Разработка стратегий облачного, гибридного и многооблачного доступа (включая идентификатор Microsoft Entra)
В этом уроке приведены рекомендации по проектированию, связанные с управлением удостоверениями и доступом в облачной среде на основе области проектирования управления удостоверениями и доступом Azure в Cloud Adoption Framework. Более подробное обсуждение всех соответствующих обсуждений по проектированию см. в следующих статьях:
- Идентификатор и гибридное удостоверение Microsoft Entra
- Доступ к платформе
- Предварительные требования для целевой зоны
Сравнение решений удостоверений
Active Directory и Идентификатор Microsoft Entra: управление пользователями
| Концепция | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Пользователи | ||
| Подготовка: пользователи | Организации создают внутренних пользователей вручную или используют внутреннюю или автоматизированную систему подготовки, такую как Диспетчер удостоверений Майкрософт, для интеграции с системой управления персоналом. | Существующие организации AD используют Microsoft Entra Подключение для синхронизации удостоверений с облаком. Идентификатор Microsoft Entra добавляет поддержку для автоматического создания пользователей из облачных систем управления персоналом. Идентификатор Microsoft Entra может подготавливать удостоверения в приложениях SaaS с поддержкой SCIM для автоматического предоставления приложений необходимых сведений для предоставления доступа пользователям. |
| Обеспечение: внешние удостоверения | Организации вручную создают внешних пользователей как обычных пользователей в выделенном внешнем лесу AD, что приводит к накладным расходам на администрирование для управления жизненным циклом внешних удостоверений (гостевые пользователи) | Идентификатор Microsoft Entra предоставляет специальный класс удостоверений для поддержки внешних удостоверений. Microsoft Entra B2B будет управлять ссылкой на внешнее удостоверение пользователя, чтобы убедиться, что они действительны. |
| Управление правами и группы | Администраторы делают пользователей членами групп. Затем владельцы приложений и ресурсов предоставляют группам доступ к приложениям или ресурсам. | Группы также доступны в идентификаторе Microsoft Entra, а администраторы также могут использовать группы для предоставления разрешений ресурсам. В идентификаторе Microsoft Entra администраторы могут назначать членство группам вручную или использовать запрос для динамического включения пользователей в группу. Администратор istrator может использовать управление правами в идентификаторе Microsoft Entra, чтобы предоставить пользователям доступ к коллекции приложений и ресурсов с помощью рабочих процессов и при необходимости условий на основе времени. |
| Административное управление | Организации будут использовать комбинацию доменов, организационных единиц и групп в AD для делегирования административных прав для управления каталогом и ресурсами, которые он контролирует. | Идентификатор Microsoft Entra предоставляет встроенные роли со своей системой управления доступом на основе ролей Microsoft Entra (Microsoft Entra RBAC) с ограниченной поддержкой создания пользовательских ролей для делегирования привилегированного доступа к системе удостоверений, приложений и ресурсов, которые он контролирует. Управление ролями можно улучшить с помощью управление привилегированными пользователями (PIM), чтобы обеспечить JIT-доступ к привилегированным ролям или доступ на основе рабочего процесса. |
| Управление учетными данными | Учетные данные в Active Directory основаны на паролях, проверке подлинности на основе сертификата и проверке подлинности с использованием смарт-карты. Пароли управляются с помощью политик паролей, основанных на длине, сроке действия и сложности пароля. | Идентификатор Microsoft Entra использует интеллектуальную защиту паролей для облака и локальной среды. Защита включает интеллектуальную блокировку, а также блокировку общих и настраиваемых парольных фраз и замен. Идентификатор Microsoft Entra значительно повышает безопасность с помощью многофакторной проверки подлинности и технологий без пароля, таких как FIDO2. Идентификатор Microsoft Entra снижает затраты на поддержку, предоставляя пользователям систему самостоятельного сброса пароля. |
Службы на основе Active Directory в Azure: AD DS, идентификатор Microsoft Entra и доменные службы Microsoft Entra
В Azure есть три популярных метода применить службы на основе Active Directory, чтобы предоставить приложениям, службам и (или) устройствам доступ к централизованной службе удостоверений. Такой выбор решений для идентификации позволяет гибко выбрать наиболее подходящий вариант каталога для конкретных потребностей организации. Например, если вы управляете в основном облачными пользователями на мобильных устройствах, нет смысла создавать и запускать собственное решение идентификации в доменных службах Active Directory (AD DS). Вместо этого можно просто использовать идентификатор Microsoft Entra.
Все три решения идентификации на основе Active Directory имеют одинаковые названия и основаны на одной технологии, но предоставляемые ими службы нацелены на разные потребности клиентов. Мы начнем с обобщенного описания решений и предоставляемых ими функций.
- Доменные службы Active Directory (AD DS) — это сервер корпоративного уровня с поддержкой протокола LDAP, который предоставляет такие функции, как идентификация и проверка подлинности, управление объектами компьютеров, групповая политика и доверие.
- AD DS является центральным компонентом во многих организациях с локальной ИТ-средой, обеспечивая основные функции для проверки подлинности учетных записей пользователей и управления компьютерами.
- Идентификатор Microsoft Entra — облачное управление удостоверениями и мобильными устройствами, предоставляющее учетные записи пользователей и службы проверки подлинности для таких ресурсов, как Microsoft 365, портал Azure или приложения SaaS.
- Идентификатор Microsoft Entra можно синхронизировать с локальной средой AD DS для предоставления единого удостоверения пользователям, работающим в облаке в собственном коде.
- Доменные службы Microsoft Entra (доменные службы Microsoft Entra) — предоставляет управляемые доменные службы с подмножеством полностью совместимых традиционных функций AD DS, таких как присоединение к домену, групповая политика, LDAP и проверка подлинности Kerberos или NTLM.
- Доменные службы Microsoft Entra интегрируются с идентификатором Microsoft Entra, который сам может синхронизироваться с локальной средой AD DS. Эта возможность расширяет случаи использования центрального удостоверения для традиционных веб-приложений, которые работают в Azure в рамках стратегии "lift-and-shift".
Более подробное обсуждение этих трех вариантов см. в статье "Сравнение автономных домен Active Directory служб, идентификатора Microsoft Entra и управляемых доменных служб Microsoft Entra".
Рекомендации по перекрестному проектированию
- Используйте централизованные и делегированные обязанности на основе требований роли и безопасности для управления ресурсами в целевой зоне.
- Для следующих типов привилегированных операций требуются специальные разрешения. Рассмотрим, какие пользователи будут обрабатывать такие запросы, и как обеспечить надлежащую защиту и мониторинг учетных записей.
- Создание объектов субъектов-служб.
- Регистрация приложений в идентификаторе Microsoft Entra.
- Приобретение и обработка сертификатов или диких сертификатов карта.
- Чтобы получить доступ к приложениям, которые удаленно используют локальную проверку подлинности с помощью идентификатора Microsoft Entra, используйте прокси приложения Microsoft Entra.
- Оцените совместимость рабочих нагрузок для доменных служб Microsoft Entra и AD DS на Windows Server.
- Обязательно создайте сеть, чтобы ресурсы, требующие AD DS в Windows Server для локальной проверки подлинности и управления, могли получить доступ к контроллерам домена. Для AD DS в Windows Server рассмотрите общие среды служб, которые предлагают локальную проверку подлинности и управление узлами в более крупном корпоративном сетевом контексте.
- При развертывании доменных служб Microsoft Entra или интеграции локальных сред в Azure используйте расположения с Зоны доступности для повышения доступности.
- Разверните доменные службы Microsoft Entra в основном регионе, так как эту службу можно проектить только в одну подписку. Доменные службы Microsoft Entra можно развернуть в других регионах с помощью реплика наборов.
- Используйте управляемые удостоверения вместо субъектов-служб для проверки подлинности в службах Azure. Такой подход снижает вероятность кражи учетных данных.
Azure и локальное гибридное удостоверение — рекомендации по проектированию
Для размещения решений гибридных удостоверений инфраструктуры как службы (IaaS) оцените следующие рекомендации:
- Для приложений, размещенных частично в локальной среде и частично в Azure, проверьте, какая интеграция имеет смысл в зависимости от вашего сценария. Дополнительные сведения см. в статье "Развертывание AD DS в виртуальной сети Azure".
- Если у вас есть AD FS, перейдите в облако, чтобы централизировать идентификацию и сократить рабочие усилия. Если AD FS по-прежнему входит в решение для удостоверений, установите и используйте Microsoft Entra Подключение.
Удостоверение для ресурсов платформы Azure — рекомендации по проектированию
Централизованное удостоверение использует одно расположение в облаке и интеграцию службы Active Directory, управления доступом, проверкой подлинности и приложениями. Такой подход обеспечивает более эффективное управление ИТ-командой. Для централизованных служб каталогов рекомендуется использовать только один клиент Microsoft Entra.
При предоставлении доступа к ресурсам используйте группы, доступные только для Microsoft Entra, для ресурсов уровня управления Azure и Microsoft Entra управление привилегированными пользователями. Добавьте локальные группы в группу только Для записи Майкрософт, если система управления группами уже размещена. Обратите внимание, что только Microsoft Entra называется облаком.
С помощью групп, доступных только для Microsoft Entra, можно добавлять пользователей и группы, которые синхронизируются из локальной среды с помощью Microsoft Entra Подключение. Вы также можете добавить пользователей и группы, доступные только для Microsoft Entra, в одну группу только для Microsoft Entra, включая гостевых пользователей.
Группы, синхронизированные из локальной среды, могут управляться и обновляться только из источника удостоверений, который является локальная служба Active Directory. Эти группы могут содержать только элементы из одного источника удостоверений, что не обеспечивает гибкость в том, как выполняются группы только для Microsoft Entra.
Интеграция журналов Microsoft Entra с рабочей областью Log Analytics в центре платформы. Этот подход позволяет использовать один источник истины вокруг журналов и мониторинга данных в Azure. Этот источник предоставляет организациям облачные возможности для удовлетворения требований к сбору журналов и хранению.
Пользовательские политики пользователей могут применять любые требования к суверенитету данных для организации.
Если защита идентификации используется в качестве части решения для идентификации, убедитесь, что вы исключите учетную запись администратора с разрывом.
Рекомендации по проектированию— идентификация Azure и доступ к целевым зонам
Развертывание политик условного доступа Microsoft Entra для пользователей с правами на среды Azure. Условный доступ предоставляет другой механизм для защиты управляемой среды Azure от несанкционированного доступа.
Принудительное применение многофакторной проверки подлинности (MFA) для пользователей с правами на среды Azure. Для многих платформ соответствия требованиям требуется применение многофакторной проверки подлинности. Многофакторная проверка подлинности значительно снижает риск кражи учетных данных и несанкционированного доступа.
Рекомендуется использовать субъекты-службы для входа в неинтерактивные ресурсы, поэтому многофакторная проверка подлинности и обновления маркеров не влияют на операции.
Используйте управляемые удостоверения Microsoft Entra для ресурсов Azure, чтобы избежать проверки подлинности на основе учетных данных. Многие нарушения безопасности общедоступных облачных ресурсов возникают с кражей учетных данных, внедренной в код или другой текст. Применение управляемых удостоверений для программного доступа значительно снижает риск кражи учетных данных.
Используйте Microsoft Defender для облака для JIT-доступа ко всем ресурсам инфраструктуры как услуга (IaaS). Defender для облака позволяет включить защиту на уровне сети для временного доступа пользователей к виртуальным машинам IaaS.
Управление привилегированными пользователями (PIM)
Используйте Microsoft Entra управление привилегированными пользователями (PIM), чтобы установить нулевой уровень доверия и минимальный доступ к привилегиям. Сопоставляйте роли организации с минимальными уровнями доступа. Microsoft Entra PIM может использовать собственные средства Azure, расширить текущие инструменты и процессы или использовать текущие и собственные средства по мере необходимости.
Используйте проверки доступа Microsoft Entra PIM для периодической проверки прав ресурсов. Проверки доступа являются частью многих платформ соответствия требованиям, поэтому многие организации уже имеют процесс проверки доступа.
Используйте привилегированные удостоверения для модулей автоматизации Runbook, для которых требуются повышенные права доступа. Используйте те же средства и политики для управления автоматизированными рабочими процессами, которые обращаются к критически важным границам безопасности, которые используются для управления пользователями эквивалентных привилегий.
Рекомендации по RBAC
При возможности используйте Azure RBAC для управления доступом к ресурсам уровня данных. Примерами конечных точек плоскости данных являются Azure Key Vault, учетная запись хранения или База данных SQL.
Не добавляйте пользователей непосредственно в области ресурсов Azure. Прямые назначения пользователей обходят централизованное управление, что затрудняет предотвращение несанкционированного доступа к ограниченным данным. Вместо этого добавьте пользователей в определенные роли и назначьте роли область ресурсов.
Используйте встроенные роли Microsoft Entra для управления следующими параметрами удостоверений:
| Role | Использование | Примечание. |
|---|---|---|
| глобальный администратор. | Не назначайте более пяти человек этой роли. | |
| Гибридная среда | Администратор гибридных удостоверений | |
| Проверка подлинности | Администратор безопасности | |
| Корпоративное приложение или прокси приложения | Администратор приложений | Нет согласия глобального администратора. |
Если встроенные роли Azure не соответствуют конкретным потребностям вашей организации, можно создать собственные пользовательские роли.