Area di progettazione della gestione delle identità e degli accessi

  • Articolo

L'area di progettazione della gestione delle identità e degli accessi offre procedure consigliate che è possibile usare per stabilire le basi dell'architettura cloud pubblica sicura e completamente conforme.

Le aziende possono avere paesaggi tecnologici complessi e eterogenei, quindi la sicurezza è fondamentale. Una solida gestione delle identità e degli accessi costituisce la base della protezione moderna creando un perimetro di sicurezza in un cloud pubblico. I controlli di autorizzazione e accesso assicurano che solo gli utenti autenticati con dispositivi verificati possano accedere e amministrare applicazioni e risorse. Garantisce che l'utente giusto possa accedere alle risorse giuste al momento giusto e per il giusto motivo. Fornisce anche la registrazione di controllo affidabile e la non verifica delle azioni di identità utente o carico di lavoro. È consigliabile fornire un controllo di accesso aziendale coerente, inclusi gli accessi utente, il controllo e i piani di gestione, l'accesso esterno e l'accesso con privilegi, per migliorare la produttività e ridurre il rischio di escalation o esfiltrazione di privilegi non autorizzati.

Azure offre un set completo di servizi, strumenti e architetture di riferimento che consentono all'organizzazione di creare ambienti altamente sicuri e operativi efficienti. Sono disponibili diverse opzioni per la gestione dell'identità in un ambiente cloud. Ogni opzione varia in termini di costi e complessità. Determinare i servizi di gestione delle identità basati sul cloud in base alla quantità di integrazione con l'infrastruttura di gestione delle identità locale esistente. Per altre informazioni, vedere Identity Decision Guide.For more information, see Identity decision guide.

Gestione delle identità e degli accessi nelle zone di destinazione di Azure

La gestione delle identità e degli accessi è una considerazione fondamentale nelle zone di destinazione della piattaforma e dell'applicazione. In base al principio di progettazione della democratizzazione delle sottoscrizioni, i proprietari delle applicazioni devono avere l'autonomia di gestire le proprie applicazioni e risorse con un intervento minimo del team della piattaforma. Le zone di destinazione sono un limite di sicurezza e la gestione delle identità e degli accessi consente di controllare la separazione di una zona di destinazione da un'altra, insieme a componenti come rete e Criteri di Azure. Applicare una progettazione affidabile per la gestione delle identità e degli accessi per ottenere l'isolamento della zona di destinazione dell'applicazione.

Il team della piattaforma è responsabile della gestione delle identità e degli accessi, inclusa la distribuzione e la gestione di servizi directory centralizzati, ad esempio Microsoft Entra ID, Microsoft Entra Domain Services e Dominio di Active Directory Services (AD DS). Amministratori e utenti dell'area di destinazione delle applicazioni che accedono alle applicazioni usano questi servizi.

Il team dell'applicazione è responsabile della gestione delle identità e degli accessi delle applicazioni, inclusa la protezione dell'accesso degli utenti alle applicazioni e tra componenti dell'applicazione, ad esempio database SQL di Azure, macchine virtuali e Archiviazione di Azure. In un'architettura di zona di destinazione ben implementata, il team dell'applicazione può utilizzare facilmente i servizi offerti dal team della piattaforma.

Molti dei concetti fondamentali della gestione delle identità e degli accessi sono gli stessi nelle zone di destinazione della piattaforma e dell'applicazione, ad esempio il controllo degli accessi in base al ruolo e il principio dei privilegi minimi.

Revisione dell'area di progettazione

Funzioni: la gestione delle identità e degli accessi richiede il supporto di una o più delle funzioni seguenti. I ruoli che eseguono queste funzioni possono aiutare a prendere e implementare decisioni.

Ambito: l'obiettivo di questa area di progettazione è aiutare a valutare le opzioni per l'identità e le basi di accesso. Quando si progetta la strategia di gestione delle identità, è necessario eseguire le attività seguenti:

  • Autenticare utenti e identità del carico di lavoro.
  • Assegnare l'accesso alle risorse.
  • Determinare i requisiti di base per la separazione dei compiti.
  • Sincronizzare le identità ibride con Microsoft Entra ID.

Fuori ambito: la gestione delle identità e degli accessi costituisce una base per il controllo di accesso appropriato, ma non copre aspetti più avanzati, ad esempio:

  • Modello Zero Trust.
  • Gestione operativa dei privilegi elevati.
  • Protezioni automatizzate per evitare errori comuni di identità e accesso.

Le aree di progettazione della conformità per la sicurezza e la governance riguardano gli aspetti out-of-scope. Per consigli completi sulla gestione delle identità e degli accessi, vedere Procedure consigliate per la gestione delle identità di Azure e il controllo di accesso.

Panoramica dell'area di progettazione

L'identità costituisce la base di un'ampia varietà di garanzie di sicurezza. Concede l'accesso in base ai controlli di autorizzazione e autenticazione delle identità nei servizi cloud. Il controllo di accesso protegge i dati e le risorse e consente di determinare quali richieste devono essere consentite.

La gestione delle identità e degli accessi consente di proteggere i limiti interni ed esterni di un ambiente cloud pubblico. Si tratta della base di un'architettura di cloud pubblico sicura e completamente compatibile.

Gli articoli seguenti esaminano le considerazioni di progettazione e le raccomandazioni per la gestione delle identità e degli accessi in un ambiente cloud:

Per indicazioni sulla progettazione di soluzioni in Azure usando modelli e procedure stabiliti, vedere Progettazione dell'architettura delle identità.

Suggerimento

Se sono presenti più tenant di Microsoft Entra ID, vedere Zone di destinazione di Azure e più tenant di Microsoft Entra.

Passaggi successivi

Identità ibrida con Active Directory e Microsoft Entra ID