Recommended security practices (Рекомендации по безопасности)
При использовании Azure Lighthouse важно учитывать безопасность и контроль доступа. Пользователи в клиенте будут иметь прямой доступ к подпискам клиентов и группам ресурсов, поэтому важно предпринять шаги, которые помогут обеспечить безопасность вашего клиента. Мы также рекомендуем включить минимальный доступ, необходимый для эффективного управления ресурсами клиентов. В этом разделе приведены рекомендации, которые помогут вам реализовать эти методики безопасности.
Совет
Эти рекомендации также применяются к предприятиям, управляющим несколькими клиентами с помощью Azure Lighthouse.
Требовать многофакторную проверку подлинности Microsoft Entra
Многофакторная проверка подлинности Microsoft Entra (также известная как двухфакторная проверка подлинности ) помогает запретить злоумышленникам получать доступ к учетной записи, требуя нескольких шагов проверки подлинности. Вам следует требовать многофакторную проверку подлинности Microsoft Entra для всех пользователей в управляемом клиенте, включая пользователей, которым будет доступ к делегированным ресурсам клиентов.
Мы рекомендуем клиентам также реализовать многофакторную проверку подлинности Microsoft Entra в своих клиентах.
Внимание
Политики условного доступа, установленные в клиенте клиента, не применяются к пользователям, которые получают доступ к ресурсам клиента через Azure Lighthouse. К этим пользователям применяются только политики, заданные в управляемом клиенте. Настоятельно рекомендуется требовать многофакторную проверку подлинности Microsoft Entra как для управляемого клиента, так и для управляемого (клиента).
Назначьте разрешения группам, используя принцип минимальных привилегий
Чтобы упростить управление, используйте группы Microsoft Entra для каждой роли, необходимой для управления ресурсами клиентов. Это позволяет добавлять или удалять отдельных пользователей в группе по мере необходимости, а не назначать разрешения напрямую каждому пользователю.
Внимание
Чтобы добавить разрешения для группы Microsoft Entra, тип группы должен иметь значение Security. Этот вариант автоматически выбирается при создании группы. Дополнительные сведения см. в разделе "Типы групп".
При создании структуры разрешений обязательно следуйте принципу наименьших привилегий , чтобы пользователи имели только разрешения, необходимые для завершения работы. Ограничение разрешений для пользователей может помочь снизить вероятность непреднамеренной ошибки.
Например, вы можете использовать структуру следующим образом:
| Имя группы | Тип | principalId | Определение роли | Идентификатор определения роли |
|---|---|---|---|---|
| Архитекторы | Группа пользователей | <principalId> | Участник | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Оценка | Группа пользователей | <principalId> | Читатель | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Специалисты по VM | Группа пользователей | <principalId> | Участник VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Автоматизация | Имя субъекта-службы (SPN) | <principalId> | Участник | b24988ac-6180-42a0-ab88-20f7382dd24c |
После создания этих групп можно назначить пользователей по мере необходимости. Добавьте только пользователей, которым действительно нужно предоставить доступ этой группе.
Не забудьте регулярно просматривать членство в группах и удалять всех пользователей, которые больше не нужны для включения.
Не забывайте, что при подключении клиентов через общедоступное предложение управляемой службы любая группа (пользователь или субъект-служба), которую вы добавляете, будет иметь одинаковые разрешения для всех клиентов, которые приобрели план. Чтобы назначить разные группы для работы с разными клиентами, необходимо опубликовать отдельный частный план, который является эксклюзивным для каждого клиента или подключить клиентов по отдельности с помощью шаблонов Azure Resource Manager. Например, можно опубликовать общедоступный план с очень ограниченным доступом, а затем работать с каждым клиентом напрямую, чтобы подключить свои ресурсы с помощью настраиваемого шаблона ресурсов Azure, предоставляющего дополнительный доступ по мере необходимости.
Совет
Кроме того, вы можете создать соответствующие авторизации, чтобы разрешить пользователям в управляющем арендаторе временно повышать свою роль. Использование соответствующих авторизаций позволяет минимизировать число постоянных назначений привилегированных ролей пользователям и тем самым снизить риски безопасности, связанные с привилегированным доступом пользователей в арендаторе. Эта функция имеет определенные требования к лицензированию. Дополнительные сведения см. в статье Создание соответствующих авторизаций.
Следующие шаги
- Ознакомьтесь с базовыми сведениями о безопасности, чтобы понять, как руководство по эталону безопасности Microsoft Cloud Security применяется к Azure Lighthouse.
- Развертывание многофакторной проверки подлинности Microsoft Entra.
- Узнайте больше об интерфейсах управления для различных клиентов.