Mik azok a számítási feladatok identitásai?
A számítási feladatok identitása olyan identitás, amelyet hozzárendel egy szoftveres számítási feladathoz (például alkalmazáshoz, szolgáltatáshoz, szkripthez vagy tárolóhoz) más szolgáltatások és erőforrások hitelesítéséhez és eléréséhez. A terminológia az egész iparágban inkonzisztens, de általában a számítási feladatok identitására van szükség ahhoz, hogy a szoftverentitással hitelesítést végezzen valamilyen rendszerrel. Ahhoz például, hogy a GitHub Actions hozzáférhessen az Azure-előfizetésekhez, a műveletnek szüksége van egy számítási feladat identitására, amely hozzáfér ezekhez az előfizetésekhez. A számítási feladatok identitása lehet egy EC2-példányhoz csatolt AWS szolgáltatásszerepkör is, amely írásvédett hozzáférést biztosít egy Amazon S3-gyűjtőhöz.
A Microsoft Entra-ban a számítási feladatok identitásai alkalmazások, szolgáltatásnevek és felügyelt identitások.
Az alkalmazás egy absztrakt entitás vagy sablon, amelyet az alkalmazásobjektum határoz meg. Az alkalmazásobjektum az alkalmazás globális reprezentációja az összes bérlő számára. Az alkalmazásobjektum leírja a jogkivonatok kiadásának módját, az alkalmazás által elérni kívánt erőforrásokat és az alkalmazás által végrehajtható műveleteket.
A szolgáltatásnév egy adott bérlőben lévő globális alkalmazásobjektum helyi reprezentációja vagy alkalmazáspéldánya. Az alkalmazásobjektumok sablonként szolgálnak egy szolgáltatásnév-objektum létrehozásához minden bérlőben, ahol az alkalmazást használják. A szolgáltatásnév objektum határozza meg, hogy az alkalmazás valójában mit tehet egy adott bérlőben, ki férhet hozzá az alkalmazáshoz, és milyen erőforrásokhoz férhet hozzá az alkalmazás.
A felügyelt identitás egy speciális szolgáltatásnévtípus, amely szükségtelenné teszi a fejlesztők számára a hitelesítő adatok kezelését.
Az alábbiakban bemutatunk néhány módszert a számítási feladatok identitásainak a Microsoft Entra-azonosítóban való felhasználására:
- Olyan alkalmazás, amely lehetővé teszi egy webalkalmazás számára a Microsoft Graph elérését rendszergazdai vagy felhasználói hozzájárulás alapján. Ez a hozzáférés lehet a felhasználó nevében vagy az alkalmazás nevében.
- Felügyelt identitás, amelyet egy fejlesztő használ a szolgáltatás üzembe helyezéséhez egy Azure-erőforráshoz, például az Azure Key Vaulthoz vagy az Azure Storage-hoz való hozzáféréssel.
- Egy fejlesztő által használt szolgáltatásnév, amellyel egy CI/CD-folyamat üzembe helyezhet egy webalkalmazást a GitHubról Azure-alkalmazás Szolgáltatásba.
Számítási feladatok identitásai, egyéb gépi identitások és emberi identitások
Magas szinten kétféle identitás létezik: emberi és gépi/nem emberi identitások. A számítási feladatok identitásai és az eszközidentitások együttesen alkotják a gépi (vagy nem emberi) identitások nevű csoportot. A számítási feladatok identitásai a szoftveres számítási feladatokat jelölik, míg az eszközidentitások olyan eszközöket jelölnek, mint az asztali számítógépek, a mobileszközök, az IoT-érzékelők és az IoT által felügyelt eszközök. A gépi identitások különböznek az emberi identitásoktól, amelyek olyan személyeket képviselnek, mint az alkalmazottak (belső dolgozók és frontvonalbeli dolgozók) és a külső felhasználók (ügyfelek, tanácsadók, szállítók és partnerek).
A számítási feladatok identitásainak védelmére van szükség
A megoldások egyre inkább a nem emberi entitásokra támaszkodnak a létfontosságú feladatok elvégzéséhez, és a nem emberi identitások száma jelentősen nő. A legutóbbi kibertámadások azt mutatják, hogy a támadók egyre inkább nem emberi identitásokat céloznak meg az emberi identitások felett.
Az emberi felhasználók általában egyetlen identitással rendelkeznek az erőforrások széles körének eléréséhez. Az emberi felhasználótól eltérően a szoftveres számítási feladatok több hitelesítő adattal is rendelkezhetnek a különböző erőforrások eléréséhez, és ezeket a hitelesítő adatokat biztonságosan kell tárolni. Azt is nehéz nyomon követni, hogy mikor jön létre a számítási feladat identitása, vagy mikor kell visszavonni. A vállalatok azt kockáztatják, hogy alkalmazásaikat vagy szolgáltatásaikat kihasználják vagy megsértik a számítási feladatok identitásainak biztonságossá tételével kapcsolatos nehézségek miatt.
A legtöbb identitás- és hozzáférés-kezelési megoldás jelenleg a piacon csak az emberi identitások védelmére koncentrál, nem pedig a számítási feladatok identitására. Microsoft Entra Számítási feladat ID segít megoldani ezeket a problémákat a számítási feladatok identitásainak védelme során.
Főbb forgatókönyvek
Az alábbiakban bemutatunk néhány módszert a számítási feladatok identitásainak használatára.
Biztonságos hozzáférés adaptív szabályzatokkal:
- Feltételes hozzáférési szabályzatok alkalmazása a szervezet tulajdonában lévő szolgáltatásnevekre a feltételes hozzáférés használatával számítási feladatok identitásaihoz.
- A feltételes hozzáférés helyének és kockázati szabályzatainak valós idejű érvényesítésének engedélyezése a számítási feladatok identitásainak folyamatos hozzáférés-kiértékelése használatával.
- Alkalmazás egyéni biztonsági attribútumainak kezelése
Sérült identitások intelligens észlelése:
- Kockázatokat észlelhet (például kiszivárgott hitelesítő adatokat), fenyegetéseket tartalmazhat, és csökkentheti a számítási feladatok identitásainak kockázatát a Microsoft Entra ID-védelem használatával.
Az életciklus-kezelés egyszerűsítése:
- Hozzáférés a Microsoft Entra által védett erőforrásokhoz anélkül, hogy felügyelt identitásokkal kellene kezelnie az Azure-ban futó számítási feladatok titkos kulcsait.
- A Microsoft Entra által védett erőforrásokhoz anélkül férhet hozzá, hogy titkos kulcsokat kellene kezelnie a számítási feladatok identitás-összevonásával olyan támogatott forgatókönyvekhez, mint a GitHub Actions, a Kubernetesen futó számítási feladatok vagy az Azure-on kívüli számítási platformokon futó számítási feladatok.
- Tekintse át a Microsoft Entra ID-ben a kiemelt címtárszerepkörökhöz rendelt szolgáltatásneveket és alkalmazásokat a szolgáltatásnevek hozzáférési felülvizsgálatával.
Következő lépések
- Válaszokat kaphat a számítási feladatok identitásait érintő gyakori kérdésekre.