Area desain manajemen identitas dan akses

Area desain manajemen identitas dan akses menyediakan praktik terbaik yang dapat Anda gunakan untuk menetapkan fondasi arsitektur cloud publik Anda yang aman dan sepenuhnya sesuai.

Perusahaan dapat memiliki lanskap teknologi yang kompleks dan heterogen, sehingga keamanan sangat penting. Manajemen identitas dan akses yang kuat membentuk dasar perlindungan modern dengan membuat perimeter keamanan di cloud publik. Kontrol otorisasi dan akses memastikan bahwa hanya pengguna terautentikasi dengan perangkat terverifikasi yang dapat mengakses dan mengelola aplikasi dan sumber daya. Ini memastikan bahwa individu yang tepat dapat mengakses sumber daya yang tepat pada waktu yang tepat, dan untuk alasan yang tepat. Ini juga menyediakan pengelogan audit yang andal dan nonrepudiasi tindakan identitas pengguna atau beban kerja. Anda harus memberikan kontrol akses perusahaan yang konsisten, termasuk akses pengguna, sarana kontrol dan manajemen, akses eksternal, dan akses istimewa, untuk meningkatkan produktivitas dan mengurangi risiko eskalasi hak istimewa atau penyelundupan data yang tidak sah.

Azure menawarkan serangkaian layanan, alat, dan arsitektur referensi yang komprehensif untuk membantu organisasi Anda menciptakan lingkungan yang sangat aman dan efisien secara operasional. Ada beberapa opsi untuk mengelola identitas di lingkungan cloud. Setiap opsi bervariasi dalam biaya dan kompleksitas. Tentukan layanan identitas berbasis cloud Anda berdasarkan berapa banyak yang Anda butuhkan untuk mengintegrasikannya dengan infrastruktur identitas lokal yang ada. Untuk informasi selengkapnya, lihat Panduan keputusan identitas.

Manajemen identitas dan akses di zona pendaratan Azure

Manajemen identitas dan akses adalah pertimbangan inti di platform dan zona pendaratan aplikasi. Di bawah prinsip desain demokratisasi langganan, pemilik aplikasi harus memiliki otonomi untuk mengelola aplikasi dan sumber daya mereka sendiri dengan intervensi minimal dari tim platform. Zona pendaratan adalah batas keamanan, dan manajemen identitas dan akses menyediakan cara untuk mengontrol pemisahan satu zona pendaratan dari zona pendaratan lainnya, bersama dengan komponen seperti jaringan dan Azure Policy. Terapkan identitas yang kuat dan desain manajemen akses untuk membantu mencapai isolasi zona pendaratan aplikasi.

Tim platform bertanggung jawab atas dasar manajemen identitas dan akses, termasuk menyebarkan dan mengelola layanan direktori terpusat, seperti ID Microsoft Entra, Microsoft Entra Domain Services, dan Active Directory Domain Services (AD DS). Administrator dan pengguna zona pendaratan aplikasi yang mengakses aplikasi menggunakan layanan ini.

Tim aplikasi bertanggung jawab atas manajemen identitas dan akses aplikasi mereka, termasuk mengamankan akses pengguna ke aplikasi dan antara komponen aplikasi, seperti Azure SQL Database, komputer virtual, dan Azure Storage. Dalam arsitektur zona pendaratan yang diimplementasikan dengan baik, tim aplikasi dapat dengan mudah menggunakan layanan yang disediakan tim platform.

Banyak konsep dasar manajemen identitas dan akses sama di zona pendaratan platform dan aplikasi, seperti kontrol akses berbasis peran (RBAC) dan prinsip hak istimewa paling sedikit.

Peninjauan area desain

Fungsi: Manajemen identitas dan akses memerlukan dukungan satu atau beberapa fungsi berikut. Peran yang melakukan fungsi-fungsi ini dapat membantu membuat dan menerapkan keputusan.

• Fungsi platform cloud
• Pusat fungsi keunggulan cloud
• Fungsi tim keamanan cloud

Cakupan: Tujuan dari area desain ini adalah untuk membantu Anda mengevaluasi opsi untuk identitas dan fondasi akses Anda. Saat merancang strategi identitas, Anda harus melakukan tugas-tugas berikut:

• Mengautentikasi pengguna dan identitas beban kerja.
• Tetapkan akses ke sumber daya.
• Tentukan persyaratan inti untuk pemisahan tugas.
• Sinkronkan identitas hibrid dengan ID Microsoft Entra.

Di luar cakupan: Manajemen identitas dan akses membentuk fondasi untuk kontrol akses yang tepat, tetapi tidak mencakup aspek yang lebih canggih seperti:

• Model Zero Trust.
• Manajemen operasional hak istimewa yang ditingkatkan.
• Pagar pembatas otomatis untuk mencegah identitas umum dan kesalahan akses.

Area desain kepatuhan untuk keamanan dan tata kelola membahas aspek di luar cakupan. Untuk rekomendasi komprehensif untuk manajemen identitas dan akses, lihat Manajemen identitas Azure dan praktik terbaik keamanan kontrol akses.

Ringkasan area desain

Identitas memberikan dasar untuk berbagai jaminan keamanan. Ini memberikan akses berdasarkan autentikasi identitas dan kontrol otorisasi di layanan cloud. Kontrol akses melindungi data dan sumber daya dan membantu menentukan permintaan mana yang harus diizinkan.

Manajemen identitas dan akses membantu mengamankan batas internal dan eksternal lingkungan cloud publik. Ini merupakan fondasi dari arsitektur cloud publik yang aman dan sepenuhnya patuh.

Artikel berikut memeriksa pertimbangan desain dan rekomendasi untuk manajemen identitas dan akses di lingkungan cloud:

• Identitas hibrid dengan Direktori Aktif dan ID Microsoft Entra
• Pendaratan identitas zona dan manajemen akses
• Identitas aplikasi dan manajemen akses

Untuk panduan tentang merancang solusi di Azure dengan menggunakan pola dan praktik yang ditetapkan, lihat Desain arsitektur identitas.

Tip

Jika Anda memiliki beberapa penyewa MICROSOFT Entra ID, lihat Zona pendaratan Azure dan beberapa penyewa Microsoft Entra.

Langkah berikutnya

Identitas hibrid dengan Direktori Aktif dan ID Microsoft Entra