Administración de identidades y acceso para servidores habilitados para Azure Arc

  • Artículo

Su organización debe diseñar los controles de acceso adecuados para proteger entornos híbridos mediante sistemas de administración de identidades locales y basados en la nube.

Estos sistemas de administración de identidades desempeñan un papel importante. Le permiten diseñar e implementar controles de administración de acceso confiables para proteger la infraestructura de los servidores habilitados para Azure Arc.

Identidad administrada

Cuando se crea, la identidad asignada por el sistema de Microsoft Entra ID solo se puede usar para actualizar el estado de los servidores habilitados para Azure Arc (por ejemplo, el latido de tipo "visto por última vez"). Al conceder a esta identidad acceso a los recursos de Azure, puede habilitar las aplicaciones en el servidor para usarlas para acceder a los recursos de Azure (por ejemplo, para solicitar secretos de un almacén de claves). Debería hacer lo siguiente:

  • Tenga en cuenta qué casos de uso legítimos existen para que las aplicaciones de servidor obtengan tokens de acceso y accedan a los recursos de Azure, al tiempo que planean el control de acceso de estos recursos.
  • Controle los roles de usuario con privilegios en servidores habilitados para Azure Arc (miembros del grupo de aplicaciones de extensiones de agentes híbridos o administradores locales en Windows y miembros del grupo himds en Linux) para evitar que las identidades administradas por el sistema se usen incorrectamente para obtener acceso no autorizado a los recursos de Azure.
  • Use RBAC de Azure para controlar y administrar el permiso de las identidades administradas de servidores habilitados para Azure Arc y realizar revisiones de acceso periódicas para estas identidades.

Control de acceso basado en roles (RBAC)

Los usuarios, grupos o aplicaciones con privilegios mínimos que tienen asignados roles como "Colaborador" o "Propietario" o "Administrador de recursos de Azure Connected Machine" pueden ejecutar operaciones como la implementación de extensiones, la delegación del acceso raíz o de administrador en servidores habilitados para Azure Arc. Estos roles deben usarse con precaución, bien para limitar el radio de exposición posible o bien para reemplazarlos finalmente por roles personalizados.

Para limitar el privilegio de un usuario y solo permitirle incorporar servidores a Azure, el rol de incorporación de Azure Connected Machine es adecuado. Este rol solo se puede usar para incorporar servidores y no se puede volver a incorporar ni eliminar el recurso de servidor. Asegúrese de revisar la información general de seguridad de los servidores habilitados para Azure Arc para obtener más información sobre los controles de acceso.

Tenga en cuenta también los datos confidenciales que podrían enviarse al área de trabajo de Log Analytics de Azure Monitor, ya que debe aplicar el mismo principio de RBAC a los propios datos. El acceso de lectura a los servidores habilitados para Azure Arc puede proporcionar acceso a los datos de registro recopilados por el agente de Log Analytics y almacenados en el área de trabajo de Log Analytics asociado. Revise la forma de implementar el acceso granular al área de trabajo de Log Analytics en la documentación de diseño de la implementación de registros de Azure Monitor.

Arquitectura

En el diagrama siguiente se muestra una arquitectura de referencia que muestra los roles, los permisos y el flujo de acciones para servidores habilitados para Azure Arc:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Consideraciones de diseño

  • Decida qué usuarios de su organización deben tener acceso a los servidores de incorporación para configurar los permisos necesarios en los servidores y en Azure.
  • Decida quién debe administrar los servidores habilitados para Azure Arc. A continuación, decida quién puede ver sus datos en los servicios de Azure y otros entornos en la nube.
  • Decida cuántas entidades de servicio de incorporación de Arc necesita. Muchas de estas identidades se usan para incorporar servidores que son propiedad de diferentes funciones o unidades empresariales de un negocio que se basa en la responsabilidad operativa y la propiedad.
  • Revise el área de diseño de administración de identidades y acceso de la escala empresarial de la zona de aterrizaje de Azure. Revise el área para evaluar el impacto de los servidores habilitados para Azure Arc en el modelo general de identidad y acceso.

Recomendaciones de diseño

  • Incorporación y administración de servidores
    • Use los grupos de seguridad para asignar derechos de administrador local a los usuarios o cuentas de servicio identificados en los servidores para incorporarlos a escala en Azure Arc.
    • Use entidad de servicio de Microsoft Entra para incorporar servidores a Azure Arc. Considere la posibilidad de usar varias entidades de servicio de Microsoft Entra en un modelo operativo descentralizado, donde los servidores se administran mediante diferentes equipos de TI.
    • Use los secretos de cliente de la entidad de servicio de corta duración de Microsoft Entra.
    • Asigne el rol Incorporación de Azure Connected Machine en el nivel de grupo de recursos.
    • Use los grupos de seguridad de Microsoft Entra y conceda el rol Administrador de recursos del servidor híbrido. Conceda el rol a equipos y usuarios que administrarán los recursos del servidor habilitado para Azure Arc en Azure.
  • Acceso a recursos protegidos de Microsoft Entra ID
    • Use identidades administradas para las aplicaciones que se ejecutan en los servidores locales (y otros entornos en la nube) para proporcionar acceso a los recursos en la nube protegidos por Microsoft Entra ID.
    • Restrinja el acceso a las identidades administradas para permitir que las aplicaciones autorizadas usen permisos de aplicación Microsoft Entra.
    • Use el grupo de seguridad local Hybrid agent extension applications en Windows o el grupo himds en Linux para conceder acceso a los usuarios para que puedan solicitar tokens de acceso a recursos de Azure desde los servidores habilitados para Azure Arc.

Pasos siguientes

Para obtener más instrucciones sobre el recorrido de adopción de la nube híbrida, consulte los siguientes recursos: