Beveiliging binnen Azure Dev/Test-abonnement
Het veilig houden van uw resources is een gezamenlijke inspanning tussen uw cloudprovider, Azure en u. Azure Dev/Test-abonnementen en de Microsoft Defender voor Cloud bieden u de hulpprogramma's die nodig zijn om uw netwerk te beveiligen, uw services te beveiligen en ervoor te zorgen dat u over uw beveiligingspostuur beschikt.
Belangrijke hulpprogramma's in Azure Dev/Test-abonnementen helpen u bij het maken van beveiligde toegang tot uw resources:
- Azure-beheergroepen
- Azure Lighthouse
- Bewaking van tegoeden
- Microsoft Entra ID
Azure-beheergroepen
Wanneer u uw Azure Dev/Test-abonnementen inschakelt en instelt, implementeert Azure een standaardresourcehiërarchie voor het beheren van identiteiten en toegang tot resources in één Microsoft Entra-domein. Met de resourcehiërarchie kan uw organisatie sterke beveiligingsperimeterinstellingen instellen voor uw resources en gebruikers.
Uw resources, resourcegroepen, abonnementen, beheergroepen en tenant vormen gezamenlijk uw resourcehiërarchie. Het bijwerken en wijzigen van deze instellingen in aangepaste Azure-rollen of Azure-beleidstoewijzingen kan van invloed zijn op elke resource in uw resourcehiërarchie. Het is belangrijk om de resourcehiërarchie te beschermen tegen wijzigingen die negatieve gevolgen kunnen hebben voor alle resources.
Azure-beheergroepen zijn een belangrijk aspect van het beheren van toegang en het beveiligen van uw resources in één tenant. Met Azure-beheergroepen kunt u quota, Azure-beleid en beveiliging instellen op verschillende typen abonnementen. Deze groepen zijn een essentieel onderdeel van het ontwikkelen van beveiliging voor de dev/test-abonnementen van uw organisatie.
Zoals u kunt zien, wordt met behulp van beheergroepen de standaardhiërarchie gewijzigd en wordt een niveau toegevoegd voor de beheergroepen. Dit gedrag kan onvoorziene omstandigheden en gaten in beveiliging creëren als u niet het juiste proces volgt om uw resourcehiërarchie te beveiligen
Waarom zijn Azure-beheergroepen nuttig?
Bij het ontwikkelen van beveiligingsbeleid voor dev/test-abonnementen van uw organisatie, kunt u ervoor kiezen om meerdere dev/test-abonnementen per organisatie-eenheid of line-of-business-abonnement te hebben. In het volgende diagram ziet u een visual van die beheergroep.
U kunt er ook voor kiezen om één dev/test-abonnement te hebben voor al uw verschillende eenheden.
Uw Azure-beheergroepen en dev/test-abonnementen fungeren als een beveiligingsbarrière binnen uw organisatiestructuur.
Deze beveiligingsbarrière heeft twee onderdelen:
- Identiteit en toegang: mogelijk moet u toegang tot specifieke resources segmenteren
- Gegevens: Verschillende abonnementen voor resources die toegang hebben tot persoonlijke gegevens
Microsoft Entra-tenants gebruiken
Een tenant is een toegewezen instantie van Microsoft Entra ID die een organisatie of app-ontwikkelaar ontvangt wanneer de organisatie of app-ontwikkelaar een relatie met Microsoft maakt, zoals registreren voor Azure, Microsoft Intune of Microsoft 365.
Elke Microsoft Entra-tenant is gescheiden van andere Microsoft Entra-tenants. Elke Microsoft Entra-tenant heeft een eigen weergave van werk- en schoolidentiteiten, consumentenidentiteiten (als het een Azure AD B2C-tenant is) en app-registraties. Met een app-registratie binnen uw tenant kunt u verificatie toestaan vanaf accounts binnen alleen uw tenants of voor alle tenants.
Als u de identiteitsinfrastructuur van uw organisatie verder wilt scheiden dan beheergroepen binnen één tenant, kunt u ook een andere tenant maken met een eigen resourcehiërarchie.
Een eenvoudige manier om afzonderlijke resources uit te voeren en gebruikers maken een nieuwe Microsoft Entra-tenant.
Een nieuwe Microsoft Entra-tenant maken
Als u geen Microsoft Entra-tenant hebt of een nieuwe tenant wilt maken voor ontwikkeling, raadpleegt u de snelstartgids of volgt u de ervaring voor het maken van mappen. U moet de volgende informatie opgeven om uw nieuwe tenant te maken:
- Naam van de organisatie
- Eerste domein - maakt deel uit van /*.onmicrosoft.com. U kunt het domein later aanpassen.
- Land of regio
Meer informatie over het maken en instellen van Microsoft Entra-tenants
Azure Lighthouse gebruiken om meerdere tenants te beheren
Azure Lighthouse maakt cross- en multitenant-beheer mogelijk, waardoor meer automatisering, schaalbaarheid en verbeterde governance mogelijk is voor resources en tenants. Serviceproviders kunnen beheerde services leveren met behulp van uitgebreide en robuuste beheerhulpprogramma's die zijn ingebouwd in het Azure-platform. Klanten houden controle over wie toegang heeft tot hun tenant, welke resources ze openen en welke acties kunnen worden uitgevoerd.
Een veelvoorkomend scenario voor Azure Lighthouse is het beheren van resources in de Microsoft Entra-tenants van de klant. De mogelijkheden van Azure Lighthouse kunnen echter ook worden gebruikt om crosstenantbeheer binnen een onderneming die gebruikmaakt van meerdere Microsoft Entra-tenants te vereenvoudigen.
Voor de meeste organisaties is het beheer eenvoudiger met één Microsoft Entra-tenant. Door alle resources binnen één tenant te hebben, kunnen beheertaken worden gecentraliseerd door aangewezen gebruikers, gebruikersgroepen of service-principals binnen die tenant.
Waar een multitenant-architectuur vereist is, helpt Azure Lighthouse bij het centraliseren en stroomlijnen van beheerbewerkingen. Door gebruik te maken van gedelegeerd resourcebeheer van Azure kunnen gebruikers in één tenantbeheerfunctie voor meerdere tenants op een gecentraliseerde, schaalbare manier uitvoeren.