Introducción a la seguridad del puente de recursos de Azure Arc
En este artículo se describen la configuración y consideraciones de seguridad que debe evaluar antes de implementar el puente de recursos de Azure Arc en su empresa.
Uso de una identidad administrada
De forma predeterminada, se crea una identidad administrada asignada por el sistema y se asigna al puente de recursos de Azure Arc. El puente de recursos de Azure Arc actualmente admite solo una identidad asignada por el sistema. La identidad clusteridentityoperator inicia la primera comunicación saliente y captura el certificado de Managed Service Identity (MSI) que usan otros agentes para la comunicación con Azure.
Control de identidades y acceso
El puente de recursos de Azure Arc se representa como un recurso en un grupo de recursos dentro de una suscripción de Azure. El acceso a este recurso se controla mediante el control de acceso basado en roles de Azure estándar. En la página Access Control (IAM) de Azure Portal, puede comprobar quién tiene acceso al puente de recursos de Azure Arc.
Los usuarios y aplicaciones a los que se ha concedido el rol Colaborador o Administrador en el grupo de recursos pueden realizar cambios en el puente de recursos, incluida la implementación o eliminación de extensiones de clúster.
Residencia de datos
El puente de recursos de Azure Arc sigue las regulaciones de residencia de datos específicas de cada región. Si procede, se hace una copia de seguridad de los datos en una región del par secundario de acuerdo con las regulaciones de residencia de datos. De lo contrario, los datos solo residen en esa región específica. Los datos no se almacenan ni procesan en distintas zonas geográficas.
Cifrado de datos en reposo
El puente de recursos de Azure Arc almacena información de recursos en Azure Cosmos DB. Como se describe en Cifrado en reposo en Azure Cosmos DB, todos los datos se cifran en reposo.
Registros de auditoría de seguridad
El registro de actividad es un registro de la plataforma de Azure que proporciona información de los eventos en el nivel de suscripción. Esto incluye el seguimiento de cuándo se modifica elimina o agrega el puente de recursos de Azure Arc. Puede ver el registro de actividad en Azure Portal o recuperar entradas con PowerShell y la CLI de Azure. De forma predeterminada, los eventos del registro de actividad se conservan durante 90 días y después se eliminan.
Pasos siguientes
- Conozca los requisitos del sistema y los requisitos de red para el puente de recursos de Azure Arc.
- Consulte a introducción al puente de recursos de Azure Arc para obtener más información sobre las características y las ventajas.
- Más información sobre Azure Arc.