Praktik keamanan yang direkomendasikan
Saat menggunakan Azure Lighthouse, penting untuk mempertimbangkan keamanan dan kontrol akses. Pengguna di penyewa Anda akan memiliki akses langsung ke langganan pelanggan dan grup sumber daya, sehingga Anda harus mengambil langkah-langkah untuk menjaga keamanan penyewa Anda. Anda juga ingin memastikan bahwa Anda hanya mengizinkan akses yang diperlukan untuk mengelola sumber daya pelanggan Anda secara efektif. Topik ini menyediakan rekomendasi untuk membantu Anda melakukannya.
Tip
Rekomendasi ini juga berlaku untuk perusahaan yang mengelola beberapa penyewa dengan Azure Lighthouse.
Memerlukan autentikasi multifaktor Microsoft Entra
Autentikasi multifaktor Microsoft Entra (juga dikenal sebagai verifikasi dua langkah) membantu mencegah penyerang mendapatkan akses ke akun dengan memerlukan beberapa langkah autentikasi. Anda harus memerlukan autentikasi multifaktor Microsoft Entra untuk semua pengguna di penyewa pengelola Anda, termasuk pengguna yang akan memiliki akses ke sumber daya pelanggan yang didelegasikan.
Kami menyarankan agar Anda meminta pelanggan Anda untuk menerapkan autentikasi multifaktor Microsoft Entra di penyewa mereka juga.
Penting
Kebijakan akses berskal yang ditetapkan pada penyewa pelanggan tidak berlaku untuk pengguna yang mengakses sumber daya pelanggan tersebut melalui Azure Lighthouse. Hanya kebijakan yang ditetapkan pada penyewa pengelola yang berlaku untuk pengguna tersebut. Kami sangat menyarankan untuk memerlukan autentikasi multifaktor Microsoft Entra untuk penyewa pengelola dan penyewa terkelola (pelanggan).
Menetapkan izin ke grup, menggunakan prinsip hak istimewa minimal
Untuk mempermudah manajemen, gunakan grup Microsoft Entra untuk setiap peran yang diperlukan untuk mengelola sumber daya pelanggan Anda. Ini memungkinkan Anda menambahkan atau menghapus pengguna individual ke grup jika diperlukan, daripada menetapkan izin langsung ke setiap pengguna.
Penting
Untuk menambahkan izin untuk grup Microsoft Entra, jenis Grup harus diatur ke Keamanan. Opsi ini dipilih saat grup dibuat. Untuk informasi selengkapnya, lihat Membuat grup dasar dan menambahkan anggota.
Saat membuat struktur izin Anda, pastikan untuk mengikuti prinsip hak istimewa minimal sehingga pengguna hanya memiliki izin yang diperlukan untuk menyelesaikan pekerjaan mereka, membantu mengurangi kemungkinan kesalahan yang tidak disengaja.
Misalnya, Anda mungkin ingin menggunakan struktur seperti ini:
| Nama grup | Jenis | principalId | Definisi peran | ID definisi peran |
|---|---|---|---|---|
| Arsitek | Grup pengguna | <principalId> | Kontributor | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Penilaian | Grup pengguna | <principalId> | Pembaca | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Spesialis Komputer Virtual | Grup pengguna | <principalId> | Kontributor Komputer Virtual | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automation | Nama prinsipal layanan (SPN) | <principalId> | Kontributor | b24988ac-6180-42a0-ab88-20f7382dd24c |
Setelah membuat grup ini, Anda dapat menetapkan pengguna sesuai kebutuhan. Hanya tambahkan pengguna yang benar-benar perlu memiliki akses. Pastikan untuk meninjau keanggotaan grup secara teratur dan menghapus pengguna yang tidak lagi sesuai atau perlu disertakan.
Perlu diingat bahwa ketika Anda melakukan onboard pelanggan melalui penawaran layanan terkelola publik, grup apa pun (atau pengguna atau perwakilan layanan) yang Anda sertakan akan memiliki izin yang sama untuk setiap pelanggan yang membeli paket. Untuk menetapkan grup yang berbeda untuk bekerja dengan setiap pelanggan, Anda harus menerbitkan paket pribadi terpisah yang eksklusif untuk setiap pelanggan, atau melakukan onboard pelanggan satu per satu dengan menggunakan templat Azure Resource Manager. Misalnya, Anda dapat menerbitkan paket publik yang memiliki akses yang sangat terbatas, lalu bekerja sama dengan pelanggan secara langsung untuk melakukan onboard sumber daya mereka untuk akses tambahan menggunakan Templat Azure Resource yang dikustomisasi guna memberikan akses tambahan sesuai kebutuhan.
Tip
Anda juga dapat membuat autorisasi yang memenuhi syarat yang memungkinkan pengguna dalam penyewa pengelola Anda untuk sementara meningkatkan peran mereka. Menggunakan otorisasi yang memenuhi syarat memungkinkan Anda meminimalkan jumlah penugasan permanen pengguna ke peran istimewa, membantu mengurangi risiko keamanan yang terkait dengan akses istimewa oleh pengguna di penyewa Anda. Fitur ini memiliki persyaratan lisensi tertentu. Untuk informasi selengkapnya, lihat Membuat autorisasi yang memenuhi syarat.
Langkah berikutnya
- Tinjau informasi garis besar keamanan untuk memahami bagaimana panduan dari tolok ukur keamanan cloud Microsoft berlaku untuk Azure Lighthouse.
- Menyebarkan autentikasi multifaktor Microsoft Entra.
- Pelajari tentang pengalaman manajemen lintas penyewa.