Condividi tramite

Area di progettazione della gestione delle identità e degli accessi

  • Articolo

L'area di progettazione della gestione delle identità e degli accessi offre procedure consigliate che è possibile usare per stabilire le basi dell'architettura cloud pubblica sicura e completamente conforme.

Le aziende possono avere paesaggi tecnologici complessi e eterogenei, quindi la sicurezza è fondamentale. Una solida gestione delle identità e degli accessi costituisce la base della protezione moderna creando un perimetro di sicurezza in un cloud pubblico. I controlli di autorizzazione e accesso assicurano che solo gli utenti autenticati con dispositivi verificati possano accedere e amministrare applicazioni e risorse. Garantisce che l'utente giusto possa accedere alle risorse giuste al momento giusto e per il giusto motivo. Fornisce anche la registrazione di controllo affidabile e il non ripudio delle azioni relative all'identità dell'utente o del carico di lavoro. È necessario fornire controllo di accesso aziendale coerente, inclusi l'accesso utente, il controllo e i piani di gestione, l'accesso esterno e l'accesso con privilegi, per migliorare la produttività e ridurre il rischio di escalation o esfiltrazione di dati non autorizzati.

Azure offre un set completo di servizi, strumenti e architetture di riferimento che consentono all'organizzazione di creare ambienti altamente sicuri e operativi efficienti. Sono disponibili diverse opzioni per la gestione dell'identità in un ambiente cloud. Ogni opzione varia in termini di costi e complessità. Determinare i servizi di gestione delle identità basati sul cloud in base a quanto avete bisogno di integrarli con la vostra infrastruttura di identità locale esistente. Per ulteriori informazioni, vedere Guida decisionale sull'identità.

Gestione delle identità e degli accessi nelle zone di destinazione di Azure

La gestione delle identità e degli accessi è una considerazione fondamentale nelle zone di destinazione della piattaforma e dell'applicazione. In base al principio di progettazione della democratizzazione delle sottoscrizioni, i proprietari delle applicazioni dovrebbero avere l'autonomia di gestire autonomamente le proprie applicazioni e risorse, con un intervento minimo del team della piattaforma. Le zone di destinazione sono un limite di sicurezza e la gestione delle identità e degli accessi consente di controllare la separazione di una zona di destinazione da un'altra, insieme a componenti come rete e Criteri di Azure. Applicare una progettazione affidabile per la gestione delle identità e degli accessi per ottenere l'isolamento della zona di destinazione dell'applicazione.

Il team della piattaforma è responsabile del fondamento della gestione delle identità e degli accessi, inclusa la distribuzione e la gestione di servizi di directory centralizzati, ad esempio Microsoft Entra ID, Microsoft Entra Domain Services e Active Directory Domain Services (AD DS). Amministratori e utenti dell'area di destinazione delle applicazioni che accedono alle applicazioni usano questi servizi.

Il team dell'applicazione è responsabile della gestione delle identità e degli accessi delle applicazioni, inclusa la protezione dell'accesso degli utenti alle applicazioni e tra i componenti dell'applicazione, ad esempio il database SQL di Azure, le macchine virtuali e Archiviazione di Azure. In un'architettura di zona di destinazione ben implementata, il team dell'applicazione può utilizzare facilmente i servizi offerti dal team della piattaforma.

Molti dei concetti fondamentali della gestione delle identità e degli accessi sono gli stessi nelle zone di destinazione della piattaforma e dell'applicazione, ad esempio il controllo degli accessi in base al ruolo e il principio dei privilegi minimi.

Revisione dell'area di progettazione

Funzioni: La gestione delle identità e degli accessi richiede il supporto di una o più delle seguenti funzioni. I ruoli che eseguono queste funzioni possono aiutare a prendere e implementare decisioni.

Ambito: L'obiettivo di questa area di progettazione è aiutare a valutare le opzioni per l'identità e le basi di accesso. Quando si progetta la strategia di gestione delle identità, è necessario eseguire le attività seguenti:

  • Autenticare utenti e identità dei carichi di lavoro.
  • Assegnare l'accesso alle risorse.
  • Determinare i requisiti di base per la separazione dei compiti.
  • Sincronizzare le identità ibride con Microsoft Entra ID.

Fuori ambito: la gestione delle identità e degli accessi costituisce una base per il controllo di accesso appropriato, ma non copre aspetti più avanzati, ad esempio:

  • Modello Zero Trust.
  • Gestione operativa dei privilegi elevati.
  • Protezioni automatizzate per evitare errori comuni di identità e accesso.

Le aree di progettazione della conformità per la sicurezza e la governance affrontano gli aspetti fuori ambito. Per raccomandazioni complete per la gestione delle identità e degli accessi, vedere Procedure consigliate per la sicurezza dei controlli di accesso e gestione delle identità di Azure.

Panoramica dell'area di progettazione

L'identità fornisce la base per un'ampia gamma di garanzie di sicurezza. Concede l'accesso in base ai controlli di autenticazione e autorizzazione delle identità nei servizi cloud. Il controllo di accesso protegge i dati e le risorse e consente di determinare quali richieste devono essere consentite.

La gestione delle identità e degli accessi consente di proteggere i limiti interni ed esterni di un ambiente cloud pubblico. È la base di qualsiasi architettura cloud pubblica sicura e completamente conforme.

Gli articoli seguenti esaminano le considerazioni di progettazione e le raccomandazioni per la gestione delle identità e degli accessi in un ambiente cloud:

Per indicazioni sulla progettazione di soluzioni in Azure usando modelli e procedure stabiliti, vedere Progettazione dell'architettura delle identità.

Suggerimento

Se sono presenti più tenant di Microsoft Entra ID, vedere zone di destinazione di Azure e più tenant di Microsoft Entra.

Passaggi successivi

Identità ibrida con Active Directory e Microsoft Entra ID