Beveiligingsoverzicht van Azure Arc-resourcebrug
In dit artikel worden de beveiligingsconfiguratie en overwegingen beschreven die u moet evalueren voordat u Azure Arc-resourcebrug in uw onderneming implementeert.
Beheerde identiteit
Standaard wordt een door het Microsoft Entra-systeem toegewezen beheerde identiteit gemaakt en toegewezen aan de Azure Arc-resourcebrug. Azure Arc-resourcebrug ondersteunt momenteel alleen een door het systeem toegewezen identiteit. De clusteridentityoperator identiteit initieert de eerste uitgaande communicatie en haalt het MSI-certificaat (Managed Service Identity) op dat door andere agents wordt gebruikt voor communicatie met Azure.
Identiteits- en toegangsbeheer
Azure Arc-resourcebrug wordt weergegeven als een resource in een resourcegroep binnen een Azure-abonnement. Toegang tot deze resource wordt beheerd door standaard op rollen gebaseerd toegangsbeheer van Azure. Op de pagina Toegangsbeheer (IAM) in Azure Portal kunt u controleren wie toegang heeft tot uw Azure Arc-resourcebrug.
Gebruikers en toepassingen die de rol Inzender of Beheerder aan de resourcegroep krijgen, kunnen wijzigingen aanbrengen in de resourcebrug, waaronder het implementeren of verwijderen van clusterextensies.
Gegevensresidentie
Azure Arc-resourcebrug volgt de regelgeving voor gegevenslocatie die specifiek is voor elke regio. Indien van toepassing, wordt een back-up gemaakt van gegevens in een secundaire paarregio in overeenstemming met de voorschriften voor gegevenslocatie. Anders bevinden gegevens zich alleen in die specifieke regio. Gegevens worden niet opgeslagen of verwerkt in verschillende geografische gebieden.
Versleuteling van inactieve gegevens
Azure Arc-resourcebrug slaat resourcegegevens op in Azure Cosmos DB. Zoals beschreven in gegevensversleuteling in Azure Cosmos DB, worden alle gegevens in rust versleuteld.
Beveiligingscontrolelogboeken
Het activiteitenlogboek is een Azure-platformlogboek dat inzicht biedt in gebeurtenissen op abonnementsniveau. Dit omvat het bijhouden wanneer de Azure Arc-resourcebrug wordt gewijzigd, verwijderd of toegevoegd.
U kunt het activiteitenlogboek bekijken in Azure Portal of vermeldingen ophalen met PowerShell en Azure CLI. Gebeurtenissen in activiteitenlogboeken worden standaard 90 dagen bewaard en vervolgens verwijderd.
Volgende stappen
- Meer informatie over systeemvereisten en netwerkvereisten voor Azure Arc-resourcebrug.
- Bekijk het overzicht van de Azure Arc-resourcebrug voor meer informatie over functies en voordelen.
- Meer informatie over Azure Arc.