Zone de conception pour la gestion des identités et des accès

La zone de conception de gestion des identités et des accès fournit les meilleures pratiques que vous pouvez utiliser pour établir la base de votre architecture de cloud public sécurisée et entièrement conforme.

Les entreprises peuvent avoir des paysages technologiques complexes et hétérogènes, de sorte que la sécurité est essentielle. La gestion robuste des identités et des accès constitue la base de la protection moderne en créant un périmètre de sécurité dans un cloud public. Les contrôles d’autorisation et d’accès garantissent que seuls les utilisateurs authentifiés avec des appareils vérifiés peuvent accéder aux applications et ressources et les administrer. Il garantit que la personne appropriée peut accéder aux ressources appropriées au bon moment et pour la bonne raison. Il fournit également une journalisation d'audit fiable et garantit la non-répudiation des actions liées à l'identité des utilisateurs ou des charges de travail. Vous devez fournir un contrôle d’accès d’entreprise cohérent , notamment les plans d’accès utilisateur, de contrôle et de gestion, l’accès externe et l’accès privilégié, afin d’améliorer la productivité et d’atténuer le risque d’escalade de privilèges non autorisés ou d’exfiltration de données.

Azure offre un ensemble complet de services, d’outils et d’architectures de référence pour aider votre organisation à créer des environnements hautement sécurisés et opérationnels efficaces. Il existe plusieurs options pour gérer l’identité dans un environnement cloud. Chaque option varie en coûts et en complexité. Déterminez vos services d’identité basés sur le cloud en fonction de la quantité dont vous avez besoin pour les intégrer à votre infrastructure d’identité locale existante. Pour plus d’informations, consultez le guide de décision en matière d'identité .

Gestion des identités et des accès dans les zones d’atterrissage Azure

La gestion des identités et des accès est une considération essentielle dans les zones d’atterrissage de plateforme et d’application. Selon le principe de conception de démocratisation des abonnements, les propriétaires d’applications doivent disposer de l’autonomie nécessaire pour gérer leurs propres applications et ressources avec l'intervention minimale de l'équipe de la plateforme. Les zones d’atterrissage sont une limite de sécurité, et la gestion des identités et des accès permet de contrôler la séparation d’une zone d’atterrissage d’une autre, ainsi que des composants tels que la mise en réseau et Azure Policy. Appliquez une conception robuste de gestion des identités et des accès pour faciliter l’isolation de la zone d’atterrissage des applications.

L’équipe de plateforme est chargée de la base de la gestion des identités et des accès, notamment le déploiement et la gestion des services d’annuaire centralisés, tels que Microsoft Entra ID, Microsoft Entra Domain Services et Active Directory Domain Services (AD DS). Les administrateurs de zone d’atterrissage des applications et les utilisateurs qui accèdent aux applications consomment ces services.

L’équipe d’application est responsable de la gestion des identités et des accès de ses applications, notamment la sécurisation de l’accès utilisateur aux applications et entre les composants d’application, tels qu’Azure SQL Database, les machines virtuelles et le Stockage Azure. Dans une architecture de zone d’atterrissage bien implémentée, l’équipe d’application peut facilement consommer des services fournis par l’équipe de plateforme.

De nombreux concepts fondamentaux de la gestion des identités et des accès sont identiques dans les zones d’atterrissage de plateforme et d’application, telles que le contrôle d’accès en fonction du rôle (RBAC) et le principe du moindre privilège.

Révision de la zone de conception

Functions : La gestion des identités et des accès (IAM) nécessite le soutien d'une ou plusieurs des fonctions suivantes. Les rôles qui exécutent ces fonctions peuvent aider à prendre et à implémenter des décisions.

• fonctions de plateforme cloud
• Fonctions du centre d’excellence du cloud
• fonctions de l’équipe de sécurité cloud

Étendue : L’objectif de cette zone de conception est de vous aider à évaluer les options de votre base d’identité et d’accès. Lorsque vous concevez votre stratégie d’identité, vous devez effectuer les tâches suivantes :

• Authentifier les utilisateurs et les identités de charge de travail.
• Attribuez l’accès aux ressources.
• Déterminez les exigences principales pour la séparation des tâches.
• Synchronisez les identités hybrides avec l’ID Microsoft Entra.

Hors de portée : gestion des identités et des accès constitue une base pour le contrôle d’accès approprié, mais il ne couvre pas les aspects plus avancés tels que :

• Modèle Confiance Zéro.
• Gestion opérationnelle des privilèges élevés.
• Garde-fous automatisés pour empêcher les erreurs courantes d’identité et d’accès.

Les zones de conception de conformité pour la sécurité et la gouvernance traitent des aspects hors cadre. Pour obtenir des recommandations complètes pour la gestion des identités et des accès, consultez meilleures pratiques de sécurité de gestion des identités et de contrôle d’accès Azure.

Vue d’ensemble de la zone de conception

L’identité fournit la base d’un large éventail d’assurance de sécurité. Il accorde l’accès en fonction des contrôles d’authentification et d’autorisation d’identité dans les services cloud. Le contrôle d’accès protège les données et les ressources et permet de déterminer les demandes qui doivent être autorisées.

La gestion des identités et des accès permet de sécuriser les limites internes et externes d’un environnement de cloud public. Il s’agit de la base de n’importe quelle architecture de cloud public sécurisée et entièrement conforme.

Les articles suivants examinent les considérations et recommandations relatives à la conception pour la gestion des identités et des accès dans un environnement cloud :

• identité hybride avec Active Directory et Microsoft Entra ID
• Gestion des identités et des accès pour la zone d’atterrissage
• gestion des identités et des accès des applications

Pour obtenir des conseils sur la conception de solutions sur Azure à l’aide de modèles et de pratiques établis, consultez l'architecture d'identité .

Conseil

Si vous avez plusieurs locataires Microsoft Entra, consultez l’article Zones d’atterrissage Azure et plusieurs locataires Microsoft Entra.

Étapes suivantes

identité hybride avec Active Directory et Microsoft Entra ID