Compartilhar via


Segurança na Assinatura de Desenvolvimento/Teste do Azure

Manter seus recursos seguros é um esforço conjunto entre seu provedor de nuvem, o Azure e você. As Assinaturas de Desenvolvimento/Teste do Azure e o Microsoft Defender para Nuvem fornecem as ferramentas necessárias para reforçar a segurança de sua rede, proteger seus serviços e verificar se você está atualizado quanto à sua postura de segurança.

Ferramentas importantes nas Assinaturas de Desenvolvimento/Teste do Azure ajudam você a criar acesso seguro aos seus recursos:

  • Grupos de gerenciamento do Azure
  • Azure Lighthouse
  • Monitoramento de Créditos
  • ID do Microsoft Entra

Grupos de gerenciamento do Azure

Ao habilitar e configurar suas Assinaturas de Desenvolvimento/Teste do Azure, o Azure implanta uma hierarquia de recursos padrão para gerenciar identidades e o acesso a recursos em um único domínio do Microsoft Entra. A hierarquia de recursos permite que sua organização configure perímetros fortes de segurança para seus recursos e usuários.

Uma captura de tela dos Grupos de Gerenciamento do Azure

Seus recursos, grupos de recursos, assinaturas, grupos de gerenciamento e locatários compõem sua hierarquia de recursos. A atualização e alteração dessas configurações em funções personalizadas do Azure ou atribuições de política do Azure poderá afetar todos os recursos em sua hierarquia de recursos. É importante proteger a hierarquia de recursos contra alterações que possam afetar negativamente todos os recursos.

Os Grupos de Gerenciamento do Azure são um aspecto importante para controlar o acesso e proteger seus recursos em um único locatário. Os Grupos de Gerenciamento do Azure permitem que você defina cotas, políticas do Azure e segurança para diferentes tipos de assinaturas. Esses grupos são um componente vital do desenvolvimento de segurança para as assinaturas de desenvolvimento/teste de sua organização.

Uma captura de tela dos agrupamentos de organização e governança do Azure

Como você pode ver acima, o uso de grupos de gerenciamento altera a hierarquia padrão e adiciona um nível para os grupos de gerenciamento. Esse comportamento tem o potencial de criar circunstâncias imprevistas e brechas na segurança se você não seguir o processo apropriado para proteger sua hierarquia de recursos

O que são os Grupos de Gerenciamento do Azure?

Ao desenvolver políticas de segurança para as assinaturas de desenvolvimento/teste da sua organização, você pode optar por ter várias assinaturas de desenvolvimento/teste por unidade organizacional ou linha de negócios. Você pode ver um visual desse agrupamento de gerenciamento no diagrama a seguir.

Um diagrama de agrupamentos de gerenciamento de assinatura para várias assinaturas em uma organização.

Você também pode optar por ter uma assinatura de desenvolvimento/teste para cada uma das suas diferentes unidades.

Os Grupos de Gerenciamento e as assinaturas de desenvolvimento/teste do Azure atuam como uma barreira de segurança em sua estrutura organizacional.

Essa barreira de segurança tem dois componentes:

  • Identidade e acesso: talvez seja necessário segmentar o acesso a recursos específicos
  • Dados: assinaturas diferentes para recursos que acessam informações pessoais

Usar locatários do Microsoft Entra

Um locatário é uma instância dedicada da Microsoft Entra ID que uma organização ou desenvolvedor de aplicativos recebe quando a organização ou o desenvolvedor de aplicativos cria um relacionamento com a Microsoft, como se inscrever no Azure, Microsoft Intune ou Microsoft 365.

Cada locatário do Microsoft Entra é separado de outros locatários do Microsoft Entra. Cada locatário do Microsoft Entra tem sua própria representação de identidades corporativas e de estudante, identidades de consumidor (se for um locatário do Azure AD B2C) e registros de aplicativo. Um registro de aplicativo dentro de seu locatário pode permitir autenticações de contas somente dentro do seu locatário ou de todos os locatários.

Se precisar separar ainda mais a infraestrutura de identidade da sua organização, além dos grupos de gerenciamento em um único locatário, você também poderá criar outros locatários com a própria hierarquia de recursos.

Uma forma fácil de separar recursos e usuários é a criação de outro locatário do Microsoft Entra.

Criar um novo locatário do Microsoft Entra

Se você não tem um locatário do Microsoft Entra ou deseja criar um para desenvolvimento, confira o guia de início rápido ou siga a experiência de criação de diretório. Você precisa fornecer as informações a seguir para criar o locatário:

  • Nome da organização
  • Domínio inicial: faz parte de /*.onmicrosoft.com. Você poderá personalizar o domínio mais tarde.
  • País/região

Saiba mais sobre como criar e configurar locatários do Microsoft Entra

Usar o Azure Lighthouse para gerenciar vários locatários

O Azure Lighthouse permite o gerenciamento entre vários locatários, o que gera maior automação, escalabilidade e governança aprimorada entre recursos e locatários. Os provedores de serviços podem entregar serviços gerenciados usando ferramentas de gerenciamento abrangentes e robustas integradas na plataforma do Azure. Os clientes mantêm controle sobre quem acessa o locatário deles, quais recursos podem acessar e quais ações podem ser executadas.

Um cenário comum para o Azure Lighthouse é gerenciar recursos nos locatários do Microsoft Entra dos clientes. Porém, as funcionalidades do Azure Lighthouse também podem ser usadas para simplificar o gerenciamento entre locatários em uma empresa que usa vários locatários do Microsoft Entra.

Para a maioria das organizações, o gerenciamento é mais fácil com um único locatário do Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários, grupos de usuários ou entidades de serviço designados dentro desse locatário.

Nos casos em que uma arquitetura com vários locatários for necessária, o Azure Lighthouse ajuda a centralizar e simplificar operações de gerenciamento. Com o gerenciamento de recursos delegados do Azure, os usuários podem executar funções de gerenciamento entre locatários de modo centralizado e escalonável em um locatário gerenciador.

Mais Recursos de Segurança