Área de design de gerenciamento de identidade e acesso
A área de design de gerenciamento de identidade e acesso fornece práticas recomendadas que você pode usar para estabelecer a base de sua arquitetura de nuvem pública segura e totalmente compatível.
As empresas podem ter cenários tecnológicos complexos e heterogéneos, pelo que a segurança é fundamental. O gerenciamento robusto de identidade e acesso forma a base da proteção moderna, criando um perímetro de segurança em uma nuvem pública. Os controles de autorização e acesso garantem que apenas usuários autenticados com dispositivos verificados possam acessar e administrar aplicativos e recursos. Garante que a pessoa certa pode aceder aos recursos certos no momento certo e pela razão certa. Também fornece registo de auditoria confiável e não repúdio de ações relacionadas à identidade de utilizador ou carga de trabalho. Você deve fornecer de controle de acesso empresarialconsistentes, incluindo acesso de usuário, planos de controle e gerenciamento, acesso externo e acesso privilegiado, para melhorar a produtividade e reduzir o risco de escalada de privilégios não autorizada ou exfiltração de dados.
O Azure oferece um conjunto abrangente de serviços, ferramentas e arquiteturas de referência para ajudar a sua organização a criar ambientes altamente seguros e operacionalmente eficientes. Há várias opções para gerenciar a identidade em um ambiente de nuvem. Cada opção varia em custo e complexidade. Determine seus serviços de identidade baseados em nuvem com base no quanto você precisa integrá-los à sua infraestrutura de identidade local existente. Para obter mais informações, consulte Guia de decisão de identidade.
Gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure
O gerenciamento de identidade e acesso é uma consideração central nas zonas de aterrissagem de plataforma e aplicativo. De acordo com o princípio de design de democratização da assinatura, os proprietários de aplicativos devem ter autonomia para gerenciar seus próprios aplicativos e recursos com intervenção mínima da equipe da plataforma. As zonas de aterrissagem são um limite de segurança, e o gerenciamento de identidade e acesso fornece uma maneira de controlar a separação de uma zona de aterrissagem de outra, juntamente com componentes como rede e Política do Azure. Aplique um design robusto de gerenciamento de identidade e acesso para ajudar a alcançar o isolamento da zona de aterrissagem do aplicativo.
A equipe da plataforma é responsável pela base do gerenciamento de identidade e acesso, incluindo a implantação e o gerenciamento de serviços de diretório centralizados, como o Microsoft Entra ID, os Serviços de Domínio Microsoft Entra e os Serviços de Domínio Ative Directory (AD DS). Os administradores da zona de aterrissagem de aplicativos e os usuários que acessam aplicativos consomem esses serviços.
A equipe de aplicativos é responsável pelo gerenciamento de identidade e acesso de seus aplicativos, incluindo a proteção do acesso do usuário aos aplicativos e entre os componentes do aplicativo, como o Banco de Dados SQL do Azure, máquinas virtuais e o Armazenamento do Azure. Em uma arquitetura de zona de aterrissagem bem implementada, a equipe de aplicativos pode consumir sem esforço os serviços que a equipe da plataforma fornece.
Muitos dos conceitos fundamentais de gerenciamento de identidade e acesso são os mesmos em zonas de aterrissagem de plataforma e aplicativo, como o controle de acesso baseado em função (RBAC) e o princípio do menor privilégio.
Revisão da área de design
Funções: A gestão de identidades e acessos requer o apoio de uma ou mais das seguintes funções. As funções que desempenham essas funções podem ajudar a tomar e implementar decisões.
- Funções da plataforma Cloud
- funções do centro de excelência de nuvem
- Funções da equipe de segurança na nuvem
Escopo: O objetivo desta área de design é ajudá-lo a avaliar as opções para sua identidade e base de acesso. Ao projetar sua estratégia de identidade, você deve executar as seguintes tarefas:
- Autentique usuários e identidades de carga de trabalho.
- Atribua acesso a recursos.
- Determinar os requisitos essenciais para a separação de funções.
- Sincronize identidades híbridas com o Microsoft Entra ID.
Fora do escopo: O gerenciamento de identidade e acesso forma uma base para o controle de acesso adequado, mas não abrange aspetos mais avançados, como:
- O modelo Zero Trust.
- A gestão operacional de privilégios elevados.
- Barreiras automáticas para prevenir erros comuns de identidade e acesso.
As áreas de design de conformidade para segurança e governança abordam os aspetos que estão fora do escopo. Para obter recomendações abrangentes para gerenciamento de identidade e acesso, consulte práticas recomendadas de segurança de gerenciamento de identidade e controle de acesso do Azure.
Visão geral da área de design
A identidade fornece a base para uma ampla variedade de garantias de segurança. Ele concede acesso com base em autenticação de identidade e controles de autorização em serviços de nuvem. O controle de acesso protege dados e recursos e ajuda a determinar quais solicitações devem ser permitidas.
O gerenciamento de identidade e acesso ajuda a proteger os limites internos e externos de um ambiente de nuvem pública. É a base de qualquer arquitetura de nuvem pública segura e totalmente compatível.
Os artigos a seguir examinam considerações de design e recomendações para gerenciamento de identidade e acesso em um ambiente de nuvem:
- Identidade híbrida com Ative Directory e Microsoft Entra ID
- Gestão de identidade e acesso da zona de aterragem
- Identidade e gerenciamento de acesso de aplicativos
Para obter orientação sobre como projetar soluções no Azure usando padrões e práticas estabelecidos, consulte Identity architecture design.
Dica
Se você tiver vários locatários do Microsoft Entra ID, consulte zonas de aterrissagem do Azure e vários locatários do Microsoft Entra.