إدارة الهوية والوصول لمسرع المنطقة المنتقل إليها في Azure Spring Apps
توضح هذه المقالة اعتبارات التصميم والتوصيات لمصادقة المستخدمين في Azure Spring Apps، ومنح المستخدمين المستوى اللازم من الوصول إلى موارد حمل العمل.
يجب أن يكون لدى فريق النظام الأساسي المركزي وفرق التطبيق فهم جيد ل:
- ما الفرق التي تتطلب الوصول إلى حمل عمل تطبيق Azure Spring الذي يتم نشره في منطقة التطبيق المنتقل إليها.
- أدوار ومسؤولية المستخدمين ومن يحتاج إلى الوصول.
- الحد الأدنى من الامتيازات المطلوبة لتنفيذ تلك المسؤوليات.
للحصول على معلومات حول تصميم النظام الأساسي، راجع منطقة تصميم هوية Azure وإدارة الوصول.
بصفتك مالك حمل العمل، اتبع أفضل الممارسات هذه للتأكد من أن موارد التطبيق لا تنتهك حدود الأمان أو الحوكمة التنظيمية. الهدف هو التأكد من أن تطبيق Azure Spring المنشور والموارد ذات الصلة لحمل العمل آمنة ولا يمكن الوصول إليها إلا من قبل المستخدمين المعتمدين. عند اتباع هذه الممارسات، يمكنك حماية البيانات الحساسة ومنع إساءة استخدام التطبيق وموارده.
اعتبارات التصميم
الوصول من التطبيق إلى خدمات أخرى. يجب أن يصادق التطبيق نفسه عند الاتصال بخدمات الواجهة الخلفية التي تعد جزءا من حمل العمل. تحمي هذه المصادقة الخدمات من الوصول غير المصرح به. ضع في اعتبارك استخدام ميزات Azure Active Directory (Azure AD) لمنع النفقات العامة لتخزين بيانات الاعتماد وإدارتها.
الوصول إلى التطبيق. قد يرسل المستخدمون طلبات إلى التطبيق عبر الإنترنت العام. أو قد تأتي الطلبات من شبكات خاصة أو محلية. في كلتا الحالتين، يجب مصادقة الوصول استنادا إلى شهادات العميل أو من خلال Active Directory (Azure AD).
ضع في اعتبارك خيارات التكنولوجيا لآلية اكتشاف الخدمة التي تستدعي المكالمات بين التطبيقات. تختلف الخيارات استنادا إلى طبقة Azure Spring Apps.
- Basic/Standard: اكتشاف خدمة Kubernetes أو سجل خدمة Spring Cloud المدار (باستخدام Eureka)
- Enterprise: Tanzu Service Registry
وصول عامل التشغيل إلى الموارد. قد يصل أعضاء الفريق الذين يتحملون مسؤوليات مختلفة إلى حمل العمل الخاص بك. على سبيل المثال، قد تحتاج إلى منح حق الوصول إلى:
- أعضاء فريق النظام الأساسي الذين يحتاجون إلى الوصول التشغيلي.
- أعضاء فريق التطبيق الذين يطورون التطبيقات.
- مهندسو DevOps الذين يقومون بإنشاء مسارات وإصدارها لنشر حمل العمل والتكوين باستخدام البنية الأساسية كتعليمية (IaC).
- مهندسو موثوقية الموقع لاستكشاف المشكلات وإصلاحها.
استنادا إلى الغرض من الوصول، حدد مستوى التحكم الذي تريد توفيره للمستخدم. ابدأ بمبدأ الامتياز الأقل. يمكن أن تضمن تعيينات دور التحكم في الوصول استنادا إلى الدور أن المستخدمين لديهم مجموعة مناسبة من الامتيازات لمسؤولياتهم والحفاظ على الحدود. ضع في اعتبارك أدوار التحكم في الوصول استنادا إلى الدور المضمنة قبل إنشاء أدوار مخصصة.
الوصول إلى بيانات التكوين. استنادا إلى اختيارك للطبقة ل Azure Spring Apps (Basic/Standard أو Enterprise)، تحتاج إلى تحديد خيارات خادم التكوين.
بالنسبة إلى Basic، ضع في اعتبارك دعم الخادم والعميل. لتخزين ملفات خادم التكوين، اختر تكوينا خارجيا في نظام موزع، مثل Azure DevOps أو GitHub أو GitLab أو Bitbucket.
يمكنك استخدام المستودعات العامة أو الخاصة، واختيار آلية المصادقة الخاصة بها. تدعم Azure Spring Apps كلمة المرور الأساسية أو المصادقة المستندة إلى الرمز المميز وSSH.
بالنسبة إلى Enterprise، ضع في اعتبارك استخدام خدمة تكوين التطبيق ل VMware Tanzu، والتي تمكن إدارة موارد ConfigMap الأصلية من Kubernetes التي يتم ملؤها من الخصائص المحددة في مستودع Git واحد أو أكثر.
توصيات التصميم
الهويات المُدارة
استخدم الهويات المدارة للتطبيق بحيث تتم مصادقته من خلال Azure AD. لا تدعم جميع الخدمات هذه الميزة من Azure AD. لمزيد من المعلومات، راجع خدمات Azure التي تدعم مصادقة Azure AD.
حدد نوع الهوية المدارة المناسب لحالة الاستخدام الخاصة بك. ضع في اعتبارك المفاضلات مع سهولة الإدارة. على سبيل المثال، إذا كان التطبيق يحتاج إلى الوصول إلى موارد متعددة، يوصى بالهويات المدارة المعينة من قبل المستخدم. ولكن إذا كنت تريد أذونات مرتبطة لدورة حياة التطبيق، فقد تكون الهويات المدارة من قبل النظام أكثر ملاءمة.
لمزيد من المعلومات، راجع اختيار النظام أو الهويات المدارة المعينة من قبل المستخدم.
استخدم أدوار Azure RBAC المضمنة لتبسيط إدارة الأذونات المطلوبة لهوية مدارة.
- استخدم هويتك المدارة ل Azure Spring Apps.
- استخدم الهويات المدارة المعينة من قبل النظام والمخصصة من قبل المستخدم بشكل منفصل. لمزيد من المعلومات، راجع أفضل الممارسات عند استخدام الهويات المدارة.
- استخدم إدارة الهويات المتميزة في Azure AD.
تأمين الاتصال بالإنترنت
- استخدم الشهادات الصادرة عن مرجع مصدق أو شهادات التحقق الموسعة أو شهادات أحرف البدل.
- استخدم شهادات موقعة ذاتيا فقط لبيئات ما قبل الإنتاج.
- تحميل الشهادات بأمان من Azure Key Vault.
التحكم في الوصول استنادًا إلى الدور (RBAC)
- ضع في اعتبارك إنشاء أدوار مخصصة. اتبع مبدأ الامتياز الأقل عندما تتطلب الأدوار الجاهزة تعديلات على الأذونات الموجودة.
- اختر تخزين الأمان المحسن للمفاتيح والأسرار والشهادات وتكوين التطبيق.
- للتوزيع التلقائي، قم بإعداد كيان خدمة لديه الحد الأدنى من الأذونات المطلوبة للتوزيع من البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD.
- تمكين التسجيل التشخيصي لوحدة تحكم التطبيق وسجلات النظام وسجلات الدخول وسجلات الإنشاء وسجلات أحداث الحاوية. يمكنك استخدام هذه السجلات التفصيلية لتشخيص المشكلات المتعلقة بتطبيقك ومراقبة طلبات الوصول. عند تمكين هذه السجلات، يمنحك سجل نشاط Azure Monitor نظرة ثاقبة على الأحداث على مستوى الاشتراك.