Ajánlott biztonsági eljárások
Az Azure Lighthouse használatakor fontos megfontolni a biztonság és a hozzáférés-vezérlés használatát. A bérlő felhasználói közvetlen hozzáféréssel rendelkeznek az ügyfél-előfizetésekhez és az erőforráscsoportokhoz, ezért érdemes lépéseket tenni a bérlő biztonságának fenntartása érdekében. Azt is meg kell győződnie, hogy csak az ügyfelek erőforrásainak hatékony kezeléséhez szükséges hozzáférést engedélyezi. Ez a témakör javaslatokat tartalmaz, amelyek segítenek önnek ebben.
Tipp.
Ezek a javaslatok az Azure Lighthouse-nal több bérlőt kezelő vállalatokra is vonatkoznak .
Többtényezős Microsoft Entra-hitelesítés megkövetelése
A Microsoft Entra többtényezős hitelesítés (más néven kétlépéses ellenőrzés) segít megakadályozni, hogy a támadók több hitelesítési lépéssel hozzáférjenek egy fiókhoz. Többtényezős Microsoft Entra-hitelesítést kell igényelnie a felügyelt bérlő összes felhasználójához, beleértve azokat a felhasználókat is, akik hozzáféréssel rendelkeznek a delegált ügyfélerőforrásokhoz.
Javasoljuk, hogy kérje meg ügyfeleit, hogy a bérlőikben is implementálják a Microsoft Entra többtényezős hitelesítést.
Fontos
Az ügyfél bérlőjén beállított feltételes hozzáférési szabályzatok nem vonatkoznak azokra a felhasználókra, akik az adott ügyfél erőforrásait az Azure Lighthouse-on keresztül érik el. Ezekre a felhasználókra csak a felügyeleti bérlőn beállított szabályzatok vonatkoznak. Határozottan javasoljuk, hogy a Microsoft Entra többtényezős hitelesítését mind a felügyelt bérlő, mind a felügyelt (ügyfél) bérlő esetében megkövetelje.
Engedélyek hozzárendelése csoportokhoz a minimális jogosultság elvével
A felügyelet megkönnyítése érdekében használja a Microsoft Entra-csoportokat az ügyfelek erőforrásainak kezeléséhez szükséges szerepkörökhöz. Így szükség szerint hozzáadhat vagy eltávolíthat egyéni felhasználókat a csoporthoz, és nem rendelhet hozzá engedélyeket közvetlenül az egyes felhasználókhoz.
Fontos
Egy Microsoft Entra-csoport engedélyeinek hozzáadásához a csoporttípust Biztonság értékre kell állítani. Ez a beállítás a csoport létrehozásakor lesz kiválasztva. További információ: Alapszintű csoport létrehozása és tagok hozzáadása.
Az engedélystruktúra létrehozásakor mindenképpen kövesse a minimális jogosultság elvét, hogy a felhasználók csak a munkájuk elvégzéséhez szükséges engedélyekkel rendelkezzenek, ezáltal csökkentve a véletlen hibák esélyét.
Érdemes lehet például az alábbihoz hasonló struktúrát használni:
Csoport neve | Típus | principalId | Szerepkör-definíció | Szerepkördefiníció azonosítója |
---|---|---|---|---|
Tervezők | Felhasználói csoport | <principalId> | Contributor | b24988ac-6180-42a0-ab88-20f7382dd24c |
Assessment | Felhasználói csoport | <principalId> | Reader | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
Virtuálisgép-szakemberek | Felhasználói csoport | <principalId> | Virtuálisgép-közreműködő | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
Automation | Egyszerű szolgáltatásnév (SPN) | <principalId> | Contributor | b24988ac-6180-42a0-ab88-20f7382dd24c |
Miután létrehozta ezeket a csoportokat, szükség szerint hozzárendelhet felhasználókat. Csak azokat a felhasználókat adja hozzá, akiknek valóban hozzáféréssel kell rendelkezniük. Rendszeresen tekintse át a csoporttagságokat, és távolítsa el a már nem megfelelő vagy szükséges felhasználókat.
Ne feledje, hogy amikor nyilvánosan felügyelt szolgáltatásajánlaton keresztül készíti fel az ügyfeleket, minden olyan csoport (vagy felhasználó vagy szolgáltatásnév), amelyet tartalmaz, ugyanazokkal az engedélyekkel fog rendelkezni minden olyan ügyfél számára, aki megvásárolja a csomagot. Ha különböző csoportokat szeretne hozzárendelni az egyes ügyfelekkel való együttműködéshez, közzé kell tennie egy külön privát csomagot, amely minden ügyfél számára kizárólagos, vagy az ügyfeleket egyenként kell előkészítenie az Azure Resource Manager-sablonok használatával. Közzétehet például egy nyilvános csomagot, amely nagyon korlátozott hozzáféréssel rendelkezik, majd közvetlenül az ügyféllel együttműködve előkészítheti az erőforrásaikat a további hozzáféréshez egy testre szabott Azure-erőforrássablon használatával, amely szükség szerint további hozzáférést biztosít.
Tipp.
Jogosult engedélyeket is létrehozhat, amelyek lehetővé teszik, hogy a felügyeleti bérlő felhasználói átmenetileg emeljék a szerepkörüket. A jogosult engedélyek használatával minimalizálhatja a felhasználók kiemelt szerepkörökhöz való állandó hozzárendeléseinek számát, így csökkentheti a bérlői felhasználók kiemelt hozzáférésével kapcsolatos biztonsági kockázatokat. Ez a funkció speciális licencelési követelményekkel rendelkezik. További információ: Jogosult engedélyek létrehozása.
További lépések
- Tekintse át a biztonsági alapkonfiguráció adatait , és ismerje meg, hogyan vonatkozik a Microsoft felhőbiztonsági referenciamutatója az Azure Lighthouse-ra.
- A Microsoft Entra többtényezős hitelesítésének üzembe helyezése.
- További információ a bérlők közötti felügyeleti szolgáltatásokról.