Procedure di sicurezza consigliate
Quando si usa Azure Lighthouse, è importante considerare la sicurezza e il controllo di accesso. Gli utenti nel tenant avranno accesso diretto alle sottoscrizioni e ai gruppi di risorse dei clienti, quindi è importante eseguire le operazioni necessarie per mantenere la sicurezza del tenant. È anche consigliabile abilitare l'accesso minimo necessario per gestire efficacemente le risorse dei clienti. In questo argomento vengono fornite indicazioni utili per implementare queste procedure di sicurezza.
Suggerimento
Queste raccomandazioni si applicano anche alle aziende che gestiscono più tenant con Azure Lighthouse.
Richiedere l'autenticazione a più fattori di Microsoft Entra
Autenticazione a più fattori di Microsoft Entra (definita anche verifica in due passaggi) impedisce agli utenti malintenzionati di ottenere l'accesso a un account richiedendo più passaggi di autenticazione. È necessario richiedere l'autenticazione a più fattori di Microsoft Entra per tutti gli utenti del tenant di gestione, inclusi gli utenti che avranno accesso alle risorse delegate dei clienti.
È consigliabile chiedere ai clienti di implementare anche l'autenticazione a più fattori Microsoft Entra nei tenant.
Importante
I criteri di accesso condizionale impostati nel tenant di un cliente non si applicano agli utenti che accedono alle risorse del cliente tramite Azure Lighthouse. Solo i criteri impostati nel tenant di gestione si applicano a tali utenti. È consigliabile richiedere l'autenticazione a più fattori dii Microsoft Entra sia per il tenant di gestione che per il tenant gestito (cliente).
Assegnare le autorizzazioni ai gruppi, usando il principio dei privilegi minimi
Per semplificare la gestione, usare i gruppi di Entra di Microsoft per ogni ruolo necessario per gestire le risorse dei clienti. Ciò consente di aggiungere o rimuovere singoli utenti al gruppo in base alle esigenze, invece di assegnare le autorizzazioni direttamente a ogni utente.
Importante
Per aggiungere autorizzazioni per un gruppo Microsoft Entra, il Tipo di gruppo deve essere impostato su Sicurezza. Questa opzione è selezionata quando viene creato il gruppo. Per altre informazioni, vedere Tipi di gruppo.
Quando si crea la struttura delle autorizzazioni, assicurarsi di seguire il principio dei privilegi minimi in modo che gli utenti dispongano solo delle autorizzazioni necessarie per completare il proprio processo. La limitazione delle autorizzazioni per gli utenti può contribuire a ridurre la probabilità di errori accidentali.
È ad esempio possibile usare una struttura simile alla seguente:
| Nome gruppo | Type | principalId | Definizione del ruolo | Un ID di definizione del ruolo |
|---|---|---|---|---|
| Architetti | Gruppo utenti | <principalId> | Collaboratore | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Valutazione | Gruppo utenti | <principalId> | Lettore | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Specialisti di macchine virtuali | Gruppo utenti | <principalId> | Collaboratore macchina virtuale | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automazione | Nome dell'entità servizio (SPN) | <principalId> | Collaboratore | b24988ac-6180-42a0-ab88-20f7382dd24c |
Dopo aver creato questi gruppi, è possibile assegnare gli utenti in base alle esigenze. Aggiungere solo gli utenti che devono avere l'accesso concesso da tale gruppo.
Assicurarsi di esaminare regolarmente l'appartenenza ai gruppi e rimuovere tutti gli utenti che non sono più necessari per includere.
Tenere presente che, quando si esegue l'onboarding di clienti tramite un'offerta di servizio gestito pubblica, qualsiasi gruppo (o utente o entità servizio) incluso avrà le stesse autorizzazioni per ogni cliente che acquista il piano. Per assegnare gruppi diversi per lavorare con clienti diversi, è necessario pubblicare un piano privato separato esclusivo per ogni cliente o eseguire l'onboarding dei clienti singolarmente usando i modelli di Azure Resource Manager. Ad esempio, è possibile pubblicare un piano pubblico con accesso molto limitato, quindi collaborare direttamente con ogni cliente per eseguire l'onboarding delle risorse usando un modello di risorsa di Azure personalizzato che concede l'accesso aggiuntivo in base alle esigenze.
Suggerimento
È anche possibile creare autorizzazioni idonee che consentono agli utenti del tenant di gestione di elevare temporaneamente i privilegi del proprio ruolo. Quando si usano autorizzazioni idonee, è possibile ridurre al minimo il numero di assegnazioni permanenti degli utenti ai ruoli con privilegi, riducendo i rischi di sicurezza correlati all'accesso con privilegi da parte degli utenti nel tenant. Questa funzionalità presenta requisiti di licenza specifici. Per altre informazioni, vedere Creare autorizzazioni idonee.
Passaggi successivi
- Esaminare le informazioni sulla baseline di sicurezza per comprendere il modo in cui le linee guida del benchmark di sicurezza cloud Microsoft si applicano ad Azure Lighthouse.
- Distribuire l'autenticazione a più fattori di Microsoft Entra.
- Informazioni sulle esperienze di gestione tra tenant.