Identitás- és hozzáférés-kezelési tervezési terület
Az identitás- és hozzáférés-kezelési tervezési terület ajánlott eljárásokat kínál, amelyekkel megalapozhatja a biztonságos és teljes mértékben megfelelő nyilvános felhőarchitektúrát.
A vállalatok összetett és heterogén technológiai környezettel rendelkezhetnek, ezért a biztonság kritikus fontosságú. A robusztus identitás- és hozzáférés-kezelés a modern védelem alapját képezi azáltal, hogy biztonsági szegélyt hoz létre egy nyilvános felhőben. Az engedélyezési és hozzáférési vezérlők biztosítják, hogy csak ellenőrzött eszközökkel rendelkező hitelesített felhasználók férjenek hozzá és felügyelhessenek alkalmazásokat és erőforrásokat. Biztosítja, hogy a megfelelő személy a megfelelő időben és a megfelelő okból hozzáférjen a megfelelő erőforrásokhoz. Emellett megbízható naplózást és a felhasználói vagy számítási feladatok identitásműveleteinek elutasítását is biztosítja. Konzisztens vállalati hozzáférés-vezérlést kell biztosítania, beleértve a felhasználói hozzáférést, a vezérlési és felügyeleti síkokat, a külső hozzáférést és a kiemelt hozzáférést a hatékonyság javítása és a jogosulatlan jogosultságok eszkalálásának vagy az adatok kiszivárgásának kockázatának csökkentése érdekében.
Az Azure szolgáltatások, eszközök és referenciaarchitektúrák átfogó készletét kínálja, amelyekkel a szervezet rendkívül biztonságos és működési szempontból hatékony környezeteket hozhat létre. Az identitáskezelésnek több lehetősége is van egy felhőkörnyezetben. Minden beállítás költségben és összetettségben eltérő. A felhőalapú identitásszolgáltatások meghatározása a meglévő helyszíni identitásinfrastruktúra integrálásához szükséges adatok alapján. További információ: Identitáskezelési útmutató.
Identitás- és hozzáférés-kezelés az Azure-beli célzónákban
Az identitás- és hozzáférés-kezelés a platform és az alkalmazás kezdőzónáinak alapvető szempontja. Az előfizetés-demokratizálás tervezési elve szerint az alkalmazástulajdonosoknak önállóan kell kezelniük saját alkalmazásaikat és erőforrásaikat a platformcsapat minimális beavatkozásával. A célzónák biztonsági határt jelentenek, és az identitás- és hozzáférés-kezelés lehetővé teszi az egyik célzóna elkülönítését a másiktól, valamint olyan összetevőket, mint a hálózatkezelés és az Azure Policy. Robusztus identitás- és hozzáférés-kezelési kialakítás alkalmazása az alkalmazás kezdőzónájának elkülönítéséhez.
A platformcsapat felelős az identitás- és hozzáférés-kezelés alapjaiért, beleértve a központi címtárszolgáltatások, például a Microsoft Entra ID, a Microsoft Entra Domain Services és a Active Directory tartományi szolgáltatások (AD DS) üzembe helyezését és kezelését. Az alkalmazások kezdőzónájának rendszergazdái és az alkalmazásokhoz hozzáférő felhasználók ezeket a szolgáltatásokat használják.
Az alkalmazáscsapat felelős az alkalmazások identitás- és hozzáférés-kezeléséért, beleértve a felhasználói hozzáférés biztosítását az alkalmazásokhoz, valamint az alkalmazásösszetevők, például az Azure SQL Database, a virtuális gépek és az Azure Storage között. Egy jól implementált célzóna-architektúrában az alkalmazáscsapat könnyedén felhasználhatja a platformcsapat által biztosított szolgáltatásokat.
Az identitás- és hozzáférés-kezelés számos alapvető fogalma megegyezik a platform- és alkalmazás-kezdőzónákban, például a szerepköralapú hozzáférés-vezérlés (RBAC) és a minimális jogosultság elve.
Tervezési terület áttekintése
Függvények: Az identitás- és hozzáférés-kezeléshez az alábbi függvények legalább egyének támogatása szükséges. A függvényeket végrehajtó szerepkörök segíthetnek a döntések meghozatalában és megvalósításában.
Hatókör: Ennek a tervezési területnek a célja, hogy segítsen kiértékelni az identitás- és hozzáférési alapbeállításokat. Az identitásstratégia tervezésekor a következő feladatokat kell elvégeznie:
- Felhasználók és számítási feladatok identitásainak hitelesítése.
- Hozzáférés hozzárendelése erőforrásokhoz.
- A vámok elkülönítésére vonatkozó alapvető követelmények meghatározása.
- Hibrid identitások szinkronizálása a Microsoft Entra-azonosítóval.
Hatókörön kívül: Az identitás- és hozzáférés-kezelés a megfelelő hozzáférés-vezérlés alapja, de nem terjed ki a fejlettebb szempontokra, például:
- A Teljes felügyelet modell.
- Emelt szintű jogosultságok működési kezelése.
- Automatizált védőkorlátok a gyakori identitás- és hozzáférési hibák megelőzése érdekében.
A biztonság és az irányítás megfelelőségi tervezési területei a hatókörön kívüli szempontokra is kiterjednek. Az identitás- és hozzáférés-kezelésre vonatkozó átfogó javaslatokért tekintse meg az Azure identity management és a hozzáférés-vezérlés biztonsági ajánlott eljárásait.
Tervezési terület áttekintése
Az identitás a biztonsági biztosítékok széles körének alapja. Az identitáshitelesítés és az engedélyezési vezérlők alapján biztosít hozzáférést a felhőszolgáltatásokban. A hozzáférés-vezérlés védi az adatokat és az erőforrásokat, és segít meghatározni, hogy mely kéréseket kell engedélyezni.
Az identitás- és hozzáférés-kezelés segít a nyilvános felhőkörnyezet belső és külső határainak védelmében. Ez minden biztonságos és teljes mértékben megfelelő nyilvános felhőarchitektúra alapja.
Az alábbi cikkek a felhőkörnyezetbeli identitás- és hozzáférés-kezelés tervezési szempontjait és javaslatait vizsgálják:
- Hibrid identitás az Active Directoryval és a Microsoft Entra-azonosítóval
- Célzóna-identitás és hozzáférés-kezelés
- Alkalmazásdentitás és hozzáférés-kezelés
Az Azure-beli megoldások meglévő minták és eljárások használatával történő tervezésével kapcsolatos útmutatásért tekintse meg az Identitásarchitektúra tervezését.
Tipp.
Ha több Microsoft Entra ID-bérlője van, tekintse meg az Azure kezdőzónáit és több Microsoft Entra-bérlőt.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: