuales puedan realizar varios roles estándar. En este caso, use varias asignaciones de roles basadas en la función empresarial en lugar de crear un rol personalizado para cada uno de estos usuarios. Al hacerlo, los roles son más fáciles de administrar.

Evite permisos que hagan referencia específicamente a usuarios o recursos individuales. Los permisos pormenorizados y personalizados crean complejidad y confusión porque no pasan la intención de nuevos recursos similares. Esto puede crear una configuración heredada compleja que sea difícil de mantener y afectar negativamente tanto a la seguridad como a la confiabilidad.

Compensación: un enfoque de control de acceso pormenorizado permite una mejor auditoría y supervisión de las actividades del usuario.

Un rol también tiene un ámbito asociado. El rol puede funcionar en el grupo de administración, la suscripción, el grupo de recursos o el ámbito de recursos permitidos, o en otro ámbito personalizado. Incluso si la identidad tiene un conjunto limitado de permisos, ampliar el ámbito para incluir recursos que están fuera de la función de trabajo de la identidad es arriesgado. Por ejemplo, el acceso de lectura a todos los datos y el código fuente pueden ser peligrosos y deben controlarse.

Puede asignar roles a identidades mediante el control de acceso basado en rol (RBAC). Use siempre RBAC proporcionado por IdP para aprovechar las características que permiten aplicar el control de acceso de forma coherente y revocarlo rigurosamente.

Use roles integrados. Están diseñados para cubrir la mayoría de los casos de uso. Los roles personalizados son eficaces y a veces útiles, pero debe reservarlos para escenarios en los que los roles integrados no funcionarán. La personalización conduce a la complejidad que aumenta la confusión y hace que la automatización sea más compleja, desafiante y frágil. Todos estos factores afectan negativamente a la seguridad.

Conceda roles que comiencen con privilegios mínimos y agreguen más en función de sus necesidades operativas o de acceso a datos. Los equipos técnicos deben tener instrucciones claras para implementar permisos.

Si desea un control específico en RBAC, agregue condiciones en la asignación de roles en función del contexto, como acciones y atributos.

Realizar opciones de acceso condicional

No asigne a todas las identidades el mismo nivel de acceso. Base sus decisiones sobre dos factores principales:

  • Hora. Cuánto tiempo la identidad puede acceder a su entorno.

  • Privilegio. Nivel de permisos.

Esos factores no son mutuamente excluyentes. Una identidad comprometida que tiene más privilegios y duración ilimitada del acceso puede obtener más control sobre el sistema y los datos o usar ese acceso para seguir modificando el entorno. Restrinja esos factores de acceso como medida preventiva y controle el radio de explosión.

  • Los enfoques Just-In-Time (JIT) proporcionan los privilegios necesarios solo cuando son necesarios.

  • Just Enough Access (JEA) solo proporciona los privilegios necesarios.

Aunque el tiempo y el privilegio son los factores principales, existen otras condiciones que se aplican. Por ejemplo, también puede usar el dispositivo, la red y la ubicación desde los que se originó el acceso para establecer directivas.

Use controles seguros que filtren, detecten y bloqueen el acceso no autorizado, incluidos parámetros como la identidad y la ubicación del usuario, el estado del dispositivo, el contexto de la carga de trabajo, la clasificación de datos y las anomalías.

Por ejemplo, es posible que la carga de trabajo tenga que acceder a ella mediante identidades de terceros, como proveedores, asociados y clientes. Necesitan el nivel de acceso adecuado en lugar de los permisos predeterminados que proporcione a los empleados a tiempo completo. La diferenciación clara de las cuentas externas facilita la prevención y detección de ataques procedentes de estos vectores.

Su elección de IdP debe ser capaz de proporcionar esa diferenciación, proporcionar características integradas que concedan permisos basados en el privilegio mínimo y proporcionar inteligencia sobre amenazas integrada. Esto incluye la supervisión de solicitudes de acceso e inicios de sesión. El IdP de Azure es el identificador de Microsoft Entra. Para más información, consulte la sección facilitación de Azure de este artículo.

Protección de cuentas de impacto crítico

Las identidades administrativas presentan algunos de los riesgos de seguridad de mayor impacto porque las tareas que realizan requieren acceso con privilegios a un amplio conjunto de estos sistemas y aplicaciones. El riesgo o el uso indebido pueden tener un efecto perjudicial en su empresa y sus sistemas de información. La seguridad de la administración es una de las áreas de seguridad más críticas.

La protección del acceso con privilegios contra determinados adversarios requiere la adopción de un enfoque completo y meditado para aislar estos sistemas frente a los riesgos. Estas son algunas estrategias:

  • Minimice el número de cuentas de impacto crítico.

  • Use roles independientes en lugar de elevar privilegios para las identidades existentes.

  • Evite el acceso permanente o permanente mediante las características JIT de su IdP. Para situaciones de emergencia, siga un proceso de acceso de emergencia.

  • Use protocolos de acceso modernos , como la autenticación sin contraseña o la autenticación multifactor. Externalice esos mecanismos al IdP.

  • Aplicar atributos de seguridad clave mediante directivas de acceso condicional.

  • Retirar cuentas administrativas que no se usan.

Use una única identidad entre entornos y asocie una sola identidad al usuario o a la entidad de seguridad. La coherencia de las identidades en entornos locales y en la nube reduce los errores humanos y los riesgos de seguridad resultantes. Los equipos de ambos entornos que administran los recursos necesitan un origen coherente y autoritativo para cumplir las garantías de seguridad. Trabaje con el equipo de identidad central para asegurarse de que se sincronizan las identidades en entornos híbridos.

Riesgo: existe un riesgo asociado a la sincronización de identidades de privilegios elevados. Un atacante puede obtener el control total de los recursos locales y esto puede dar lugar a un compromiso correcto de una cuenta en la nube. Evalúe la estrategia de sincronización filtrando las cuentas que pueden agregar a la superficie expuesta a ataques.

Establecimiento de procesos para administrar el ciclo de vida de la identidad

El acceso a las identidades no debe durar más que los recursos a los que acceden las identidades. Asegúrese de que tiene un proceso para deshabilitar o eliminar identidades cuando haya cambios en la estructura del equipo o los componentes de software.

Esta guía se aplica al control de código fuente, los datos, los planos de control, los usuarios de la carga de trabajo, la infraestructura, las herramientas, la supervisión de datos, registros, métricas y otras entidades.

Establezca un proceso de gobernanza de identidades para administrar el ciclo de vida de las identidades digitales, los usuarios con privilegios elevados, los usuarios externos o invitados y los usuarios de cargas de trabajo. Implemente revisiones de acceso para asegurarse de que cuando las identidades abandonan la organización o el equipo, se quitan sus permisos de carga de trabajo.

Protección de secretos no basados en identidades

Los secretos de aplicación, como las claves previamente compartidas, deben considerarse puntos vulnerables en el sistema. En la comunicación bidireccional, si el proveedor o el consumidor están en peligro, se pueden introducir riesgos de seguridad significativos. Esas claves también pueden ser pesadas porque introducen procesos operativos.

Cuando pueda, evite usar secretos y considere la posibilidad de usar la autenticación basada en identidades para el acceso de usuario a la propia aplicación, no solo a sus recursos.

En la lista siguiente se proporciona un resumen de las instrucciones. Para obtener más información, consulte Recomendaciones para secretos de aplicación.

  • Trate estos secretos como entidades que se pueden extraer dinámicamente de un almacén de secretos. No deben codificarse de forma rígida en el código de la aplicación, scripts iaC, canalizaciones de implementación ni en ningún otro artefacto.

  • Asegúrese de que tiene la capacidad de revocar secretos.

  • Aplique prácticas operativas que controle tareas como la rotación de claves y la expiración.

Para obtener información sobre las directivas de rotación, consulte Automatización de la rotación de un secreto para los recursos que tienen dos conjuntos de credenciales de autenticación y Tutorial: Actualización de la frecuencia de rotación automática de certificados en Key Vault.

Mantener seguros los entornos de desarrollo

Todos los códigos y scripts, las herramientas de canalización y los sistemas de control de código fuente deben considerarse activos de carga de trabajo. El acceso a las escrituras debe estar cerrado con automatización y revisión del mismo nivel. El acceso de lectura al código fuente debe limitarse a los roles de forma necesaria. Los repositorios de código deben tener control de versiones y las revisiones de código de seguridad por pares deben ser una práctica habitual integrada con el ciclo de vida de desarrollo. Debe tener un proceso en vigor que examine los recursos periódicamente e identifique las vulnerabilidades más recientes.

Use identidades de carga de trabajo para conceder acceso a los recursos de entornos de implementación, como GitHub.

Mantenimiento de una pista de auditoría

Un aspecto de la administración de identidades es asegurarse de que el sistema es auditable. Las auditorías validan si las estrategias de vulneración de seguridad son eficaces. Mantener una pista de auditoría le ayuda a:

  • Compruebe que la identidad está autenticada con autenticación segura. Cualquier acción debe ser rastreable para evitar ataques de rechazo.

  • Detecte protocolos de autenticación débiles o que falten y obtenga visibilidad sobre los inicios de sesión de usuario y aplicación.

  • Evalúe el acceso de las identidades a la carga de trabajo en función de los requisitos de seguridad y cumplimiento y considere el riesgo de la cuenta de usuario, el estado del dispositivo y otros criterios y directivas que establezca.

  • Realizar un seguimiento del progreso o la desviación de los requisitos de cumplimiento.

La mayoría de los recursos tienen acceso al plano de datos. Debe conocer las identidades que acceden a los recursos y las acciones que realizan. Puede usar esa información para los diagnósticos de seguridad.

Para obtener más información, consulte Recomendaciones sobre la supervisión de la seguridad y el análisis de amenazas.

Facilitación de Azure

Se recomienda usar siempre protocolos de autenticación modernos que tengan en cuenta todos los puntos de datos disponibles y usen el acceso condicional. Microsoft Entra ID proporciona administración de identidades y acceso en Azure. Abarca el plano de administración de Azure y se integra con los planos de datos de la mayoría de los servicios de Azure. Microsoft Entra ID es el inquilino asociado a la suscripción de carga de trabajo. Realiza un seguimiento de las identidades y administra sus permisos permitidos y simplifica la administración general para minimizar el riesgo de supervisión o error humano.

Estas funcionalidades se integran de forma nativa en el mismo modelo de permisos e identidad de Microsoft Entra para segmentos de usuario:

  • Microsoft Entra ID. Empleados y recursos empresariales.

  • Id. externa de Microsoft Entra. Socios.

  • Azure AD B2C. Customers.

  • Lista de compatibilidad de federación de Microsoft Entra. Soluciones de federación de terceros.

Puede usar microsoft Entra ID para la autenticación y autorización de aplicaciones personalizadas a través de la Biblioteca de autenticación de Microsoft (MSAL) o características de plataforma, como la autenticación para aplicaciones web. Abarca el plano de administración de Azure, los planos de datos de la mayoría de los servicios de Azure y las funcionalidades de integración de las aplicaciones.

Puede mantenerse al día visitando Novedades de Microsoft Entra ID.

Compensación: El identificador de Microsoft Entra es un único punto de error igual que cualquier otro servicio fundamental. Microsoft no tiene ninguna solución alternativa hasta que Microsoft corrija la interrupción. Sin embargo, el amplio conjunto de características de Microsoft Entra supera el riesgo de usar soluciones personalizadas.

Soporte técnico de Azure abrir protocolos como OAuth2 y OpenID Connect. Se recomienda usar estos mecanismos de autenticación y autorización estándar en lugar de diseñar sus propios flujos.

Azure RBAC

RBAC de Azure representa las entidades de seguridad en el identificador de Entra de Microsoft. Todas las asignaciones de roles se realizan a través de Azure RBAC. Aproveche los roles integrados que proporcionan la mayoría de los permisos que necesita. Para más información, consulte Roles integrados de Microsoft Entra.

Estos son algunos casos de uso:

Para más información sobre RBAC, consulte Procedimientos recomendados para RBAC de Azure.

Para obtener información sobre los controles basados en atributos, consulte ¿Qué es Azure ABAC?.

Identidad de la carga de trabajo

Microsoft Entra ID puede controlar la identidad de la aplicación. La entidad de servicio asociada a la aplicación puede dictar su ámbito de acceso.

Para más información, consulte ¿Qué son las identidades de carga de trabajo?.

La entidad de servicio también se abstrae cuando se usa una identidad administrada. La ventaja es que Azure administra todas las credenciales de la aplicación.

No todos los servicios admiten identidades administradas. Si no puede usar identidades administradas, puede usar entidades de servicio. Sin embargo, el uso de entidades de servicio aumenta la sobrecarga de administración. Para más información, consulte ¿Qué es Managed Identities for Azure Resources?

Identidad del recurso

El concepto de identidades administradas se puede ampliar a los recursos de Azure. Los recursos de Azure pueden usar identidades administradas para autenticarse en otros servicios que admiten la autenticación de Microsoft Entra. Para obtener más información, consulte Servicios de Azure que pueden usar identidades administradas para acceder a otros servicios.

Directivas de acceso condicional

El acceso condicional describe la directiva para una decisión de acceso. Para usar el acceso condicional, debe comprender las restricciones necesarias para el caso de uso. Configure el acceso condicional de Microsoft Entra mediante la configuración de una directiva de acceso para que se base en sus necesidades operativas.

Para obtener más información, consulte Acceso condicional: Usuarios, grupos e identidades de carga de trabajo.

Administración de acceso de grupos

En lugar de conceder permisos a usuarios específicos, asigne acceso a los grupos en Microsoft Entra ID. Si no existe un grupo, trabaje con el equipo de identidad para crear uno. Después, puede agregar y quitar miembros del grupo fuera de Azure y asegurarse de que los permisos están actualizados. También puede usar el grupo para otros fines, como listas de distribución de correo.

Para obtener más información, consulte Protección del control de acceso mediante grupos en Microsoft Entra ID.

Detección de amenazas

Protección de id. de Microsoft Entra puede ayudarle a detectar, investigar y corregir riesgos basados en identidades. Para obtener más información, consulte ¿Qué es Identity Protection?.

La detección de amenazas puede adoptar la forma de reaccionar a una alerta de actividad sospechosa o buscar de forma proactiva eventos anómalos en los registros de actividad. Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel facilita la detección de actividades sospechosas. Para más información, consulte Identificación de amenazas avanzadas con UEBA.

Sistemas híbridos

En Azure, no sincronice las cuentas con el identificador de Microsoft Entra que tengan privilegios elevados en la instancia de Active Directory existente. Esta sincronización se bloquea en la configuración predeterminada de Microsoft Entra Connect Sync, por lo que solo tiene que confirmar que no ha personalizado esta configuración.

Para obtener información sobre el filtrado en microsoft Entra ID, consulte Microsoft Entra Connect Sync: Configurar el filtrado.

Registro de identidades

Habilite la configuración de diagnóstico en los recursos de Azure para emitir información que puede usar como pista de auditoría. La información de diagnóstico muestra qué identidades intentan acceder a qué recursos y el resultado de esos intentos. Los registros recopilados se envían a Azure Monitor.

Compensación: el registro incurre en costos debido al almacenamiento de datos que se usa para almacenar los registros. También puede provocar un impacto en el rendimiento, especialmente en el código y en las soluciones de registro que agregue a la aplicación.

Ejemplo

En el ejemplo siguiente se muestra una implementación de identidad. Los distintos tipos de identidades se usan juntos para proporcionar los niveles de acceso necesarios.

Diagrama que muestra una implementación de identidad.

Componentes de identidad

  • Identidades administradas por el sistema. Microsoft Entra ID proporciona acceso a los planos de datos de servicio que no se enfrentan a los usuarios, como Azure Key Vault y almacenes de datos. Estas identidades también controlan el acceso, a través de RBAC, al plano de administración de Azure para componentes de carga de trabajo, agentes de implementación y miembros del equipo.

  • Identidades de la carga de trabajo. Los servicios de aplicación del clúster de Azure Kubernetes Service (AKS) usan identidades de carga de trabajo para autenticarse en otros componentes de la solución.

  • Identidades administradas. Los componentes del sistema del rol de cliente usan identidades administradas por el sistema, incluidos los agentes de compilación.

  • Identidades humanas. La autenticación de usuario y operador se delega al identificador de Microsoft Entra o al id. de Microsoft Entra (nativo, B2B o B2C).

La seguridad de los secretos previamente compartidos es fundamental para cualquier aplicación. Azure Key Vault proporciona un mecanismo de almacenamiento seguro para estos secretos, incluidos Redis y secretos de terceros.

Se usa un mecanismo de rotación para ayudar a garantizar que los secretos no estén en peligro. Los tokens para la implementación de Plataforma de identidad de Microsoft de OAuth 2 y OpenID Connect se usan para autenticar a los usuarios.

Azure Policy se usa para asegurarse de que los componentes de identidad como Key Vault usan RBAC en lugar de directivas de acceso. JIT y JEA proporcionan permisos permanentes tradicionales para los operadores humanos.

Los registros de acceso están habilitados en todos los componentes a través de Azure Diagnostics o mediante código para componentes de código.

Lista de comprobación de seguridad

Consulte el conjunto completo de recomendaciones.