Identitás- és hozzáférés-kezelés az Azure Spring Apps célzónagyorsítóhoz
Ez a cikk az Azure Spring Apps felhasználóinak hitelesítésére és a számítási feladatok erőforrásaihoz való szükséges hozzáférés biztosítására vonatkozó tervezési szempontokat és javaslatokat ismerteti.
A központosított platformcsapatnak és az alkalmazáscsapatoknak tisztában kell lenniük az alábbiakkal:
- Mely csapatoknak van szükségük hozzáférésre az alkalmazás kezdőzónájában üzembe helyezett Azure Spring-alkalmazás számítási feladataihoz.
- A felhasználók szerepkörei és felelőssége, valamint azok, akiknek hozzáférésre van szükségük.
- A feladatok elvégzéséhez szükséges minimális jogosultsági szint.
A platform kialakításával kapcsolatos információkért tekintse meg az Azure identitás- és hozzáférés-kezelési tervezési területét.
A számítási feladatok tulajdonosaként kövesse ezeket az ajánlott eljárásokat annak érdekében, hogy az alkalmazás erőforrásai ne sértse meg a szervezeti biztonságot vagy a szabályozási határokat. A cél annak biztosítása, hogy az üzembe helyezett Azure Spring-alkalmazás és a számítási feladat kapcsolódó erőforrásai biztonságosak és csak a jogosult felhasználók számára legyenek elérhetők. Ha követi ezeket a gyakorlatokat, megvédheti a bizalmas adatokat, és megakadályozhatja az alkalmazás és erőforrásaival való visszaélést.
Kialakítási szempontok
Hozzáférés az alkalmazásból más szolgáltatásokhoz. Az alkalmazásnak hitelesítenie kell magát, amikor a számítási feladat részét képező háttérszolgáltatásokhoz csatlakozik. Ez a hitelesítés védi a szolgáltatásokat a jogosulatlan hozzáféréstől. Fontolja meg a Microsoft Entra ID funkcióinak használatát a hitelesítő adatok tárolásának és kezelésének többletterhelésének elkerülése érdekében.
Hozzáférés az alkalmazáshoz. A felhasználók a nyilvános interneten keresztül küldhetnek kéréseket az alkalmazásnak. Vagy a kérések privát vagy helyszíni hálózatokból származhatnak. Mindkét esetben a hozzáférést ügyféltanúsítványok vagy Microsoft Entra-azonosító alapján kell hitelesíteni.
Fontolja meg az alkalmazások közötti hívásokat kezdeményező szolgáltatásfelderítési mechanizmus technológiai lehetőségeit. A beállítások az Azure Spring Apps szinttől függően változnak.
Operátorok hozzáférése az erőforrásokhoz. A különböző felelősségi körökkel rendelkező csapattagok hozzáférhetnek a számítási feladathoz. Előfordulhat például, hogy hozzáférést kell adnia a következőkhöz:
- A platform csapatának tagjai, akiknek operatív hozzáférésre van szükségük.
- Alkalmazásokat fejlesztő csapattagok.
- DevOps-mérnökök, akik folyamatokat építenek ki és bocsátanak ki a számítási feladatok üzembe helyezéséhez és az infrastruktúra kódként (IaC) való konfigurálásához.
- Webhely-megbízhatósági mérnökök hibaelhárítási problémákhoz.
A hozzáférés célja alapján döntse el, hogy milyen szintű vezérlést szeretne biztosítani a felhasználónak. Kezdje a minimális jogosultság elvével. Az RBAC-szerepkör-hozzárendelések biztosíthatják, hogy a felhasználók megfelelő jogosultságokkal rendelkezzenek a feladataikhoz, és fenntartsák a határokat. Egyéni szerepkörök létrehozása előtt fontolja meg a beépített RBAC-szerepkörök használatát.
Konfigurációs adathozzáférés. Az Azure Spring Apps (Alap/Standard vagy Nagyvállalati) csomagjának kiválasztása alapján meg kell határoznia a konfigurációs kiszolgáló beállításait.
Alapszintű esetén fontolja meg a kiszolgáló és az ügyféloldal támogatását. A konfigurációs kiszolgáló fájljainak tárolásához válasszon egy külső konfigurációt egy elosztott rendszerben, például az Azure DevOpsban, a GitHubon, a GitLabben vagy a Bitbucketben.
Használhat nyilvános vagy privát adattárakat, és kiválaszthatja azok hitelesítési mechanizmusát. Az Azure Spring Apps támogatja az alapszintű jelszót vagy jogkivonatalapú hitelesítést és SSH-t.
Nagyvállalati verzió esetén fontolja meg a VMware Tanzu alkalmazáskonfigurációs szolgáltatásának használatát, amely lehetővé teszi az egy vagy több Git-adattárban meghatározott tulajdonságokból kitöltött Kubernetes-natív ConfigMap-erőforrások kezelését.
Tervezési javaslatok
Managed identities
Felügyelt identitások használata az alkalmazáshoz, hogy az a Microsoft Entra-azonosítón keresztül legyen hitelesítve. Nem minden szolgáltatás támogatja a Microsoft Entra ID ezen funkcióját. További információ: Microsoft Entra-hitelesítést támogató Azure-szolgáltatások.
Döntse el, hogy melyik típusú felügyelt identitás felel meg a használati esetnek. Fontolja meg a kompromisszumokat könnyű kezeléssel. Ha például az alkalmazásnak több erőforráshoz kell hozzáférnie, a felhasználó által hozzárendelt felügyelt identitások használata ajánlott. Ha azonban az alkalmazás életciklusához kapcsolódó engedélyeket szeretne, a rendszer által felügyelt identitások jobban megfelelhetnek.
További információ: Rendszer vagy felhasználó által hozzárendelt felügyelt identitások kiválasztása.
A beépített Azure RBAC-szerepkörök használatával egyszerűsítheti a felügyelt identitáshoz szükséges engedélyek kezelését.
- Saját felügyelt identitás használata az Azure Spring Appshez.
- Használja külön a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitásokat. További információ: Ajánlott eljárások felügyelt identitások használatakor.
- A Privileged Identity Management használata a Microsoft Entra ID-ban.
Biztonságos internetes kommunikáció
- Használjon hitelesítésszolgáltató által kibocsátott tanúsítványokat, kiterjesztett érvényesítési tanúsítványokat vagy helyettesítő tanúsítványokat.
- Önaláírt tanúsítványt csak az előkészületi környezetekhez használhat.
- Tanúsítványok biztonságos betöltése az Azure Key Vaultból.
Szerepköralapú hozzáférés-vezérlés (RBAC)
- Fontolja meg egyéni szerepkörök létrehozását. Kövesse a minimális jogosultság elvét, ha a beépített szerepkörök módosításokat igényelnek a meglévő engedélyeken.
- A kulcsok, titkos kulcsok, tanúsítványok és alkalmazáskonfigurációk fokozott biztonságú tárterületének kiválasztása.
- Az automatizált üzembe helyezéshez állítson be egy egyszerű szolgáltatást, amely rendelkezik a CI/CD-folyamatból való üzembe helyezéshez szükséges minimális engedélyekkel.
- Diagnosztikai naplózás engedélyezése az alkalmazáskonzolhoz, a rendszernaplókhoz, a bejövő naplókhoz, a buildnaplókhoz és a tárolóesemény-naplókhoz. Ezekkel a részletes naplókkal diagnosztizálhatja az alkalmazással kapcsolatos problémákat, és figyelheti a hozzáférési kérelmeket. Ha engedélyezi ezeket a naplókat, az Azure Monitor tevékenységnaplója betekintést nyújt az előfizetési szintű eseményekbe.