Procedure di sicurezza consigliate
Quando si usa Azure Lighthouse, è importante considerare la sicurezza e il controllo di accesso. Gli utenti nel tenant avranno accesso diretto alle sottoscrizioni e ai gruppi di risorse dei clienti, quindi è consigliabile eseguire le operazioni necessarie per mantenere la sicurezza del tenant. Si vuole anche assicurarsi di consentire solo l'accesso necessario per gestire efficacemente le risorse dei clienti. Questo argomento fornisce indicazioni utili a tale scopo.
Suggerimento
Queste raccomandazioni si applicano anche alle aziende che gestiscono più tenant con Azure Lighthouse.
Richiedere l'autenticazione a più fattori Di Microsoft Entra
L'autenticazione a più fattori Di Microsoft Entra (nota anche come verifica in due passaggi) consente agli utenti malintenzionati di ottenere l'accesso a un account richiedendo più passaggi di autenticazione. È necessario richiedere l'autenticazione a più fattori di Microsoft Entra per tutti gli utenti del tenant di gestione, inclusi gli utenti che avranno accesso alle risorse delegate dei clienti.
È consigliabile chiedere ai clienti di implementare anche l'autenticazione a più fattori Microsoft Entra nei propri tenant.
Importante
I criteri di accesso condizionale impostati nel tenant di un cliente non si applicano agli utenti che accedono alle risorse del cliente tramite Azure Lighthouse. Solo i criteri impostati nel tenant di gestione si applicano a tali utenti. È consigliabile richiedere l'autenticazione a più fattori Di Microsoft Entra sia per il tenant di gestione che per il tenant gestito (cliente).
Assegnare le autorizzazioni ai gruppi, usando il principio dei privilegi minimi
Per semplificare la gestione, usare i gruppi di Entra di Microsoft per ogni ruolo necessario per gestire le risorse dei clienti. In questo modo è possibile aggiungere o rimuovere singoli utenti al gruppo in base alle esigenze, anziché assegnare le autorizzazioni direttamente a ogni utente.
Importante
Per aggiungere autorizzazioni per un gruppo Microsoft Entra, il tipo di gruppo deve essere impostato su Sicurezza. Questa opzione è selezionata quando viene creato il gruppo. Per altre informazioni, vedere Creare un gruppo di base e aggiungere membri.
Quando si crea la struttura di autorizzazioni, assicurarsi di seguire il principio dei privilegi minimi, in modo che gli utenti abbiano solo le autorizzazioni necessarie per completare il proprio lavoro, riducendo la possibilità di errori accidentali.
È ad esempio possibile usare una struttura simile alla seguente:
| Nome gruppo | Tipo | principalId | Definizione del ruolo | ID di definizione del ruolo |
|---|---|---|---|---|
| Architetti | Gruppo utenti | <principalId> | Collaboratore | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Valutazione | Gruppo utenti | <principalId> | Lettore | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Specialisti di macchine virtuali | Gruppo utenti | <principalId> | Collaboratore macchina virtuale | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automazione | Nome dell'entità servizio (SPN) | <principalId> | Collaboratore | b24988ac-6180-42a0-ab88-20f7382dd24c |
Dopo aver creato questi gruppi, è possibile assegnare gli utenti in base alle esigenze. Aggiungere solo gli utenti che devono avere effettivamente accesso. Controllare regolarmente l'appartenenza ai gruppi e rimuovere gli utenti che non è più appropriato o necessario includere.
Tenere presente che, quando si esegue l'onboarding di clienti tramite un'offerta di servizio gestito pubblica, qualsiasi gruppo (o utente o entità servizio) incluso avrà le stesse autorizzazioni per ogni cliente che acquista il piano. Per assegnare gruppi diversi per lavorare con ogni cliente, è necessario pubblicare un piano privato separato esclusivo per ogni cliente o eseguire l'onboarding dei clienti singolarmente usando i modelli di Azure Resource Manager. È ad esempio possibile pubblicare un piano pubblico con accesso molto limitato, quindi collaborare direttamente con il cliente per eseguire l'onboarding delle risorse per l'accesso aggiuntivo usando un modello di risorsa di Azure personalizzato che concede l'accesso aggiuntivo in base alle esigenze.
Suggerimento
È anche possibile creare autorizzazioni idonee che consentono agli utenti del tenant di gestire temporaneamente il proprio ruolo. Usando le autorizzazioni idonee, è possibile ridurre al minimo il numero di assegnazioni permanenti degli utenti ai ruoli con privilegi, riducendo i rischi di sicurezza correlati all'accesso con privilegi da parte degli utenti nel tenant. Questa funzionalità presenta requisiti di licenza specifici. Per altre informazioni, vedere Creare autorizzazioni idonee.
Passaggi successivi
- Esaminare le informazioni sulla baseline di sicurezza per comprendere il modo in cui le linee guida del benchmark di sicurezza cloud Microsoft si applicano ad Azure Lighthouse.
- Distribuire l'autenticazione a più fattori Di Microsoft Entra.
- Informazioni sulle esperienze di gestione tra tenant.