Obszar projektowania zarządzania tożsamościami i dostępem
Obszar projektowania zarządzania tożsamościami i dostępem zawiera najlepsze rozwiązania, których można użyć do ustanowienia podstaw bezpiecznej i w pełni zgodnej architektury chmury publicznej.
Przedsiębiorstwa mogą mieć złożone i heterogeniczne krajobrazy technologiczne, dlatego bezpieczeństwo ma kluczowe znaczenie. Niezawodne zarządzanie tożsamościami i dostępem stanowi podstawę nowoczesnej ochrony przez utworzenie obwodu zabezpieczeń w chmurze publicznej. Kontrola autoryzacji i dostępu zapewnia, że tylko uwierzytelnieni użytkownicy z zweryfikowanymi urządzeniami mogą uzyskiwać dostęp do aplikacji i zasobów oraz administrować nimi. Gwarantuje to, że właściwa osoba może uzyskiwać dostęp do odpowiednich zasobów w odpowiednim czasie i z właściwego powodu. Zapewnia również niezawodne rejestrowanie inspekcji i niezaprzeczalność działań związanych z tożsamością użytkownika lub obciążenia. Należy zapewnić spójne kontroli dostępu przedsiębiorstwa, w tym dostęp użytkowników, płaszczyzny kontroli i zarządzania, dostęp zewnętrzny i uprzywilejowany, aby zwiększyć produktywność i ograniczyć ryzyko nieautoryzowanej eskalacji uprawnień lub eksfiltracji danych.
Platforma Azure oferuje kompleksowy zestaw usług, narzędzi i architektur referencyjnych, które ułatwiają organizacji tworzenie wysoce bezpiecznych i wydajnych operacyjnie środowisk. Istnieje kilka opcji zarządzania tożsamościami w środowisku chmury. Każda opcja różni się kosztami i złożonością. Określ swoje usługi tożsamości oparte na chmurze w zależności od tego, jak bardzo musisz je zintegrować z twoją istniejącą lokalną infrastrukturą tożsamości. Aby uzyskać więcej informacji, zobacz Przewodnik po decyzjach dotyczących tożsamości.
Zarządzanie tożsamościami i dostępem w strefach docelowych platformy Azure
Zarządzanie tożsamościami i dostępem jest główną kwestią zarówno w strefach docelowych platformy, jak i aplikacji. Zgodnie z zasadą projektowania demokratyzacji subskrypcjiwłaściciele aplikacji powinni mieć autonomię zarządzania własnymi aplikacjami i zasobami przy minimalnej interwencji zespołu platformy. Strefy docelowe to granica zabezpieczeń, a zarządzanie tożsamościami i dostępem umożliwia kontrolowanie separacji jednej strefy docelowej z innej, wraz ze składnikami, takimi jak sieć i usługa Azure Policy. Zastosuj niezawodny projekt zarządzania tożsamościami i dostępem, aby ułatwić osiągnięcie izolacji strefy docelowej aplikacji.
Zespół platformy jest odpowiedzialny za podstawy zarządzania tożsamościami i dostępem, w tym wdrażanie scentralizowanych usług katalogowych i zarządzanie nimi, takich jak Microsoft Entra ID, Microsoft Entra Domain Services i Active Directory Domain Services (AD DS). Administratorzy strefy docelowej aplikacji i użytkownicy, którzy uzyskują dostęp do aplikacji, korzystają z tych usług.
Zespół aplikacji jest odpowiedzialny za zarządzanie tożsamościami i dostępem swoich aplikacji, w tym zabezpieczanie dostępu użytkowników do aplikacji i między składnikami aplikacji, takimi jak usługa Azure SQL Database, maszyny wirtualne i usługa Azure Storage. W dobrze zaimplementowanej architekturze strefy docelowej zespół aplikacji może bez wysiłku korzystać z usług zapewnianych przez zespół platformy.
Wiele podstawowych pojęć związanych z zarządzaniem tożsamościami i dostępem jest takich samych zarówno w strefach docelowych platformy, jak i w strefach docelowych aplikacji, takich jak kontrola dostępu oparta na rolach (RBAC) i zasada najniższych uprawnień.
Przegląd obszaru projektowania
Funkcje: Zarządzanie tożsamościami i dostępem wymaga obsługi co najmniej jednej z następujących funkcji. Role, które wykonują te funkcje, mogą pomóc w podejmowaniu i wdrażaniu decyzji.
- funkcje platformy w chmurze
- Funkcje centrum doskonałości w chmurze
- funkcje zespołu ds. zabezpieczeń w chmurze
Zakres: Celem tego obszaru projektowania jest pomoc w ocenie opcji dotyczących Twojej infrastruktury tożsamości i dostępu. Podczas projektowania strategii tożsamości należy wykonać następujące zadania:
- Uwierzytelnianie użytkowników i tożsamości obciążeń.
- Przypisywanie dostępu do zasobów.
- Określanie podstawowych wymagań dotyczących rozdzielenia obowiązków.
- Synchronizowanie tożsamości hybrydowych z identyfikatorem Entra firmy Microsoft.
Poza zakresem: Zarządzanie tożsamościami i dostępem stanowi podstawę odpowiedniej kontroli dostępu, ale nie obejmuje bardziej zaawansowanych aspektów, takich jak:
- Model Zero Trust.
- Zarządzanie operacyjne wydzielonymi uprawnieniami.
- Zautomatyzowane zabezpieczenia, aby zapobiec typowym błędom tożsamości i dostępu.
Obszary projektowania zgodności dla zabezpieczeń i ładu dotyczą aspektów poza zakresem. Aby uzyskać kompleksowe zalecenia dotyczące zarządzania tożsamościami i dostępem, zobacz najlepsze praktyki bezpieczeństwa zarządzania tożsamościami i kontrolą dostępu w Azure.
Omówienie obszaru projektowania
Tożsamość stanowi podstawę dla szerokiej gamy gwarancji zabezpieczeń. Zapewnia dostęp na podstawie mechanizmów kontroli uwierzytelniania tożsamości i autoryzacji w usługach w chmurze. Kontrola dostępu chroni dane i zasoby i pomaga określić, które żądania powinny być dozwolone.
Zarządzanie tożsamościami i dostępem pomaga zabezpieczyć wewnętrzne i zewnętrzne granice środowiska chmury publicznej. Jest to podstawa dowolnej bezpiecznej i w pełni zgodnej architektury chmury publicznej.
W poniższych artykułach opisano zagadnienia dotyczące projektowania i zalecenia dotyczące zarządzania tożsamościami i dostępem w środowisku chmury:
- tożsamość hybrydowa przy użyciu usługi Active Directory i identyfikatora entra firmy Microsoft
- Zarządzanie tożsamością i dostępem strefy lądowania
- zarządzanie tożsamościami aplikacji i dostępem
Aby uzyskać wskazówki dotyczące projektowania rozwiązań na platformie Azure przy użyciu ustalonych wzorców i praktyk, zobacz Projektowanie architektury tożsamości.
Napiwek
Jeśli masz wiele dzierżaw Microsoft Entra ID, zobacz strefy docelowe Azure i wiele dzierżaw Microsoft Entra.