Область проектирования управления идентификацией и доступом
Область проектирования управления удостоверениями и доступом предоставляет рекомендации, которые можно использовать для создания основы безопасной и полной архитектуры общедоступного облака.
Предприятия могут иметь сложные и разнородные технологические ландшафты, поэтому безопасность имеет решающее значение. Надежное управление удостоверениями и доступом формирует основу современной защиты путем создания периметра безопасности в общедоступном облаке. Элементы управления авторизацией и доступом гарантируют, что только прошедшие проверку подлинности пользователи с проверенными устройствами могут получать доступ к приложениям и ресурсам и администрировать их. Это гарантирует, что правильный человек может получить доступ к правильным ресурсам в нужное время и по правильной причине. Он также обеспечивает надежное ведение журнала аудита и неотказуемость действий, связанных с идентификацией пользователей или рабочей нагрузки. Вы должны обеспечить последовательный корпоративного контроля доступа, включая доступ пользователей, плоскости управления и контроля, доступ извне и привилегированный доступ, чтобы повысить производительность и снизить риск несанкционированного повышения привилегий или кражи данных.
Azure предлагает полный набор служб, инструментов и эталонных архитектур, которые помогут вашей организации создавать высокобезопасные и операционные среды. Существует несколько вариантов управления удостоверениями в облачной среде. Каждый вариант зависит от стоимости и сложности. Определите свои облачные службы удостоверений в зависимости от того, насколько их нужно интегрировать с существующей локальной инфраструктурой удостоверений. Дополнительные сведения см. в руководстве по принятию решений о подтверждении личности .
Управление удостоверениями и доступом в зонах развертывания Azure
Управление идентификацией и доступом является основным аспектом как для платформенных, так и для приложных зон. В соответствии с принципом проектирования демократизации подпискивладельцы приложений должны иметь автономию для управления собственными приложениями и ресурсами с минимальным вмешательством команды платформы. Посадочные зоны — это рубеж безопасности, а управление удостоверениями и доступом — это способ обеспечения разделения между одной посадочной зоной и другой, а также компонентами, такими как сетью и политикой Azure. Примените надежную структуру управления удостоверениями и доступом, чтобы обеспечить изоляцию целевой зоны приложения.
Команда платформы отвечает за фундамент управления идентификацией и доступом, включая развертывание и управление централизованными службами каталогов, такими как Microsoft Entra ID, доменные службы Microsoft Entra и службы доменных директорий Active Directory (AD DS). Администраторы целевой зоны приложений и пользователи, обращаюющиеся к приложениям, используют эти службы.
Группа приложений отвечает за управление удостоверениями и доступом своих приложений, включая защиту доступа пользователей к приложениям и между компонентами приложения, такими как База данных SQL Azure, виртуальные машины и служба хранилища Azure. В хорошо реализованной архитектуре целевой зоны команда приложений может легко использовать службы, предоставляемые командой платформы.
Многие основные понятия управления удостоверениями и доступом одинаковы как в целевых зонах платформы, так и в целевых зонах приложений, таких как управление доступом на основе ролей (RBAC) и принцип наименьших привилегий.
Обзор области разработки
Функции : управление удостоверениями и доступом требует поддержки одной или нескольких из следующих функций. Роли, выполняющие эти функции, могут помочь в принятии и реализации решений.
- функции облачной платформы
- Функции облачного центра передового опыта
- Функции команды облачной безопасности
Объем: Цель этой части проектирования — помочь вам оценить варианты для вашей основы идентификации и управления доступом. При разработке стратегии идентификации необходимо выполнить следующие задачи:
- Аутентификация пользователей и идентификаций объемов работы.
- Назначьте доступ к ресурсам.
- Определите основные требования для разделения обязанностей.
- Синхронизируйте гибридные удостоверения с Microsoft Entra ID.
Вне области: управление удостоверениями и доступом формирует основу для надлежащего управления доступом, но не охватывает более сложные аспекты, такие как:
- Модель нулевого доверия.
- Операционное управление повышенными привилегиями.
- Автоматические меры безопасности для предотвращения распространённых ошибок с учетными данными и доступом.
Области проектирования соответствия для безопасности и управления охватывают аспекты, выходящие за пределы области. Для получения полных рекомендаций по управлению удостоверениями и доступом ознакомьтесь с лучшими практиками безопасности управления удостоверениями и контроля доступа Azure.
Обзор области разработки
Удостоверение предоставляет основу для широкого спектра гарантий безопасности. Он предоставляет доступ на основе проверки подлинности личности и контроля авторизации в облачных службах. Управление доступом защищает данные и ресурсы и помогает определить, какие запросы должны быть разрешены.
Управление удостоверениями и доступом помогает защитить внутренние и внешние границы общедоступной облачной среды. Это основа любой безопасной и полностью совместимой архитектуры общедоступного облака.
В следующих статьях рассматриваются вопросы проектирования и рекомендации по управлению удостоверениями и доступом в облачной среде:
- Гибридная идентификация с Active Directory и Microsoft Entra ID
- Идентификация и управление доступом в зоне деплоя
- управление идентификацией и доступом для приложений
Рекомендации по проектированию решений в Azure с использованием установленных шаблонов и методик см. в разделе проектирование архитектуры идентификации.
Совет
Если у вас несколько клиентов идентификатора Microsoft Entra, ознакомьтесь с целевыми зонами Azure и несколькими клиентами Microsoft Entra.