Share via

توصيات لإدارة الهوية والوصول

  • مقالة

ينطبق على توصية قائمة التحقق من أمان Azure Well-Architected Framework هذه:

SE:05 تنفيذ إدارة الهوية والوصول الصارمة والمشروطة والقابلة للتدقيق (IAM) عبر جميع مستخدمي حمل العمل وأعضاء الفريق ومكونات النظام. تقييد الوصول حصريا حسب الضرورة. استخدم معايير الصناعة الحديثة لجميع تطبيقات المصادقة والتخويل. تقييد الوصول الذي لا يستند إلى الهوية وتدقيقه بدقة.

يصف هذا الدليل توصيات مصادقة الهويات التي تحاول الوصول إلى موارد حمل العمل وتخويلها.

من منظور التحكم التقني، الهوية هي دائما المحيط الأساسي. لا يتضمن هذا النطاق فقط حواف حمل العمل الخاص بك. كما يتضمن مكونات فردية داخل حمل العمل الخاص بك. تتضمن الهويات النموذجية ما يلي:

  • البشر. مستخدمو التطبيق والمسؤولون والمشغلون ومدققو الحسابات والممثلون السيئون.

  • الأنظمة. هويات حمل العمل والهويات المدارة ومفاتيح واجهة برمجة التطبيقات وكيانات الخدمة وموارد Azure.

  • ‏‏مجهول. الكيانات التي لم تقدم أي دليل حول من هم.

التعريفات 

المصطلحات التعريف
المصادقة (AuthN) عملية تتحقق من أن الهوية هي من أو ما تقوله.
التخويل (AuthZ) عملية تتحقق من أن الهوية لديها إذن لتنفيذ إجراء مطلوب.
نظام الوصول المشروط مجموعة من القواعد التي تسمح بالإجراءات استنادا إلى معايير محددة.
IdP موفر هوية، مثل معرف Microsoft Entra.
الشخصية وظيفة أو عنوان له مجموعة من المسؤوليات والإجراءات.
مفاتيح تم المشاركة مسبقا نوع من البيانات السرية التي تتم مشاركتها بين الموفر والمستهلك وتستخدم من خلال آلية آمنة ومتفق عليها.
هوية المورد هوية محددة لموارد السحابة التي يديرها النظام الأساسي.
الدور مجموعة من الأذونات التي تحدد ما يمكن للمستخدم أو المجموعة القيام به.
النطاق مستويات مختلفة من التسلسل الهرمي التنظيمي حيث يسمح للدور بالعمل. أيضا مجموعة من الميزات في النظام.
أساس الأمان هوية توفر أذونات. يمكن أن يكون مستخدما أو مجموعة أو كيان خدمة. يحصل أي أعضاء في المجموعة على نفس مستوى الوصول.
هوية المستخدم هوية لشخص، مثل موظف أو مستخدم خارجي.
هوية حمل العمل هوية نظام لتطبيق أو خدمة أو برنامج نصي أو حاوية أو مكون آخر من حمل العمل المستخدم لمصادقة نفسه على خدمات وموارد أخرى.

ملاحظة

يمكن تجميع الهوية مع هويات أخرى مشابهة ضمن أصل يسمى أساس الأمان. مجموعة الأمان هي مثال على أساس الأمان. تعمل هذه العلاقة الهرمية على تبسيط الصيانة وتحسين التناسق. نظرا لعدم معالجة سمات الهوية على المستوى الفردي، يتم أيضا تقليل فرص الأخطاء. في هذه المقالة، مصطلح الهوية شامل لأساسيات الأمان.

دور موفر الهوية

موفر الهوية (IdP) هو خدمة مستضافة على السحابة تخزن المستخدمين وتديرهم كهويات رقمية.

استفد من الإمكانات التي يوفرها موفر الهوية الموثوق به لإدارة الهوية والوصول. لا تنفذ أنظمة مخصصة لاستبدال IdP. يتم تحسين أنظمة IdP بشكل متكرر استنادا إلى أحدث متجهات الهجوم من خلال التقاط مليارات الإشارات عبر مستأجرين متعددين كل يوم. معرف Microsoft Entra هو IdP للنظام الأساسي السحابي Azure.

المصادقة

المصادقة هي عملية تتحقق من الهويات. مطلوب هوية الطلب لتوفير شكل من أشكال الهوية التي يمكن التحقق منها. على سبيل المثال:

  • اسم مستخدم وكلمة مرور.

  • سر مشترك مسبقا، مثل مفتاح واجهة برمجة التطبيقات الذي يمنح الوصول.

  • رمز مميز لتوقيع الوصول المشترك (SAS).

  • شهادة تستخدم في المصادقة المتبادلة ل TLS.

أكبر قدر ممكن، يجب معالجة عملية التحقق من قبل IdP الخاص بك.

التخويل

التخويل هو عملية تسمح أو ترفض الإجراءات التي تطلبها الهوية التي تم التحقق منها. قد يكون الإجراء تشغيلياً أو متعلقاً بإدارة الموارد.

يتطلب التخويل تعيين أذونات للهويات، والتي تحتاج إلى القيام بها باستخدام الوظائف التي يوفرها موفر الهوية الخاص بك.

استراتيجيات التصميم الرئيسية

للحصول على عرض شامل لاحتياجات الهوية لحمل العمل، تحتاج إلى فهرسة التدفقات وأصول حمل العمل والشخصيات والإجراءات التي ستقوم بها الأصول والشخصيات. يجب أن تغطي استراتيجيتك جميع حالات الاستخدام التي تتعامل مع التدفقات التي تصل إلى حمل العمل أو مكوناته (الوصول الخارجي) والتدفقات التي تصل من حمل العمل إلى مصادر أخرى (الوصول الداخلي).

من المحتمل أن يكون لكل حالة استخدام مجموعة خاصة بها من عناصر التحكم التي تحتاج إلى تصميمها بعقلية افتراض الخرق. استنادا إلى متطلبات الهوية لحالة الاستخدام أو الشخصيات، حدد الخيارات الشرطية. تجنب استخدام حل واحد لجميع حالات الاستخدام. وعلى العكس من ذلك، لا ينبغي أن تكون عناصر التحكم دقيقة لدرجة أنك تقدم حملا إداريا غير ضروري.

تحتاج إلى تسجيل مسار الوصول إلى الهوية. يساعد القيام بذلك على التحقق من صحة عناصر التحكم، ويمكنك استخدام السجلات لتدقيق التوافق.

تحديد جميع الهويات للمصادقة

  • الوصول الخارجي. يجب أن يصادق تصميم الهوية الخاص بك جميع المستخدمين الذين يصلون إلى حمل العمل لأغراض مختلفة. على سبيل المثال، المستخدم النهائي الذي يصل إلى التطبيق عن طريق استدعاء واجهات برمجة التطبيقات.

    على مستوى متعدد المستويات، قد تحتاج مكونات حمل العمل أيضا إلى الوصول من الخارج. على سبيل المثال، عامل التشغيل الذي يحتاج إلى الوصول من خلال المدخل أو الوصول إلى الحساب لتشغيل الأوامر.

    كلاهما مثال على هويات المستخدمين التي لها شخصيات مختلفة.

  • الوصول من الداخل إلى الخارج. سيحتاج تطبيقك إلى الوصول إلى موارد أخرى. على سبيل المثال، القراءة من النظام الأساسي للبيانات أو الكتابة إليه، واسترداد البيانات السرية من مخزن البيانات السرية، وتسجيل بيانات تتبع الاستخدام إلى خدمات المراقبة. قد تحتاج حتى إلى الوصول إلى خدمات الجهات الخارجية. تتطلب احتياجات الوصول هذه هوية حمل العمل، والتي تمكن التطبيق من المصادقة على نفسه مقابل الموارد الأخرى.

    ينطبق المفهوم على مستوى المكون. في المثال التالي، قد تحتاج الحاوية إلى الوصول إلى مسارات التوزيع للحصول على تكوينها. تتطلب احتياجات الوصول هذه هوية المورد.

يجب مصادقة جميع هذه الهويات بواسطة IdP الخاص بك.

فيما يلي مثال على كيفية تنفيذ الهوية في بنية:

رسم تخطيطي يوضح كيفية تنفيذ الهوية في بنية.

تحديد إجراءات التخويل

بعد ذلك، تحتاج إلى معرفة ما تحاول كل هوية مصادق عليها القيام به حتى يمكن التصريح بهذه الإجراءات. يمكن تقسيم الإجراءات حسب نوع الوصول الذي تتطلبه:

  • الوصول إلى مستوى البيانات. تتسبب الإجراءات التي تحدث في مستوى البيانات في نقل البيانات للوصول الداخلي أو الخارجي. على سبيل المثال، تطبيق يقرأ البيانات من قاعدة بيانات ويكتب البيانات إلى قاعدة بيانات، أو يجلب الأسرار، أو يكتب السجلات إلى متلقي مراقبة. على مستوى المكون، تعتبر الحوسبة التي تسحب الصور أو تدفعها من أو إلى السجل عمليات مستوى البيانات.

  • الوصول إلى وحدة التحكم. تتسبب الإجراءات التي تحدث في مستوى التحكم في إنشاء مورد Azure أو تعديله أو حذفه. على سبيل المثال، التغييرات على خصائص المورد.

تستهدف التطبيقات عادة عمليات مستوى البيانات، بينما غالبا ما تصل العمليات إلى كل من مستويات التحكم والبيانات. لتحديد احتياجات التخويل، لاحظ الإجراءات التشغيلية التي يمكن تنفيذها على المورد. للحصول على معلومات حول الإجراءات المسموح بها لكل مورد، راجع عمليات موفر موارد Azure.

توفير التخويل المستند إلى الدور

استنادا إلى مسؤولية كل هوية، قم بتخويل الإجراءات التي يجب السماح بها. يجب عدم السماح للهوية بالقيام بأكثر مما يجب القيام به. قبل تعيين قواعد التخويل، تحتاج إلى فهم واضح لمن أو ما يقدم الطلبات، وما يسمح لهذا الدور بالقيام به، وإلى أي مدى يمكنه القيام بذلك. تؤدي هذه العوامل إلى خيارات تجمع بين الهوية والدور والنطاق.

ضع في اعتبارك هوية حمل العمل كمثال. يجب أن يكون للتطبيق وصول مستوى البيانات إلى قاعدة البيانات، لذلك يجب السماح بإجراءات القراءة والكتابة إلى مورد البيانات. ومع ذلك، هل يحتاج التطبيق إلى وصول وحدة التحكم إلى المخزن السري؟ إذا تعرض هوية حمل العمل للخطر من قبل جهة فاعلة سيئة، فماذا سيكون التأثير على النظام، من حيث السرية والسلامة والتوافر؟

تعيين الدور

الدور هو مجموعة من الأذونات التي تم تعيينها إلى هوية. قم بتعيين الأدوار التي تسمح فقط للهوية بإكمال المهمة، وليس أكثر. عندما تقتصر أذونات المستخدم على متطلبات الوظيفة الخاصة به، يكون من الأسهل تحديد السلوك المشبوه أو غير المصرح به في النظام.

اطرح أسئلة مثل هذه:

  • هل الوصول للقراءة فقط كاف؟
  • هل تحتاج الهوية إلى أذونات لحذف الموارد؟

يؤدي تقييد مستوى الوصول الذي يمتلكه المستخدمون أو التطبيقات أو الخدمات إلى موارد Azure إلى تقليل سطح الهجوم المحتمل. إذا منحت الحد الأدنى فقط من الأذونات المطلوبة لأداء مهام محددة، يتم تقليل خطر نجاح هجوم أو وصول غير مصرح به بشكل كبير. على سبيل المثال، تحتاج فرق الأمان فقط إلى الوصول للقراءة فقط إلى سمات الأمان لجميع البيئات التقنية. وهذا المستوى كاف لتقييم عوامل الخطر، وتحديد عوامل التخفيف المحتملة، والإبلاغ عن المخاطر.

هناك سيناريوهات يحتاج فيها المستخدمون إلى مزيد من الوصول بسبب البنية التنظيمية وتنظيم الفريق. قد يكون هناك تداخل بين الأدوار المختلفة، أو قد يؤدي المستخدمون الفرديون أدوارا قياسية متعددة. في هذه الحالة، استخدم تعيينات أدوار متعددة تستند إلى وظيفة العمل بدلا من إنشاء دور مخصص لكل من هؤلاء المستخدمين. يؤدي القيام بذلك إلى تسهيل إدارة الأدوار.

تجنب الأذونات التي تشير بشكل خاص إلى الموارد الفردية أو المستخدمين. تخلق الأذونات الدقيقة والمخصصة التعقيد والارتباك لأنها لا تمرر النية إلى موارد جديدة متشابهة. يمكن أن يؤدي هذا إلى إنشاء تكوين قديم معقد يصعب صيانته والتأثير سلبا على كل من الأمان والموثوقية.

المفاضلة: يتيح نهج التحكم في الوصول متعدد المستويات تدقيقا ومراقبة أفضل لأنشطة المستخدم.

يحتوي الدور أيضا على نطاق مقترن. يمكن أن يعمل الدور في مجموعة الإدارة المسموح بها أو الاشتراك أو مجموعة الموارد أو نطاق الموارد أو في نطاق مخصص آخر. حتى إذا كانت الهوية لديها مجموعة محدودة من الأذونات، فإن توسيع النطاق ليشمل الموارد خارج وظيفة وظيفة الهوية أمر محفوف بالمخاطر. على سبيل المثال، يمكن أن يكون الوصول للقراءة إلى جميع التعليمات البرمجية والبيانات المصدر خطيرا ويجب التحكم فيه.

يمكنك تعيين أدوار للهويات باستخدام التحكم في الوصول المستند إلى الدور (RBAC). استخدم دائما التحكم في الوصول استنادا إلى الدور الذي يوفره IdP للاستفادة من الميزات التي تمكنك من تطبيق التحكم في الوصول باستمرار وإبطاله بدقة.

استخدم الأدوار المضمنة. تم تصميمها لتغطية معظم حالات الاستخدام. الأدوار المخصصة قوية ومفيدة في بعض الأحيان، ولكن يجب عليك حجزها للسيناريوهات التي لن تعمل فيها الأدوار المضمنة. يؤدي التخصيص إلى التعقيد الذي يزيد الإرباك ويجعل الأتمتة أكثر تعقيداً وتحدياً وضعفاً. وتؤثر هذه العوامل جميعها تأثيراً سلبياً على الأمان.

امنح الأدوار التي تبدأ بأقل امتياز وأضف المزيد استنادا إلى احتياجاتك التشغيلية أو احتياجات الوصول إلى البيانات. يجب أن يكون لدى فرقك التقنية إرشادات واضحة لتنفيذ الأذونات.

إذا كنت تريد تحكما دقيقا في التحكم في الوصول استنادا إلى الدور، أضف شروطا على تعيين الدور استنادا إلى السياق، مثل الإجراءات والسمات.

تحديد خيارات الوصول المشروط

لا تمنح جميع الهويات نفس مستوى الوصول. تستند قراراتك إلى عاملين رئيسيين:

  • الوقت. كم من الوقت يمكن للهوية الوصول إلى بيئتك.

  • الامتياز. مستوى الأذونات.

هذه العوامل ليست حصرية بشكل متبادل. يمكن للهوية المخترقة التي لديها المزيد من الامتيازات ومدة الوصول غير المحدودة الحصول على مزيد من التحكم في النظام والبيانات أو استخدام هذا الوصول لمواصلة تغيير البيئة. تقييد عوامل الوصول هذه كإجراء وقائي والتحكم في نصف قطر الانفجار.

  • توفر نهج الوقت المناسب (JIT) الامتيازات المطلوبة فقط عند الحاجة إليها.

  • يوفر Just Enough Access (JEA) الامتيازات المطلوبة فقط.

على الرغم من أن الوقت والامتياز هما العاملان الأساسيان، إلا أن هناك شروطا أخرى تنطبق. على سبيل المثال، يمكنك أيضا استخدام الجهاز والشبكة والموقع الذي نشأ منه الوصول لتعيين النهج.

استخدم عناصر تحكم قوية تقوم بتصفية الوصول غير المصرح به واكتشافه وحظره، بما في ذلك معلمات مثل هوية المستخدم والموقع وصحة الجهاز وسياق حمل العمل وتصنيف البيانات والشذوذ.

على سبيل المثال، قد يحتاج حمل العمل الخاص بك إلى الوصول إليه بواسطة هويات الجهات الخارجية مثل الموردين والشركاء والعملاء. إنهم بحاجة إلى المستوى المناسب من الوصول بدلا من الأذونات الافتراضية التي توفرها للموظفين بدوام كامل. يسهل التمييز الواضح بين الحسابات الخارجية منع واكتشاف الهجمات التي تأتي من هذه المتجهات.

يجب أن يكون اختيارك ل IdP قادرا على توفير هذا التمايز، وتوفير ميزات مضمنة تمنح أذونات استنادا إلى أقل امتياز، وتوفر تحليلا ذكيا مضمنا للمخاطر. يتضمن ذلك مراقبة طلبات الوصول وتسجيلات الدخول. معرف Azure هو معرف Microsoft Entra. لمزيد من المعلومات، راجع قسم تسهيل Azure في هذه المقالة.

حسابات التأثيرات الهامة

تقدم الهويات الإدارية بعض أكبر المخاطر الأمنية تأثيرا لأن المهام التي تؤديها تتطلب وصولا متميزا إلى مجموعة واسعة من هذه الأنظمة والتطبيقات. يمكن أن يكون للاختراق أو إساءة الاستخدام تأثير ضار على عملك وأنظمة المعلومات الخاصة به. يعد أمن الإدارة أحد أهم المجالات الأمنية.

تتطلب حماية الوصول المتميز ضد خصوم مصممين يطلبون منك اتباع أسلوب كامل ومدروس لعزل هذه الأنظمة عن المخاطر. فيما يلي بعض الاستراتيجيات:

  • تقليل عدد حسابات التأثير الهامة.

  • استخدم أدوارا منفصلة بدلا من رفع الامتيازات للهويات الموجودة.

  • تجنب الوصول الدائم أو الدائم باستخدام ميزات JIT لمعرف IdP الخاص بك. بالنسبة لحالات كسر الزجاج، اتبع عملية الوصول في حالات الطوارئ.

  • استخدم بروتوكولات الوصول الحديثة مثل المصادقة بدون كلمة مرور أو المصادقة متعددة العوامل. قم بإضفاء الطابع الخارجي على هذه الآليات إلى IdP الخاص بك.

  • فرض سمات الأمان الرئيسية باستخدام نهج الوصول المشروط.

  • إيقاف تشغيل الحسابات الإدارية التي لا يتم استخدامها.

استخدم هوية واحدة عبر البيئات واربط هوية واحدة بالمستخدم أو الأساسي. يقلل اتساق الهويات عبر البيئات السحابية والمحلية من الأخطاء البشرية والمخاطر الأمنية الناتجة. تحتاج الفرق في كلتا البيئتين التي تدير الموارد إلى مصدر متسق وموثوق من أجل تلبية ضمانات الأمان. اعمل مع فريق الهوية المركزي لضمان مزامنة الهويات في البيئات المختلطة.

المخاطر: هناك خطر مرتبط بمزامنة الهويات ذات الامتيازات العالية. يمكن للمهاجم التحكم الكامل في الأصول المحلية، ويمكن أن يؤدي ذلك إلى اختراق ناجح لحساب سحابي. قم بتقييم استراتيجية المزامنة الخاصة بك عن طريق تصفية الحسابات التي يمكن إضافتها إلى سطح الهجوم.

إنشاء عمليات لإدارة دورة حياة الهوية

يجب ألا يستمر الوصول إلى الهويات لفترة أطول من الموارد التي تصل إليها الهويات. تأكد من أن لديك عملية لتعطيل الهويات أو حذفها عند وجود تغييرات في بنية الفريق أو مكونات البرامج.

تنطبق هذه الإرشادات على التحكم بالمصادر والبيانات ووحدات التحكم ومستخدمي حمل العمل والبنية الأساسية والأدوات ومراقبة البيانات والسجلات والمقاييس والكيانات الأخرى.

إنشاء عملية إدارة الهوية لإدارة دورة حياة الهويات الرقمية والمستخدمين ذوي الامتيازات العالية والمستخدمين الخارجيين/الضيوف ومستخدمي حمل العمل. تنفيذ مراجعات صلاحية الوصول للتأكد من أنه عندما تغادر الهويات المؤسسة أو الفريق، تتم إزالة أذونات حمل العمل الخاصة بهم.

حماية البيانات السرية المستندة إلى عدم الدقة

يجب اعتبار أسرار التطبيق مثل المفاتيح التي تم نشرها مسبقا نقاطا عرضة للخطر في النظام. في الاتصال ثنائي الاتجاه، إذا تم اختراق الموفر أو المستهلك، يمكن تقديم مخاطر أمنية كبيرة. يمكن أن تكون هذه المفاتيح مرهقة أيضا لأنها تقدم عمليات تشغيلية.

عندما يمكنك، تجنب استخدام الأسرار وفكر في استخدام المصادقة المستندة إلى الهوية لوصول المستخدم إلى التطبيق نفسه، وليس فقط إلى موارده.

توفر القائمة التالية ملخصا للإرشادات. لمزيد من المعلومات، راجع توصيات أسرار التطبيق.

  • تعامل مع هذه الأسرار ككيانات يمكن سحبها ديناميكيا من مخزن سري. لا ينبغي أن تكون مشفرة في التعليمات البرمجية للتطبيق الخاص بك، أو البرامج النصية IaC، أو مسارات التوزيع، أو في أي أداة أخرى.

  • تأكد من أن لديك القدرة على إبطال الأسرار.

  • تطبيق الممارسات التشغيلية التي تتعامل مع مهام مثل تدوير المفتاح وانتهاء الصلاحية.

للحصول على معلومات حول نهج التدوير، راجع أتمتة تدوير البيانات السرية للموارد التي تحتوي على مجموعتين من بيانات اعتماد المصادقةوالبرنامج التعليمي: تحديث تكرار التدوير التلقائي للشهادة في Key Vault.

الحفاظ على أمان بيئات التطوير

يجب اعتبار جميع التعليمات البرمجية والبرامج النصية، أدوات البنية الأساسية لبرنامج ربط العمليات التجارية، وأنظمة التحكم بالمصادر أصول حمل العمل. يجب أن يكون الوصول إلى عمليات الكتابة مسورا بالأتمتة ومراجعة النظراء. يجب أن يقتصر الوصول للقراءة إلى التعليمات البرمجية المصدر على الأدوار على أساس الحاجة إلى المعرفة. يجب أن تحتوي مستودعات التعليمات البرمجية على تعيين الإصدار، ويجب أن تكون مراجعات التعليمات البرمجية للأمان من قبل النظراء ممارسة منتظمة متكاملة مع دورة حياة التطوير. تحتاج إلى وجود عملية تقوم بفحص الموارد بانتظام وتحديد أحدث الثغرات الأمنية.

استخدم هويات حمل العمل لمنح حق الوصول إلى الموارد من بيئات النشر، مثل GitHub.

الاحتفاظ بسجل تدقيق

أحد جوانب إدارة الهوية هو ضمان أن النظام قابل للتدقيق. تتحقق عمليات التدقيق من صحة ما إذا كانت استراتيجيات افتراض الخرق فعالة. يساعدك الحفاظ على سجل التدقيق على:

  • تحقق من مصادقة الهوية بمصادقة قوية. يجب أن يكون أي إجراء قابلا للتتبع لمنع هجمات الإنكار.

  • الكشف عن بروتوكولات المصادقة الضعيفة أو المفقودة والحصول على رؤية ونتائج تحليلات حول تسجيلات دخول المستخدم والتطبيق.

  • قم بتقييم الوصول من الهويات إلى حمل العمل استنادا إلى متطلبات الأمان والتوافق وفكر في مخاطر حساب المستخدم وحالة الجهاز والمعايير والنهج الأخرى التي قمت بتعيينها.

  • تعقب التقدم أو الانحراف عن متطلبات التوافق.

معظم الموارد لديها وصول إلى مستوى البيانات. تحتاج إلى معرفة الهويات التي تصل إلى الموارد والإجراءات التي تنفذها. يمكنك استخدام هذه المعلومات لتشخيصات الأمان.

لمزيد من المعلومات، راجع توصيات حول مراقبة الأمان وتحليل التهديدات.

تسهيل Azure

نوصي دائما باستخدام بروتوكولات المصادقة الحديثة التي تأخذ في الاعتبار جميع نقاط البيانات المتاحة وتستخدم الوصول المشروط. يوفر معرف Microsoft Entra إدارة الهوية والوصول في Azure. وهو يغطي مستوى إدارة Azure وهو متكامل مع مستويات البيانات لمعظم خدمات Azure. معرف Microsoft Entra هو المستأجر المرتبط باشتراك حمل العمل. وهو يتتبع الهويات والأذونات المسموح بها ويديرها ويبسط الإدارة الشاملة لتقليل مخاطر الرقابة أو الخطأ البشري.

تتكامل هذه الإمكانات في الأصل في نفس نموذج الهوية والأذونات Microsoft Entra لشرائح المستخدم:

يمكنك استخدام معرف Microsoft Entra للمصادقة والتخويل للتطبيقات المخصصة عبر Microsoft Authentication Library (MSAL) أو ميزات النظام الأساسي، مثل المصادقة لتطبيقات الويب. وهو يغطي مستوى إدارة Azure، ومستوى البيانات لمعظم خدمات Azure، وقدرات التكامل لتطبيقاتك.

يمكنك البقاء على اطلاع بزيارة ما الجديد في معرف Microsoft Entra.

المفاضلة: Microsof Microsoft Entra ID هو نقطة فشل واحدة تماما مثل أي خدمة أساسية أخرى. لا يوجد حل بديل حتى يتم إصلاح الانقطاع بواسطة Microsoft. ومع ذلك، فإن مجموعة الميزات الغنية من Microsoft Entra تفوق خطر استخدام حلول مخصصة.

يدعم Azure البروتوكولات المفتوحة مثل OAuth2 وOpenID Connect. نوصي باستخدام آليات المصادقة والتخويل القياسية هذه بدلا من تصميم التدفقات الخاصة بك.

Azure RBAC

يمثل Azure RBAC أساسيات الأمان في معرف Microsoft Entra. يتم إجراء جميع تعيينات الأدوار عبر Azure RBAC. استفد من الأدوار المضمنة التي توفر معظم الأذونات التي تحتاجها. لمزيد من المعلومات، راجع Microsoft Entra الأدوار المضمنة.

فيما يلي بعض حالات الاستخدام:

لمزيد من المعلومات حول التحكم في الوصول استنادا إلى الدور، راجع أفضل الممارسات ل Azure RBAC.

للحصول على معلومات حول عناصر التحكم المستندة إلى السمات، راجع ما هو Azure ABAC؟.

هوية حمل العمل

يمكن لمعرف Microsoft Entra التعامل مع هوية التطبيق الخاص بك. يمكن لمدير الخدمة المرتبط بالتطبيق إملاء نطاق الوصول الخاص به.

لمزيد من المعلومات، راجع ما هي هويات حمل العمل؟.

يتم أيضا تجريد كيان الخدمة عند استخدام هوية مدارة. الميزة هي أن Azure يدير جميع بيانات الاعتماد للتطبيق.

لا تدعم جميع الخدمات الهويات المدارة. إذا لم تتمكن من استخدام الهويات المدارة، يمكنك استخدام كيانات الخدمة. ومع ذلك، يؤدي استخدام كيانات الخدمة إلى زيادة النفقات العامة للإدارة. لمزيد من المعلومات، راجع ما هي الهويات المدارة لموارد Azure؟.

هوية المورد

يمكن توسيع مفهوم الهويات المدارة إلى موارد Azure. يمكن لموارد Azure استخدام الهويات المدارة لمصادقة نفسها على خدمات أخرى تدعم مصادقة Microsoft Entra. لمزيد من المعلومات، راجع خدمات Azure التي يمكنها استخدام الهويات المدارة للوصول إلى خدمات أخرى.

نُهج الوصول المشروط

يصف الوصول المشروط نهجك لقرار الوصول. لاستخدام الوصول المشروط، تحتاج إلى فهم القيود المطلوبة لحالة الاستخدام. قم بتكوين Microsoft Entra الوصول المشروط عن طريق إعداد نهج وصول لهذا استنادا إلى احتياجاتك التشغيلية.

لمزيد من المعلومات، راجع الوصول المشروط: المستخدمون والمجموعات وهويات حمل العمل.

إدارة الوصول إلى المجموعة

بدلا من منح أذونات لمستخدمين محددين، قم بتعيين الوصول إلى المجموعات في معرف Microsoft Entra. إذا لم تكن المجموعة موجودة، فاعمل مع فريق الهوية لإنشاء مجموعة. يمكنك بعد ذلك إضافة أعضاء المجموعة وإزالتها خارج Azure والتأكد من أن الأذونات حالية. يمكنك أيضا استخدام المجموعة لأغراض أخرى، مثل القوائم البريدية.

لمزيد من المعلومات، راجع التحكم في الوصول الآمن باستخدام المجموعات في معرف Microsoft Entra.

الكشف عن التهديدات

يمكن أن تساعدك Microsoft Entra ID Protection في اكتشاف المخاطر المستندة إلى الهوية والتحقيق فيها ومعالجتها. لمزيد من المعلومات، راجع ما هي حماية الهوية؟.

يمكن أن يتخذ الكشف عن التهديدات شكل التفاعل مع تنبيه النشاط المشبوه أو البحث الاستباقي عن الأحداث الشاذة في سجلات النشاط. تسهل تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Sentinel اكتشاف الأنشطة المشبوهة. لمزيد من المعلومات، راجع تحديد التهديدات المتقدمة باستخدام UEBA.

الأنظمة المختلطة

على Azure، لا تقم بمزامنة الحسابات مع معرف Microsoft Entra الذي له امتيازات عالية في Active Directory الحالي. يتم حظر هذه المزامنة في التكوين الافتراضي Microsoft Entra Connect Sync، لذلك تحتاج فقط إلى التأكد من أنك لم تقم بتخصيص هذا التكوين.

للحصول على معلومات حول التصفية في معرف Microsoft Entra، راجع Microsoft Entra Connect Sync: تكوين التصفية.

تسجيل الهوية

تمكين إعدادات التشخيص على موارد Azure لإرسال المعلومات التي يمكنك استخدامها كسجل تدقيق. توضح معلومات التشخيص الهويات التي تحاول الوصول إلى الموارد ونتائج تلك المحاولات. يتم إرسال السجلات التي تم جمعها إلى Azure Monitor.

المفاضلة: يتحمل التسجيل تكاليف بسبب تخزين البيانات المستخدم لتخزين السجلات. قد يتسبب أيضا في تأثير على الأداء، خاصة على التعليمات البرمجية وعلى حلول التسجيل التي تضيفها إلى التطبيق.

مثال

يوضح المثال التالي تنفيذ الهوية. يتم استخدام أنواع مختلفة من الهويات معا لتوفير المستويات المطلوبة من الوصول.

رسم تخطيطي يوضح تنفيذ الهوية.

مكونات الهوية

  • الهويات التي يديرها النظام. يوفر معرف Microsoft Entra الوصول إلى مستويات بيانات الخدمة التي لا تواجه المستخدمين، مثل Azure Key Vault ومخازن البيانات. تتحكم هذه الهويات أيضا في الوصول، عبر التحكم في الوصول استنادا إلى الدور، إلى مستوى إدارة Azure لمكونات حمل العمل ووكلاء التوزيع وأعضاء الفريق.

  • هويات حمل العمل. تستخدم خدمات التطبيق في مجموعة Azure Kubernetes Service (AKS) هويات حمل العمل لمصادقة نفسها على مكونات أخرى في الحل.

  • الهويات المُدارة. تستخدم مكونات النظام في دور العميل الهويات التي يديرها النظام، بما في ذلك عوامل الإنشاء.

  • الهويات البشرية. يتم تفويض مصادقة المستخدم والمشغل إلى معرف Microsoft Entra أو معرف Microsoft Entra (أصلي أو B2B أو B2C).

يعد أمان البيانات السرية التي تم نشرها مسبقا أمرا بالغ الأهمية لأي تطبيق. يوفر Azure Key Vault آلية تخزين آمنة لهذه الأسرار، بما في ذلك Redis وأسرار الجهات الخارجية.

يتم استخدام آلية التدوير للمساعدة في ضمان عدم اختراق الأسرار. تستخدم الرموز المميزة لتنفيذ النظام الأساسي للهويات في Microsoft OAuth 2 وOpenID Connect لمصادقة المستخدمين.

يتم استخدام نهج Azure للتأكد من أن مكونات الهوية مثل Key Vault تستخدم التحكم في الوصول استنادا إلى الدور بدلا من نهج الوصول. يوفر JIT و JEA أذونات دائمة تقليدية للمشغلين البشريين.

يتم تمكين سجلات الوصول عبر جميع المكونات عبر تشخيصات Azure، أو عبر التعليمات البرمجية لمكونات التعليمات البرمجية.

قائمة التحقق من الأمان

راجع المجموعة الكاملة من التوصيات.

قائمة التحقق من الأمان