Identita a přístup Azure pro cílové zóny

  • Článek

Důkladně vyhodnocujte a začleňte požadavky na ověřování při plánování nasazení cílových zón pro:

  • Windows Server Doména služby Active Directory Services (AD DS) místně nebo v cloudu.
  • Microsoft Entra Domain Services (Microsoft Entra Domain Services) v cloudu.

Aspekty návrhu

Zvažte následující řešení správy identit a přístupu pro nasazení cílových zón:

Spravované identity

  • Vyhodnoťte použití spravovaných identit pro prostředky Azure, které nepotřebují používat přihlašovací údaje.

  • Rozhodněte se, které úkoly a funkce by vaše organizace měla řídit pomocí spravovaných identit. Pokud chcete zkontrolovat, které prostředky Azure spravované identity podporují, podívejte se na služby Azure, které můžou používat spravované identity pro přístup k jiným službám. Další informace najdete v tématu Spravované identity pro prostředky Azure.

  • Spravované identity mají dvě možnosti: přiřazené systémem nebo přiřazené uživatelem. Pokyny k výběru spravovaných identit přiřazených systémem nebo přiřazených uživatelem najdete v tématu Volba spravovaných identit přiřazených systémem nebo přiřazenými uživatelem.

  • Aplikace, které se potřebují ověřit ve službě Azure, můžou používat spravované identity. Zjistěte, které služby nebo aplikace v rámci cílové zóny podporují ověřování Microsoft Entra. Pokud chcete zkontrolovat, které služby Azure podporují ověřování Microsoft Entra, podívejte se na služby Azure, které podporují ověřování Microsoft Entra.

  • Spravovaná identita přiřazená systémem je součástí řešení, které můžete nakonfigurovat pro přihlášení k virtuálnímu počítači pomocí ověřování Microsoft Entra. Další informace najdete v tématu Přihlášení k virtuálnímu počítači s Windows v Azure pomocí ověřování Microsoft Entra.

  • Je snadné si zmást, jak instanční objekty a spravované identity přistupují k prostředkům Azure. Vysvětlení najdete v tématu Demystifikace instančních objektů – spravované identity.

  • Prostředky Azure s identitami přiřazenými uživatelem nebo systémem nemůžete přenést do jiného předplatného Azure. Prostředky musíte přesunout ručně.

Řízení přístupu na základě role (RBAC)

  • U předdefinovaných rolí řízení přístupu na základě role (RBAC) můžete použít bezplatnou verzi ID Microsoft Entra, ale pro vlastní role potřebujete Microsoft Entra ID P1 nebo P2. Další informace najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

  • Při stanovení architektury pro správu identit a přístupu (IAM) a zásad správného řízení zvažte následující maximální limity služeb pro role, přiřazení rolí a vlastní role. Další informace najdete v tématu Omezení služby Azure RBAC.

    • 4 000 přiřazení rolí na předplatné.
    • 500přiřazeních
    • 30 Vlastních rolí Microsoft Entra v organizaci Microsoft Entra.

Nasazení Azure Classic

Do modelu nasazení Azure Resource Manager (ARM) můžete migrovat klasická prostředí Azure, ale nemůžete migrovat virtuální počítače a virtuální sítě. Je nutné upgradovat automatizované skripty tak, aby vyhovovaly novému schématu. Další informace najdete v tématu Migrace z modelu Classic na Resource Manager.

V případě rolí správce předplatného Azure Classic má účet Správa istrator ve výchozím nastavení připojený Správa istrator služby. Tyto role společně umožňují spravovat fakturaci prostředků Azure i samotné prostředky. Pokud chcete oddělit povinnosti, můžete převést vlastnictví služby Správa istrator na jiný účet. Vzhledem k tomu, že služba Správa istrator má stejnou funkci jako role vlastníka Azure, je osvědčeným postupem odebrat roli service Správa istrator a použít řízení přístupu na základě role ke správě přístupu k prostředkům Azure. Další informace najdete v části Změna správce služeb.

Doporučení k návrhu

  • Nasaďte zásady podmíněného přístupu Microsoft Entra pro uživatele s právy do prostředí Azure. Podmíněný přístup poskytuje další mechanismus, který pomáhá chránit řízené prostředí Azure před neoprávněným přístupem. Pokud používáte ověřování mimo MICROSOFT Entra ID, informace o omezeních najdete v tématu Vlastní ovládací prvky (Preview ).

  • Vynucujte vícefaktorové ověřování (MFA) pro uživatele s právy k prostředím Azure. Mnoho architektur dodržování předpisů vyžaduje vynucování vícefaktorového ověřování. Vícefaktorové ověřování výrazně snižuje riziko krádeže přihlašovacích údajů a neoprávněného přístupu.

  • Zvažte použití instančních objektů pro neinteraktivní přihlašování prostředků, takže vícefaktorové ověřování a aktualizace tokenů nebudou mít vliv na operace.

  • Využijte spravované identity Microsoft Entra pro prostředky Azure, abyste se vyhnuli ověřování na základě přihlašovacích údajů. Mnoho porušení zabezpečení prostředků veřejného cloudu pochází z krádeže přihlašovacích údajů vložených do kódu nebo jiného textu. Vynucení spravovaných identit pro programový přístup výrazně snižuje riziko krádeže přihlašovacích údajů.

  • Použijte Microsoft Defender for Cloud pro přístup ke všem prostředkům infrastruktury jako služby (IaaS) za běhu. Defender for Cloud umožňuje povolit ochranu na úrovni sítě pro dočasný přístup uživatelů k virtuálním počítačům IaaS.

Privileged Identity Management (PIM)

  • Použijte Microsoft Entra Privileged Identity Management (PIM) k vytvoření přístupu s nulovou důvěryhodností a nejnižšími oprávněními. Namapujte role vaší organizace na minimální potřebné úrovně přístupu. Microsoft Entra PIM může používat nativní nástroje Azure, rozšířit aktuální nástroje a procesy nebo podle potřeby používat aktuální i nativní nástroje.

  • Pomocí kontrol přístupu Microsoft Entra PIM pravidelně ověřte nároky na prostředky. Kontroly přístupu jsou součástí mnoha architektur dodržování předpisů, takže mnoho organizací už má zavedený proces kontroly přístupu.

  • Pro runbooky automation, které vyžadují zvýšená přístupová oprávnění, použijte privilegované identity. Pomocí stejných nástrojů a zásad můžete řídit automatizované pracovní postupy, které přistupují k kritickým hranicím zabezpečení při řízení uživatelů s ekvivalentními oprávněními.

Doporučení RBAC

  • Pokud je to možné, použijte Azure RBAC ke správě přístupu k prostředkům roviny dat. Mezi příklady koncových bodů roviny dat patří Azure Key Vault, účet úložiště nebo SQL Database.

  • Nepřidávejte uživatele přímo do oborů prostředků Azure. Přímá přiřazení uživatelů obcházejí centralizovanou správu, což ztěžuje zabránění neoprávněnému přístupu k omezeným datům. Místo toho přidejte uživatele do definovaných rolí a přiřaďte role k oborům prostředků.

  • Pomocí předdefinovaných rolí Microsoft Entra můžete spravovat následující nastavení identity:

    Role Využití Poznámka
    Globální správce Nepřiřazujte k této roli víc než pět lidí.
    Hybridní prostředí Hybridní identita Správa istrator
    Authentication Správce zabezpečení
    Podniková aplikace nebo proxy aplikací Správce aplikace Žádný globální správce souhlasu.

  • Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete si vytvořit vlastní role. Při vytváření vlastních rolí v rámci tenanta Microsoft Entra zvažte následující klíčové definice rolí. Zástupný znak * pod Actions znamená, že objekt zabezpečení přiřazený k této roli může provádět všechny akce. Akce, NotActions pod které se odečítají, se odečtou od Actions.

    Role Využití Akce NotActions
    Vlastník platformy Azure (například předdefinovaná role vlastníka) Správa životního cyklu skupiny pro správu a předplatného *
    Správa sítě (NetOps) Globální správa připojení pro celou platformu: Virtuální sítě, trasy definované uživatelem, skupiny zabezpečení sítě, síťová virtuální zařízení, SÍŤ VPN, Azure ExpressRoute a další */read, Microsoft.Network/*, Microsoft.Resources/deployments/*, Microsoft.Support/*
    Operace zabezpečení (SecOps) Role Správa istrator zabezpečení s horizontálním zobrazením celého majetku Azure a zásad vyprázdnění služby Azure Key Vault */read, */register/action, Microsoft.KeyVault/locations/
    deletedVaults/purge/action, Microsoft.PolicyInsights/*, Microsoft.Authorization/
    policyAssignments/*,
    Microsoft.Authorization/
    policyDefinitions/*,
    Microsoft.Authorization/
    policyExemptions/*,
    Microsoft.Authorization/
    policySetDefinitions/*,
    Microsoft.Insights/alertRules/*, Microsoft.Resources/deployments/*, Microsoft.Security/*, Microsoft.Support/*
    Vlastník předplatného Delegovaná role pro vlastníka předplatného vygenerovaného z role vlastníka předplatného * Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/
    expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
    Vlastníci aplikací (DevOps, AppOps) Role přispěvatele udělená pro aplikační/provozní tým v oboru předplatného * Microsoft.Authorization/*/write, Microsoft.Network/
    publicIPAddresses/write, Microsoft.Network/
    virtualNetworks/write, Microsoft.KeyVault/locations/
    deletedVaults/purge/action

Správa identit a přístupu v akcelerátoru cílových zón Azure

Správa identit a přístupu jsou základními funkcemi implementace akcelerátoru cílových zón Azure. Nasazení zahrnuje předplatné vyhrazené pro identitu, kde zákazníci můžou nasadit řadiče domény služby Active Directory, které vyžadují jejich prostředí.

Implementace obsahuje také možnosti:

  • Přiřaďte doporučené zásady pro řízení identit a řadičů domény.
  • Vytvořte virtuální síť a připojte se k centru prostřednictvím partnerského vztahu virtuálních sítí.