Sdílet prostřednictvím

Zabezpečení v rámci předplatného Azure pro vývoj/testování

  • Článek

Zajištění bezpečnosti vašich prostředků je společné úsilí mezi vaším poskytovatelem cloudu, Azure a vámi. Předplatná Azure pro vývoj/testování a Microsoft Defender for Cloud vám poskytují nástroje potřebné k posílení sítě, zabezpečení služeb a zajištění, že jste nad stavem zabezpečení.

Důležité nástroje v rámci předplatných Azure pro vývoj/testování pomáhají vytvářet zabezpečený přístup k vašim prostředkům:

  • Skupiny pro správu Azure
  • Azure Lighthouse
  • Monitorování kreditů
  • Microsoft Entra ID

Skupiny pro správu Azure

Když povolíte a nastavíte předplatná Azure pro vývoj/testování, Azure nasadí výchozí hierarchii prostředků pro správu identit a přístupu k prostředkům v jedné doméně Microsoft Entra. Hierarchie prostředků umožňuje vaší organizaci nastavit silné hraniční sítě zabezpečení pro vaše prostředky a uživatele.

A screenshot of the Azure Management Groups

Vaše prostředky, skupiny prostředků, předplatná, skupiny pro správu a tenanti společně tvoří vaši hierarchii prostředků. Aktualizace a změna těchto nastavení ve vlastních rolích Azure nebo přiřazení zásad Azure můžou mít vliv na každý prostředek v hierarchii prostředků. Je důležité chránit hierarchii prostředků před změnami, které by mohly negativně ovlivnit všechny prostředky.

Skupiny pro správu Azure jsou důležitým aspektem řízení přístupu a ochrany prostředků v jednom tenantovi. Skupiny pro správu Azure umožňují nastavit kvóty, zásady Azure a zabezpečení pro různé typy předplatných. Tyto skupiny jsou důležitou součástí vývoje zabezpečení pro předplatná pro vývoj a testování vaší organizace.

A screenshot of Azure org and governance groupings

Jak vidíte, použití skupin pro správu změní výchozí hierarchii a přidá úroveň pro skupiny pro správu. Toto chování může potenciálně způsobit nepředvídatelné okolnosti a díry v zabezpečení, pokud nedodržujete příslušný proces ochrany hierarchie prostředků.

Proč jsou skupiny pro správu Azure užitečné?

Při vývoji zásad zabezpečení pro předplatná pro vývoj/testování vaší organizace se můžete rozhodnout mít více předplatných pro vývoj/testování na organizační jednotku nebo obchodní oddělení. Vizuál této skupiny pro správu můžete zobrazit v následujícím diagramu.

A diagram of subscription management groupings for multiple subscriptions within an organization.

Můžete se také rozhodnout mít jedno předplatné pro vývoj/testování pro všechny vaše různé jednotky.

Vaše skupiny pro správu Azure a předplatná pro vývoj/testování fungují jako bezpečnostní bariéra v rámci organizační struktury.

Tato bezpečnostní bariéra má dvě komponenty:

  • Identita a přístup: Možná budete muset segmentovat přístup ke konkrétním prostředkům.
  • Data: Různá předplatná pro prostředky, které přistupují k osobním údajům

Používání tenantů Microsoft Entra

Tenant je vyhrazená instance Microsoft Entra ID, kterou organizace nebo vývojář aplikací obdrží, když organizace nebo vývojář aplikací vytvoří vztah s Microsoftem, jako je registrace do Azure, Microsoft Intune nebo Microsoft 365.

Každý tenant Microsoft Entra je oddělený od ostatních tenantů Microsoft Entra. Každý tenant Microsoft Entra má vlastní reprezentaci pracovních a školních identit, identit uživatelů (pokud se jedná o tenanta Azure AD B2C) a registrace aplikací. Registrace aplikace ve vašem tenantovi může umožňovat ověřování z účtů pouze v rámci vašeho tenanta nebo ve všech tenantech.

Pokud potřebujete dále oddělit infrastrukturu identit vaší organizace nad rámec skupin pro správu v rámci jednoho tenanta, můžete také vytvořit další tenanty s vlastní hierarchií prostředků.

Jednoduchý způsob, jak provádět samostatné prostředky a uživatelé, je vytvoření nového tenanta Microsoft Entra.

Vytvoření nového tenanta Microsoft Entra

Pokud nemáte tenanta Microsoft Entra nebo chcete vytvořit nový tenant pro vývoj, projděte si úvodní příručkunebo postupujte podle prostředí pro vytváření adresářů. Abyste mohli vytvořit nového tenanta, musíte zadat následující informace:

  • Název organizace
  • Počáteční doména – je součástí /*.onmicrosoft.com. Doménu můžete později přizpůsobit.
  • Země nebo oblast

Další informace o vytváření a nastavování tenantů Microsoft Entra

Použití Služby Azure Lighthouse ke správě více tenantů

Azure Lighthouse umožňuje multiklientní správu, což umožňuje vyšší automatizaci, škálovatelnost a rozšířené zásady správného řízení napříč prostředky a tenanty. Poskytovatelé služeb můžou poskytovat spravované služby pomocí komplexních a robustních nástrojů pro správu integrovaných do platformy Azure. Zákazníci udržují kontrolu nad tím, kdo přistupuje ke svému tenantovi, ke kterým prostředkům přistupuje a jaké akce je možné provést.

Běžným scénářem pro Azure Lighthouse je správa prostředků v tenantech Microsoft Entra zákazníků. Funkce Služby Azure Lighthouse se ale dají použít také ke zjednodušení správy napříč tenanty v rámci podniku, který používá více tenantů Microsoft Entra.

Pro většinu organizací je správa jednodušší s jedním tenantem Microsoft Entra. Mít všechny prostředky v rámci jednoho tenanta umožňuje centralizaci úloh správy určenými uživateli, skupinami uživatelů nebo instančními objekty v rámci tohoto tenanta.

V případě, že se vyžaduje víceklientová architektura, azure Lighthouse pomáhá centralizovat a zjednodušit operace správy. Pomocí delegované správy prostředků Azure můžou uživatelé v jednom spravovaném tenantovi provádět funkce správy napříč tenanty centralizovaným a škálovatelným způsobem.

Další prostředky zabezpečení