Visão geral da segurança da ponte de recursos do Azure Arc

Este artigo descreve a configuração de segurança e as considerações que você deve avaliar antes de implantar a ponte de recursos do Azure Arc em sua empresa.

Identidade gerida

Por padrão, uma identidade gerenciada atribuída ao sistema Microsoft Entra é criada e atribuída à ponte de recursos do Azure Arc. Atualmente, a ponte de recursos do Azure Arc dá suporte apenas a uma identidade atribuída pelo sistema. A clusteridentityoperator identidade inicia a primeira comunicação de saída e busca o certificado MSI (Managed Service Identity) usado por outros agentes para comunicação com o Azure.

Identidade e controlo de acesso

A ponte de recursos do Azure Arc é representada como um recurso em um grupo de recursos dentro de uma assinatura do Azure. O acesso a este recurso é controlado pelo controle de acesso baseado em função padrão do Azure. Na página Controle de Acesso (IAM) no portal do Azure, você pode verificar quem tem acesso à sua ponte de recursos do Azure Arc.

Os usuários e aplicativos aos quais é concedida a função de Colaborador ou Administrador ao grupo de recursos podem fazer alterações na ponte de recursos, incluindo a implantação ou exclusão de extensões de cluster.

Residência de dados

A ponte de recursos do Azure Arc segue os regulamentos de residência de dados específicos de cada região. Se aplicável, o backup dos dados é feito em uma região de par secundário de acordo com os regulamentos de residência de dados. Caso contrário, os dados residem apenas nessa região específica. Os dados não são armazenados ou processados em diferentes geografias.

Encriptação de dados inativa

A ponte de recursos do Azure Arc armazena informações de recursos no Azure Cosmos DB. Conforme descrito em Criptografia de dados no Azure Cosmos DB, todos os dados são criptografados em repouso.

Logs de auditoria de segurança

O log de atividades é um log da plataforma Azure que fornece informações sobre eventos no nível da assinatura. Isso inclui o acompanhamento de quando a ponte de recursos do Azure Arc é modificada, excluída ou adicionada.

Você pode exibir o log de atividades no portal do Azure ou recuperar entradas com o PowerShell e a CLI do Azure. Por padrão, os eventos do log de atividades são retidos por 90 dias e, em seguida, excluídos.

Próximos passos

• Entenda os requisitos do sistema e os requisitos de rede para a ponte de recursos do Azure Arc.
• Analise a visão geral da ponte de recursos do Azure Arc para entender mais sobre recursos e benefícios.
• Saiba mais sobre o Azure Arc.