Manajemen identitas dan akses untuk server dengan dukungan Azure Arc

Organisasi Anda perlu merancang kontrol akses yang tepat untuk mengamankan lingkungan hibrid menggunakan sistem manajemen identitas lokal dan berbasis cloud.

Sistem manajemen identitas ini memainkan peran penting. Mereka membantu merancang dan menerapkan kontrol manajemen akses yang andal untuk mengamankan infrastruktur server dengan dukungan Azure Arc.

Identitas Terkelola

Saat pembuatan, identitas yang ditetapkan sistem ID Microsoft Entra hanya dapat digunakan untuk memperbarui status server yang diaktifkan Azure Arc (misalnya, heartbeat 'terakhir dilihat'). Dengan memberikan akses identitas ini ke sumber daya Azure, Anda dapat mengaktifkan aplikasi di server Anda dapat menggunakannya untuk mengakses sumber daya Azure (misalnya, untuk meminta rahasia dari Key Vault). Anda harus:

  • Pertimbangkan kasus penggunaan sah mana yang ada untuk aplikasi server untuk mendapatkan token akses dan mengakses sumber daya Azure, sekaligus merencanakan kontrol akses sumber daya ini.
  • Mengontrol peran pengguna istimewa di server dengan dukungan Azure Arc (anggota administrator lokal atau grup Aplikasi Ekstensi Agen Hibrid di Windows dan anggota grup himds di Linux) untuk menghindari identitas yang dikelola sistem yang disalahgunakan untuk mendapatkan akses tidak sah ke sumber daya Azure.
  • Gunakan Azure RBAC untuk mengontrol dan mengelola izin untuk identitas terkelola server yang didukung Azure Arc dan melakukan tinjauan akses berkala untuk identitas ini.

Kontrol akses berbasis peran (RBAC)

Mengikuti prinsip hak istimewa paling sedikit, pengguna, grup, atau aplikasi yang ditetapkan dengan peran seperti "kontributor" atau "pemilik" atau "Administrator Sumber Daya Mesin Koneksi Azure" dapat menjalankan operasi seperti menyebarkan ekstensi, secara efektif mendelegasikan akses root atau administrator di server yang didukung Azure Arc. Peran ini harus digunakan dengan hati-hati, untuk membatasi kemungkinan radius ledakan atau akhirnya digantikan oleh peran kustom.

Untuk membatasi hak istimewa pengguna dan hanya memungkinkan mereka untuk onboarding server ke Azure, peran Azure Koneksi ed Machine Onboarding cocok. Peran ini hanya dapat digunakan untuk onboarding server dan tidak dapat onboard ulang atau menghapus sumber daya server. Pastikan untuk meninjau gambaran umum keamanan server dengan dukungan Azure Arc untuk informasi selengkapnya tentang kontrol akses.

Pertimbangkan juga data sensitif yang mungkin dikirim ke ruang kerja Analitik Log Azure Monitor--prinsip RBAC yang sama harus diterapkan ke data itu sendiri. Akses baca ke server dengan dukungan Azure Arc dapat menyediakan akses ke data log yang dikumpulkan oleh agen Analitik Log, yang disimpan di ruang kerja Analitik Log terkait. Tinjau cara menerapkan akses ruang kerja Log Analytics terperinci dalam mendesain dokumentasi penyebaran Log Azure Monitor Anda.

Arsitektur

Diagram berikut menunjukkan arsitektur referensi yang menunjukkan peran, izin, dan alur tindakan untuk server dengan dukungan Azure Arc:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Pertimbangan Desain

  • Tentukan siapa dari organisasi Anda yang harus memiliki akses ke server onboarding untuk menyiapkan izin yang diperlukan di server dan di Azure.
  • Tentukan siapa yang harus mengelola server dengan dukungan Azure Arc. Kemudian, putuskan siapa yang dapat melihat data mereka dari layanan Azure dan lingkungan cloud lainnya.
  • Tentukan berapa banyak perwakilan layanan onboarding Arc yang Anda butuhkan. Beberapa identitas ini dapat digunakan untuk onboarding server yang dimiliki oleh berbagai fungsi bisnis atau unit di perusahaan yang didasarkan pada tanggung jawab dan kepemilikan operasional.
  • Tinjau area desain manajemen identitas dan akses dari skala perusahaan zona pendaratan Azure. Tinjau area untuk menilai dampak server dengan dukungan Azure Arc pada identitas keseluruhan dan model akses Anda.

Rekomendasi desain

  • Onboarding dan administrasi server
    • Gunakan grup keamanan untuk menetapkan hak administrator lokal kepada pengguna atau akun layanan yang diidentifikasi di server untuk onboarding ke Azure Arc dalam skala besar.
    • Gunakan perwakilan layanan Microsoft Entra untuk onboarding server ke Azure Arc. Pertimbangkan untuk menggunakan beberapa perwakilan layanan Microsoft Entra dalam model operasi terdesentralisasi, di mana server dikelola oleh tim TI yang berbeda.
    • Gunakan rahasia klien utama layanan Microsoft Entra berumur pendek.
    • Tetapkan peran Azure Koneksi ed Machine Onboarding di tingkat grup sumber daya.
    • Gunakan grup keamanan Microsoft Entra dan berikan peran Administrator Sumber Daya Server Hibrid. Berikan peran kepada tim dan individu yang akan mengelola sumber daya server dengan dukungan Azure Arc di Azure.
  • Akses sumber daya yang dilindungi ID Microsoft Entra
    • Gunakan identitas terkelola untuk aplikasi yang berjalan di server lokal Anda (dan lingkungan cloud lainnya) untuk menyediakan akses ke sumber daya cloud yang dilindungi oleh ID Microsoft Entra.
    • Batasi akses ke identitas terkelola untuk memungkinkan aplikasi yang diotorisasi menggunakan izin aplikasi Microsoft Entra.
    • Gunakan Hybrid agent extension applications grup keamanan lokal di Windows atau grup himds di Linux untuk memberikan akses kepada pengguna untuk meminta token akses sumber daya Azure dari server dengan dukungan Azure Arc.

Langkah berikutnya

Untuk panduan selengkapnya tentang perjalanan adopsi cloud hibrid Anda, tinjau sumber daya berikut:

  • Tinjau skenario Jumpstart Azure Arc.
  • Tinjau prasyarat untuk server dengan dukungan Azure Arc.
  • Rencanakan penyebaran server dengan dukungan Azure Arc dalam skala besar.
  • Pelajari selengkapnya tentang Azure Arc melalui jalur pembelajaran Azure Arc.