Partilhar via

Gerenciamento de identidade e acesso para servidores habilitados para Azure Arc

  • Artigo

Sua organização precisa projetar os controles de acesso certos para proteger ambientes híbridos usando sistemas de gerenciamento de identidade locais e baseados em nuvem.

Estes sistemas de gestão de identidade desempenham um papel importante. Eles ajudam a projetar e implementar controles de gerenciamento de acesso confiáveis para proteger a infraestrutura de servidores habilitados para Azure Arc.

Identidade gerenciada

Na criação, a identidade atribuída pelo sistema Microsoft Entra ID só pode ser usada para atualizar o status dos servidores habilitados para Azure Arc, por exemplo, a pulsação 'vista por último'. Conceda acesso de identidade aos recursos do Azure para permitir que aplicativos em seu servidor acessem recursos do Azure, por exemplo, para solicitar segredos de um Cofre de Chaves. Deve:

  • Considere quais casos de uso legítimos existem para aplicativos de servidor para obter tokens de acesso e acessar recursos do Azure, ao mesmo tempo em que planeja o controle de acesso desses recursos.
  • Controle funções de utilizador privilegiado em servidores com Azure Arc ativado (membros dos administradores locais ou do grupo Aplicativos de Extensões de Agente Híbrido no Windows e membros do grupo himds no Linux) para evitar que identidades geridas pelo sistema sejam usadas indevidamente para obter acesso não autorizado aos recursos do Azure.
  • Use o RBAC do Azure para controlar e gerenciar a permissão para identidades gerenciadas de servidores habilitados para Azure Arc e executar revisões periódicas de acesso para essas identidades.

Controle de acesso baseado em função (RBAC)

Seguindo o princípio de do mínimo privilégio, os utilizadores, grupos ou aplicações que receberam atribuições de funções como "colaborador", "proprietário" ou "Administrador de Recursos de Máquina Conectado do Azure" são capazes de executar operações, tais como a implantação de extensões, atribuindo efetivamente acesso administrativo ou de raiz em servidores com suporte do Azure Arc. Essas funções devem ser usadas com cuidado, para limitar o possível raio de explosão ou, eventualmente, substituídas por funções personalizadas.

Para limitar o privilégio de um usuário e permitir que ele integre apenas servidores ao Azure, a função de Integração de Máquina Conectada do Azure é adequada. Essa função só pode ser usada para integrar servidores e não pode reintegrar ou excluir o recurso do servidor. Certifique-se de rever a visão geral de segurança dos servidores com Azure Arc para obter mais informações sobre controlos de acesso.

Considere também os dados confidenciais que podem ser enviados para o espaço de trabalho do Azure Monitor Log Analytics - o mesmo princípio RBAC deve ser aplicado aos próprios dados. O acesso de leitura aos servidores habilitados para Azure Arc pode fornecer acesso aos dados de log coletados pelo agente do Log Analytics, armazenados no espaço de trabalho associado do Log Analytics. Analise como implementar acesso granular ao espaço de trabalho do Log Analytics na documentação de planeamento da implantação do Azure Monitor Logs .

Arquitetura

O diagrama a seguir mostra uma arquitetura de referência que demonstra as funções, permissões e fluxo de ações para servidores habilitados para Azure Arc:

Diagrama que mostra a arquitetura de referência que demonstra as identidades, funções, permissões e fluxo de ações para servidores habilitados para Azure Arc.

Considerações de design

  • Decida quem da sua organização deve ter acesso aos servidores de integração para configurar as permissões necessárias nos servidores e no Azure.
  • Decida quem deve gerenciar os servidores habilitados para Azure Arc. Em seguida, decida quem pode exibir seus dados dos serviços do Azure e de outros ambientes de nuvem.
  • Decida quantas entidades de serviço de integração Arc você precisa. Várias dessas identidades podem ser usadas para integrar servidores que pertencem a diferentes funções ou unidades de negócios em uma empresa baseada na responsabilidade operacional e na propriedade.
  • Revise a área de design de gestão de identidade e acesso da zona de aterragem em escala empresarial do Azure. Analise a área para avaliar o impacto dos servidores habilitados para Azure Arc em seu modelo geral de identidade e acesso.

Recomendações de design

  • Integração e administração do Server
    • Use grupos de segurança para atribuir direitos de administrador local aos usuários identificados ou contas de serviço nos servidores para integrar ao Azure Arc em escala.
    • Use principal de serviço do Microsoft Entra para integrar servidores ao Azure Arc. Considere usar várias principais de serviço do Microsoft Entra num modelo operacional descentralizado, onde os servidores são geridos por diferentes equipas de TI.
    • Utilize uma entidade de serviço temporária do Microsoft Entra credenciais do cliente.
    • Atribua a função Integração de Máquina Conectada do Azure no nível do grupo de recursos.
    • Utilize os grupos de segurança do Microsoft Entra e conceda a função de Administrador de Recursos do Servidor Híbrido . Conceda a função a equipas e indivíduos que irão gerir recursos de servidor habilitados com Azure Arc no Azure.
  • Acesso a recursos protegidos pelo Microsoft Entra ID
    • Use identidades gerenciadas para aplicativos executados em seus servidores locais (e outros ambientes de nuvem) para fornecer acesso a recursos de nuvem protegidos pelo Microsoft Entra ID.
    • Restrinja o acesso a identidades gerenciadas para permitir aplicativos que são autorizados usando permissões de aplicativo do Microsoft Entra.
    • Utilize o grupo de segurança local Hybrid agent extension applications no Windows ou o grupo himds no Linux para permitir que os utilizadores solicitem tokens de acesso a recursos do Azure a partir dos servidores com Azure Arc ativado.

Próximos passos

Para obter mais orientações para sua jornada de adoção de nuvem híbrida, consulte os seguintes recursos: