Megosztás a következőn keresztül:

Azonosság- és hozzáférés-kezelés Azure Arc-kompatibilis kiszolgálókhoz

  • Cikk

A szervezetnek a megfelelő hozzáférési vezérlőket kell megterveznie a hibrid környezetek helyszíni és felhőalapú identitáskezelési rendszerek használatával történő védelméhez.

Ezek az identitáskezelési rendszerek fontos szerepet játszanak. Segítenek megbízható hozzáférés-kezelési vezérlők tervezésében és megvalósításában az Azure Arc-kompatibilis kiszolgálók infrastruktúrájának védelme érdekében.

Managed identity

A létrehozáskor a Microsoft Entra ID rendszer által hozzárendelt identitása csak az Azure Arc-kompatibilis kiszolgálók állapotának frissítésére használható (például a "utoljára látott" szívverés). Ha hozzáférést ad az identitásnak az Azure-erőforrásokhoz, engedélyezheti, hogy a kiszolgálón lévő alkalmazások hozzáférhessenek az Azure-erőforrásokhoz (például titkos kulcsok lekéréséhez egy Key Vaultból). A következőt kell tenni:

  • Fontolja meg, hogy a kiszolgálóalkalmazások milyen jogos használati eseteket használnak a hozzáférési jogkivonatok beszerzéséhez és az Azure-erőforrásokhoz való hozzáféréshez, miközben tervezik ezeknek az erőforrásoknak a hozzáférés-vezérlését is.
  • Szabályozhatja a kiemelt felhasználói szerepköröket az Azure Arc-kompatibilis kiszolgálókon (a helyi rendszergazdák vagy a Hibrid ügynökbővítmény-alkalmazások csoport tagjai Windows rendszeren és a Himds csoport tagjai Linuxon), hogy elkerülje a rendszer által felügyelt identitásokkal való visszaélést az Azure-erőforrásokhoz való jogosulatlan hozzáférés érdekében.
  • Az Azure RBAC használatával szabályozhatja és kezelheti az Azure Arc-kompatibilis kiszolgálók felügyelt identitásainak engedélyeit, és rendszeres hozzáférési felülvizsgálatokat végezhet ezekhez az identitásokhoz.

Szerepköralapú hozzáférés-vezérlés (RBAC)

A minimális jogosultsági elvet követve a felhasználók, csoportok vagy alkalmazások olyan szerepkörökkel vannak hozzárendelve, mint a "közreműködő" vagy a "tulajdonos" vagy az "Azure Csatlakozás ed Machine Resource Rendszergazda istrator", képesek olyan műveleteket végrehajtani, mint a bővítmények üzembe helyezése, a gyökér- vagy rendszergazdai hozzáférés delegálása az Azure Arc-kompatibilis kiszolgálókon. Ezeket a szerepköröket körültekintően kell használni a lehetséges robbanási sugár korlátozása érdekében, vagy végül egyéni szerepkörökkel helyettesítve.

A felhasználók jogosultságának korlátozásához és a kiszolgálók Azure-ba való előkészítésének engedélyezéséhez az Azure Csatlakozás gép előkészítési szerepköre megfelelő. Ez a szerepkör csak kiszolgálók előkészítésére használható, és nem lehet újra előkészíteni vagy törölni a kiszolgálóerőforrást. A hozzáférés-vezérléssel kapcsolatos további információkért tekintse át az Azure Arc-kompatibilis kiszolgálók biztonsági áttekintését .

Vegye figyelembe az Azure Monitor Log Analytics-munkaterületre küldhető bizalmas adatokat is – ugyanez az RBAC-elvet kell alkalmazni magára az adatokra. Az Azure Arc-kompatibilis kiszolgálók olvasási hozzáférése hozzáférést biztosíthat a Log Analytics-ügynök által a társított Log Analytics-munkaterületen tárolt naplóadatokhoz. Tekintse át, hogyan valósíthat meg részletes Log Analytics-munkaterület-hozzáférést az Azure Monitor Logs üzembehelyezési dokumentációjának megtervezésében.

Felépítés

Az alábbi ábra egy referenciaarchitektúrát mutat be, amely bemutatja az Azure Arc-kompatibilis kiszolgálók szerepköreit, engedélyeit és műveleteinek folyamatát:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Design considerations

  • Döntse el, hogy a szervezetből kik férhessenek hozzá az előkészítési kiszolgálókhoz a szükséges engedélyek beállításához a kiszolgálókon és az Azure-ban.
  • Döntse el, hogy ki kezelje az Azure Arc-kompatibilis kiszolgálókat. Ezután döntse el, hogy ki tekintheti meg az adatait az Azure-szolgáltatásokból és más felhőkörnyezetekből.
  • Döntse el, hogy hány Arc-előkészítési szolgáltatásnévre van szüksége. Ezen identitások közül több használható olyan kiszolgálók előkészítésére, amelyek egy vállalat különböző üzleti funkciói vagy egységei tulajdonában vannak, és amelyek működési felelősségen és tulajdonjogon alapulnak.
  • Tekintse át az Azure nagyvállalati szintű kezdőzónájának identitás- és hozzáférés-kezelési tervezési területét . Tekintse át a területet az Azure Arc-kompatibilis kiszolgálók általános identitás- és hozzáférési modellre gyakorolt hatásának felméréséhez.

Tervezési javaslatok

  • Kiszolgálók előkészítése és felügyelete
    • A biztonsági csoportok segítségével helyi rendszergazdai jogosultságokat rendelhet a kiszolgálókon található azonosított felhasználókhoz vagy szolgáltatásfiókokhoz, hogy nagy léptékben regisztráljanak az Azure Arcra.
    • A Microsoft Entra szolgáltatásnévvel kiszolgálókat hozhat létre az Azure Arcon. Fontolja meg több Microsoft Entra-szolgáltatásnév használatát egy decentralizált üzemeltetési modellben, ahol a kiszolgálókat különböző informatikai csapatok felügyelik.
    • Használjon rövid élettartamú Microsoft Entra szolgáltatásnév ügyfélkulcsokat.
    • Rendelje hozzá az Azure Csatlakozás gép előkészítési szerepkörét az erőforráscsoport szintjén.
    • Használja a Microsoft Entra biztonsági csoportokat, és adja meg a hibrid kiszolgáló erőforrás-Rendszergazda istrator szerepkörét. Adja meg a szerepkört az Azure Arc-kompatibilis kiszolgálói erőforrásokat kezelő csapatoknak és egyéneknek az Azure-ban.
  • Microsoft Entra ID által védett erőforrás-hozzáférés
    • Felügyelt identitások használata a helyszíni kiszolgálókon (és más felhőkörnyezeteken) futó alkalmazásokhoz a Microsoft Entra ID által védett felhőerőforrásokhoz való hozzáférés biztosításához.
    • A felügyelt identitásokhoz való hozzáférés korlátozása a Microsoft Entra alkalmazásengedélyekkel engedélyezett alkalmazások számára.
    • Helyi biztonsági csoport használata Hybrid agent extension applications Windowson vagy a Linux himds csoportjában, hogy hozzáférést biztosítson a felhasználóknak, hogy Azure-erőforrás-hozzáférési jogkivonatokat kérjenek az Azure Arc-kompatibilis kiszolgálókról.

További lépések

A hibrid felhő bevezetésére vonatkozó további útmutatásért tekintse át a következő erőforrásokat: