Gestione delle identità e degli accessi per i server abilitati per Azure Arc

  • Articolo

L'organizzazione deve progettare i controlli di accesso corretti per proteggere gli ambienti ibridi usando sistemi di gestione delle identità locali e basati sul cloud.

Questi sistemi di gestione delle identità svolgono un ruolo importante. Consentono di progettare e implementare controlli di gestione degli accessi affidabili per proteggere l'infrastruttura dei server abilitati per Azure Arc.

Identità gestita

Al momento della creazione, l'identità assegnata dal sistema Microsoft Entra ID può essere usata solo per aggiornare lo stato dei server abilitati per Azure Arc, ad esempio l'heartbeat "ultimo visto". Concedendo a questa identità l'accesso alle risorse di Azure, è possibile abilitare le applicazioni nel server per accedervi alle risorse di Azure, ad esempio per richiedere segreti da un insieme di credenziali delle chiavi. È necessario effettuare le operazioni seguenti:

  • Considerare quali casi d'uso legittimi esistono per le applicazioni server per ottenere token di accesso e accedere alle risorse di Azure, pianificando anche il controllo di accesso di queste risorse.
  • Controllare i ruoli utente con privilegi nei server abilitati per Azure Arc (membri degli amministratori locali o del gruppo applicazioni delle estensioni dell'agente ibrido in Windows e membri del gruppo himds in Linux) per evitare che le identità gestite dal sistema vengano usate in modo improprio per ottenere l'accesso non autorizzato alle risorse di Azure.
  • Usare il controllo degli accessi in base al ruolo di Azure per controllare e gestire l'autorizzazione per le identità gestite dei server abilitati per Azure Arc ed eseguire verifiche di accesso periodiche per queste identità.

Controllo degli accessi in base al ruolo

Seguendo il principio dei privilegi minimi, gli utenti, i gruppi o le applicazioni assegnate con ruoli come "collaboratore" o "proprietario" o "Azure Connessione ed Machine Resource Amministrazione istrator" sono in grado di eseguire operazioni come la distribuzione di estensioni, delegando in modo efficace l'accesso radice o amministratore nei server abilitati per Azure Arc. Questi ruoli devono essere usati con cautela, per limitare il possibile raggio di esplosione o eventualmente sostituito da ruoli personalizzati.

Per limitare il privilegio di un utente e consentire l'onboarding dei server in Azure, il ruolo Di onboarding del computer Connessione ed di Azure è adatto. Questo ruolo può essere usato solo per eseguire l'onboarding dei server e non può eseguire di nuovo l'onboarding o eliminare la risorsa server. Per altre informazioni sui controlli di accesso, vedere la panoramica della sicurezza dei server abilitati per Azure Arc.

Considerare anche i dati sensibili che potrebbero essere inviati all'area di lavoro Log Analytics di Monitoraggio di Azure. Lo stesso principio di controllo degli accessi in base al ruolo deve essere applicato ai dati stessi. L'accesso in lettura ai server abilitati per Azure Arc può fornire l'accesso ai dati di log raccolti dall'agente di Log Analytics, archiviati nell'area di lavoro Log Analytics associata. Esaminare come implementare l'accesso granulare all'area di lavoro Log Analytics nella documentazione sulla progettazione della distribuzione dei log di Monitoraggio di Azure.

Architettura

Il diagramma seguente illustra un'architettura di riferimento che illustra i ruoli, le autorizzazioni e il flusso di azioni per i server abilitati per Azure Arc:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Considerazioni relative alla progettazione

  • Decidere chi dall'organizzazione deve avere accesso ai server di onboarding per configurare le autorizzazioni necessarie per i server e in Azure.
  • Decidere chi deve gestire i server abilitati per Azure Arc. Decidere quindi chi può visualizzare i dati dai servizi di Azure e da altri ambienti cloud.
  • Decidere il numero di entità servizio di onboarding di Arc necessarie. È possibile usare più di queste identità per eseguire l'onboarding di server di proprietà di diverse funzioni aziendali o unità aziendali in un'azienda basata su responsabilità operativa e proprietà.
  • Esaminare l'area di progettazione della gestione delle identità e degli accessi della zona di destinazione di Azure su scala aziendale. Esaminare l'area per valutare l'impatto dei server abilitati per Azure Arc sull'identità complessiva e sul modello di accesso.

Suggerimenti per la progettazione

  • Onboarding e amministrazione del server
    • Usare i gruppi di sicurezza per assegnare diritti di amministratore locale agli account di servizio o agli utenti identificati nei server per eseguire l'onboarding in Azure Arc su larga scala.
    • Usare l'entità servizio Microsoft Entra per eseguire l'onboarding dei server in Azure Arc. Prendere in considerazione l'uso di più entità servizio Microsoft Entra in un modello operativo decentralizzato, in cui i server vengono gestiti da team IT diversi.
    • Usare un segreto client dell'entità servizio Microsoft Entra di breve durata.
    • Assegnare il ruolo di onboarding del computer Connessione ed di Azure a livello di gruppo di risorse.
    • Usare i gruppi di sicurezza di Microsoft Entra e concedere il ruolo risorsa server ibrido Amministrazione istrator. Concedere il ruolo a team e singoli utenti che gestiranno le risorse server abilitate per Azure Arc in Azure.
  • Accesso alle risorse protette da Microsoft Entra ID
    • Usare le identità gestite per le applicazioni in esecuzione nei server locali (e in altri ambienti cloud) per fornire l'accesso alle risorse cloud protette da Microsoft Entra ID.
    • Limitare l'accesso alle identità gestite per consentire alle applicazioni autorizzate usando le autorizzazioni dell'applicazione Microsoft Entra.
    • Usare Hybrid agent extension applications il gruppo di sicurezza locale in Windows o il gruppo himds in Linux per concedere l'accesso agli utenti per richiedere token di accesso alle risorse di Azure dai server abilitati per Azure Arc.

Passaggi successivi

Per altre indicazioni per il percorso di adozione del cloud ibrido, vedere le risorse seguenti:

  • Esaminare gli scenari di avvio rapido di Azure Arc.
  • Esaminare i prerequisiti per i server abilitati per Azure Arc.
  • Pianificare una distribuzione su larga scala dei server con abilitazione di Azure Arc.
  • Altre informazioni su Azure Arc tramite il percorso di apprendimento di Azure Arc.