Segurança na Subscrição de Desenvolvimento/Teste do Azure
Manter seus recursos seguros é um esforço conjunto entre seu provedor de nuvem, o Azure, e você. As Subscrições de Desenvolvimento/Teste do Azure e o Microsoft Defender for Cloud fornecem-lhe as ferramentas necessárias para proteger a sua rede, proteger os seus serviços e certificar-se de que está no topo da sua postura de segurança.
Ferramentas importantes nas Subscrições de Desenvolvimento/Teste do Azure ajudam-no a criar acesso seguro aos seus recursos:
- Grupos de Gestão do Azure
- Azure Lighthouse
- Monitorização de Créditos
- Microsoft Entra ID
Grupos de Gestão do Azure
Quando você habilita e configura suas Assinaturas de Desenvolvimento/Teste do Azure, o Azure implanta uma hierarquia de recursos padrão para gerenciar identidades e acesso a recursos em um único domínio do Microsoft Entra. A hierarquia de recursos permite que sua organização configure perímetros de segurança fortes para seus recursos e usuários.
Seus recursos, grupos de recursos, assinaturas, grupos de gerenciamento e locatários compõem coletivamente sua hierarquia de recursos. Atualizar e alterar essas configurações em funções personalizadas do Azure ou atribuições de política do Azure pode afetar todos os recursos em sua hierarquia de recursos. É importante proteger a hierarquia de recursos de alterações que possam afetar negativamente todos os recursos.
Os Grupos de Gerenciamento do Azure são um aspeto importante para controlar o acesso e proteger seus recursos em um único locatário. Os Grupos de Gestão do Azure permitem-lhe definir quotas, políticas do Azure e segurança para diferentes tipos de subscrições. Esses grupos são um componente vital do desenvolvimento de segurança para as assinaturas de desenvolvimento/teste da sua organização.
Como você pode ver, o uso de grupos de gerenciamento altera a hierarquia padrão e adiciona um nível para os grupos de gerenciamento. Esse comportamento pode potencialmente criar circunstâncias imprevistas e falhas na segurança se você não seguir o processo apropriado para proteger sua hierarquia de recursos
Por que os Grupos de Gerenciamento do Azure são úteis?
Ao desenvolver políticas de segurança para as assinaturas de desenvolvimento/teste da sua organização, você pode optar por ter várias assinaturas de desenvolvimento/teste por unidade organizacional ou linha de negócios. Você pode ver um visual desse agrupamento de gerenciamento no diagrama a seguir.
Você também pode optar por ter uma assinatura de desenvolvimento/teste para todas as suas unidades diferentes.
Seus Grupos de Gerenciamento do Azure e assinaturas de desenvolvimento/teste atuam como uma barreira de segurança em sua estrutura organizacional.
Esta barreira de segurança tem duas componentes:
- Identidade e acesso: talvez seja necessário segmentar o acesso a recursos específicos
- Dados: assinaturas diferentes para recursos que acessam informações pessoais
Usando locatários do Microsoft Entra
Um locatário é uma instância dedicada do Microsoft Entra ID que uma organização ou desenvolvedor de aplicativo recebe quando a organização ou desenvolvedor de aplicativo cria um relacionamento com a Microsoft, como se inscrever no Azure, Microsoft Intune ou Microsoft 365.
Cada locatário do Microsoft Entra é separado dos outros locatários do Microsoft Entra. Cada locatário do Microsoft Entra tem sua própria representação de identidades profissionais e escolares, identidades de consumidor (se for um locatário do Azure AD B2C) e registros de aplicativos. Um registo de aplicação no seu inquilino pode permitir autenticações de contas apenas do seu inquilino ou de todos os inquilinos.
Se você precisar separar ainda mais a infraestrutura de identidade da sua organização além dos grupos de gerenciamento em um único locatário, também poderá criar outros locatários com sua própria hierarquia de recursos.
Uma maneira fácil de separar recursos e usuários é criar um novo locatário do Microsoft Entra.
Criar um novo locatário do Microsoft Entra
Se você não tiver um locatário do Microsoft Entra ou quiser criar um novo para desenvolvimento, consulte o guia de início rápido ou siga a experiência de criação de diretório. Tem de fornecer as seguintes informações para criar o seu novo inquilino:
- Nome da organização
- Domínio inicial - faz parte de /*.onmicrosoft.com. Você pode personalizar o domínio mais tarde.
- País ou região
Saiba mais sobre como criar e configurar locatários do Microsoft Entra
Usando o Azure Lighthouse para gerenciar vários locatários
O Azure Lighthouse permite o gerenciamento entre locatários e multilocatário, permitindo maior automação, escalabilidade e governança aprimorada entre recursos e locatários. Os fornecedores de serviços podem fornecer serviços geridos utilizando ferramentas de gestão abrangentes e robustas incorporadas na plataforma Azure. Os clientes mantêm o controle sobre quem acessa seu locatário, quais recursos eles acessam e quais ações podem ser tomadas.
Um cenário comum para o Azure Lighthouse é o gerenciamento de recursos nos locatários do Microsoft Entra de seus clientes. No entanto, os recursos do Azure Lighthouse também podem ser usados para simplificar o gerenciamento entre locatários em uma empresa que usa vários locatários do Microsoft Entra.
Para a maioria das organizações, o gerenciamento é mais fácil com um único locatário do Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários designados, grupos de usuários ou entidades de serviço dentro desse locatário.
Quando uma arquitetura multilocatária é necessária, o Azure Lighthouse ajuda a centralizar e simplificar as operações de gerenciamento. Usando o gerenciamento de recursos delegados do Azure, os usuários em um locatário de gerenciamento podem executar funções de gerenciamento entre locatários de maneira centralizada e escalável.