Что такое идентификаторы рабочих нагрузок?
Удостоверение рабочей нагрузки — это удостоверение, которое назначается рабочей нагрузке программного обеспечения (например, приложению, службе, скрипту или контейнеру) для проверки подлинности и доступа к другим службам и ресурсам. Терминология в отрасли не согласована, но, как правило, идентификация рабочей нагрузки — это то, что необходимо для вашего программного продукта для аутентификации в определенной системе. Например, чтобы GitHub Actions получил доступ к подпискам Azure, действию нужно иметь идентификацию рабочей нагрузки, которая имеет доступ к этим подпискам. Удостоверение рабочей нагрузки также может быть ролью службы AWS, подключенной к экземпляру EC2 с доступом только для чтения к контейнеру Amazon S3.
В Microsoft Entra удостоверения рабочей нагрузки — это приложения, служебные принципы и управляемые удостоверения.
Приложение — это абстрактная сущность или шаблон, определяемый объектом приложения. Объект приложения — это глобальное представление вашего приложения для всех арендаторов. Объект приложения описывает способ выдачи маркеров, ресурсы, к которым требуется доступ приложению, и действия, которые может выполнять приложение.
Принципал службы — это локальное представление, или экземпляр глобального объекта приложения в конкретном арендаторе. Объект приложения используется в качестве шаблона для создания объекта представления службы в каждом арендаторе, где используется приложение. Объект субъекта-службы определяет, какие действия приложение фактически может выполнять в определенном арендаторе, кто имеет доступ к приложению и к каким ресурсам приложение может получить доступ.
Управляемое удостоверение — это особый тип представителя службы, который избавляет разработчиков от необходимости управлять учетными данными.
Ниже приведены некоторые способы использования удостоверений рабочей нагрузки в Microsoft Entra ID:
- Приложение, которое позволяет веб-приложению получать доступ к Microsoft Graph с согласия администратора или пользователя. Этот доступ может осуществляться от имени пользователя или приложения.
- Управляемое удостоверение, используемое разработчиком для предоставления своей службе доступа к ресурсу Azure, такому как Azure Key Vault или служба хранилища Azure.
- Субъект-служба, используемый разработчиком для включения конвейера CI/CD для развертывания веб-приложения из GitHub в Службе приложений Azure.
Идентификации рабочих нагрузок, другие идентификации машин и идентификации человека
На высоком уровне существует два типа идентичностей: человеческие и машинные или не человеческие. Идентификации рабочих нагрузок и устройств вместе составляют группу, называемую машинными (или не человеческими) идентификациями. Удостоверения рабочих нагрузок представляют рабочие нагрузки программного обеспечения, а удостоверения устройств представляют такие устройства, как настольные компьютеры, мобильные устройства, датчики IoT и управляемые устройства IoT. Идентификации машин отличаются от идентификаций людей, которые представляют людей, таких как сотрудники (внутренние работники и сотрудники, работающие с клиентами) и внешние пользователи (клиенты, консультанты, поставщики и партнеры).
Необходимость защиты идентификаторов для рабочих нагрузок
Все больше решений становятся зависимыми от нечеловеческих сущностей для выполнения ключевых задач, и число нечеловеческих идентичностей резко увеличивается. Недавние кибератаки показывают, что злоумышленники все чаще нацеливаются на нечеловеческие идентификации вместо человеческих.
Обычно у пользователей есть одно удостоверение, используемое для доступа к широкому спектру ресурсов. В отличие от пользователя, рабочая нагрузка программного обеспечения может иметь несколько учетных данных для доступа к разным ресурсам, и эти учетные данные должны храниться безопасно. Также сложно отслеживать момент создания идентификатора рабочей нагрузки или когда его следует отозвать. Предприятия рискуют эксплойтом или взломом их приложений или служб в связи с трудностями в защите идентификаторов рабочих процессов.
Большинство решений по управлению удостоверениями и доступом на рынке сегодня сосредоточены только на защите человеческих идентификаций, а не идентификаций рабочих процессов. Идентификатор рабочей нагрузки Microsoft Entra помогает устранить эти проблемы при защите идентификаций рабочих нагрузок.
Ключевые сценарии
Вот несколько способов использования идентификаторов рабочей нагрузки.
Безопасный доступ с помощью адаптивных политик:
- Применяйте политики условного доступа к служебным субъектам, которые принадлежат вашей организации, используя условный доступ для удостоверений рабочих нагрузок.
- Включите применение политик условного доступа по расположению и рискам в режиме реального времени с помощью непрерывной оценки доступа для учетных записей рабочих процессов.
- Управление настраиваемыми атрибутами безопасности для приложения
Интеллектуальное обнаружение скомпрометированных учетных данных:
- Обнаруживайте риски (например, утечка учетных данных), содержите угрозы и снижайте вероятность для удостоверений, связанных с рабочими нагрузками, с помощью Защита идентификации Microsoft Entra.
Упрощение управления жизненным циклом:
- Получайте доступ к защищенным ресурсам Microsoft Entra без необходимости управления секретами для рабочих нагрузок, выполняющихся в Azure, используя управляемые удостоверения.
- Доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами с помощью федерации удостоверений рабочей нагрузки для поддерживаемых сценариев, таких как GitHub Actions, рабочие нагрузки, работающие в Kubernetes или рабочие нагрузки, работающие на вычислительных платформах за пределами Azure.
- Просмотрите учетные записи служб и приложения, назначенные привилегированным ролям каталога в Microsoft Entra ID, используя проверки доступа для учетных записей служб.
Следующие шаги
- Узнайте ответы на часто задаваемые вопросы об идентификациях рабочей нагрузки.