Keamanan dalam Langganan Azure Dev/Test
Menjaga keamanan sumber daya Anda adalah upaya bersama antara penyedia cloud, Azure, dan Anda. Langganan Azure Dev/Test dan Microsoft Defender for Cloud memberi Anda alat yang diperlukan untuk memperkuat jaringan Anda, mengamankan layanan Anda, dan memastikan Anda berada di atas postur keamanan Anda.
Alat penting dalam Langganan Azure Dev/Test membantu Anda membuat akses aman ke sumber daya Anda:
- Azure Management Groups
- Azure Lighthouse
- Pemantauan Kredit
- Microsoft Entra ID
Azure Management Groups
Saat Anda mengaktifkan dan menyiapkan Langganan Azure Dev/Test, Azure menyebarkan hierarki sumber daya default untuk mengelola identitas dan akses ke sumber daya dalam satu domain Microsoft Entra. Hierarki sumber daya memungkinkan organisasi Anda untuk menyiapkan perimeter keamanan yang kuat untuk sumber daya dan pengguna Anda.
Sumber daya, grup sumber daya, langganan, grup manajemen, dan penyewa Anda secara kolektif membuat hierarki sumber daya Anda. Memperbarui dan mengubah pengaturan ini dalam peran kustom Azure atau penetapan kebijakan Azure dapat memengaruhi setiap sumber daya dalam hierarki sumber daya Anda. Penting untuk melindungi hierarki sumber daya dari perubahan yang dapat berdampak negatif pada semua sumber daya.
Grup Manajemen Azure adalah aspek penting dalam mengatur akses dan melindungi sumber daya Anda dalam satu penyewa. Grup Manajemen Azure memungkinkan Anda untuk mengatur kuota, kebijakan Azure, dan keamanan ke berbagai jenis langganan. Grup ini adalah komponen penting untuk mengembangkan keamanan bagi langganan dev/test organisasi Anda.
Seperti yang Anda lihat, menggunakan grup manajemen mengubah hierarki default dan menambahkan tingkat untuk grup manajemen. Perilaku ini berpotensi membuat keadaan tak terduga dan lubang keamanan jika Anda tidak mengikuti proses yang tepat untuk melindungi hierarki sumber daya Anda
Mengapa Grup Manajemen Azure berguna?
Saat mengembangkan kebijakan keamanan untuk langganan dev/test organisasi, Anda mungkin memilih untuk memiliki beberapa langganan dev/test per unit organisasi atau lini bisnis. Anda dapat melihat visual pengelompokan manajemen tersebut dalam diagram berikut.
Anda mungkin juga memilih untuk memiliki satu langganan dev/test untuk semua unit Anda yang berbeda.
Grup Manajemen Azure dan langganan dev/test Anda bertindak sebagai pagar keamanan dalam struktur organisasi anda.
Pagar keamanan ini memiliki dua komponen:
- Identitas dan akses: Anda mungkin perlu menyegmentasi akses ke sumber daya tertentu
- Data: Langganan berbeda untuk sumber daya yang mengakses informasi pribadi
Menggunakan penyewa Microsoft Entra
Penyewa adalah instans khusus ID Microsoft Entra yang diterima oleh organisasi atau pengembang aplikasi saat organisasi atau pengembang aplikasi membuat hubungan dengan Microsoft seperti mendaftar ke Azure, Microsoft Intune, atau Microsoft 365.
Setiap penyewa Microsoft Entra terpisah dari penyewa Microsoft Entra lainnya. Setiap penyewa Microsoft Entra memiliki representasi identitas kerja dan sekolah sendiri, identitas konsumen (jika merupakan penyewa Azure AD B2C), dan pendaftaran aplikasi. Pendaftaran aplikasi di dalam penyewa Anda hanya dapat mengizinkan autentikasi dari akun dalam penyewa Anda atau semua penyewa.
Jika Anda perlu memisahkan lebih lanjut infrastruktur identitas organisasi Anda di luar grup manajemen dalam satu penyewa, Anda juga dapat membuat penyewa lain dengan hierarki sumber dayanya sendiri.
Cara mudah untuk melakukan sumber daya terpisah dan pengguna membuat penyewa Microsoft Entra baru.
Membuat penyewa Microsoft Entra baru
Jika Anda tidak memiliki penyewa Microsoft Entra, atau ingin membuat penyewa baru untuk pengembangan, lihat panduan mulai cepat atau ikuti pengalaman pembuatan direktori. Anda harus memberikan info berikut untuk membuat penyewa baru Anda:
- Nama organisasi
- Domain awal - adalah bagian dari /*.onmicrosoft.com. Anda bisa menyesuaikan domain nanti.
- Negara atau wilayah
Pelajari selengkapnya tentang membuat dan menyiapkan penyewa Microsoft Entra
Menggunakan Azure Lighthouse untuk mengelola beberapa penyewa
Azure Lighthouse memungkinkan manajemen lintas dan multipenyewa, memungkinkan otomatisasi, skalabilitas, dan tata kelola yang ditingkatkan yang lebih tinggi di seluruh sumber daya dan penyewa. Penyedia layanan dapat memberikan layanan terkelola menggunakan peralatan manajemen yang komprehensif dan kuat yang dibangun ke dalam platform Azure. Pelanggan mempertahankan kontrol atas siapa yang dapat mengakses penyewanya, sumber daya mana yang dapat diakses, dan tindakan apa yang dapat diambil.
Skenario umum untuk Azure Lighthouse adalah mengelola sumber daya di penyewa Microsoft Entra pelanggannya. Namun, kemampuan Azure Lighthouse juga dapat digunakan untuk menyederhanakan manajemen lintas penyewa dalam perusahaan yang menggunakan beberapa penyewa Microsoft Entra.
Untuk sebagian besar organisasi, manajemen lebih mudah dengan satu penyewa Microsoft Entra. Memiliki semua sumber daya dalam satu penyewa memungkinkan pemusatan tugas manajemen oleh pengguna, grup pengguna, atau prinsipal layanan yang ditunjuk dalam penyewa itu.
Jika arsitektur multipenyewa diperlukan, Azure Lighthouse membantu memusatkan dan menyederhanakan operasi manajemen. Dengan menggunakan manajemen sumber daya yang didelegasikan Azure, pengguna dalam satu penyewa pengelola dapat melakukan fungsi manajemen lintas penyewa secara terpusat dan skalabel.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk