Condividi tramite

Set up Method D v2.0 secure break-glass access

Il meccanismo Break-Glass fornisce l'accesso temporaneo e di emergenza ai dispositivi o ai servizi Nexus dell'operatore di Azure, principalmente per il ripristino di emergenza, la risposta agli eventi imprevisti o la manutenzione essenziale. L'accesso viene concesso ai criteri IAM (Identity Access Management) controllati, mantenendo la sicurezza anche durante le emergenze.

Per gli ambienti di Network Fabric, il modello di break glass corrente, noto come Metodo D 1.5, si basa sull'autenticazione della password. Questo modello, tuttavia, è limitato a 15 account condivisi e comporta rischi significativi per la sicurezza. Il metodo D v2.0 introduce un approccio modernizzato, implementando dispositivi FIDO-2 e chiavi SSH per proteggere l'accesso break-glass. I miglioramenti principali includono:

  • Controllo di accesso rigoroso: gli amministratori dei clienti controllano l'accesso tramite singole assegnazioni anziché account condivisi.

  • Autenticazione avanzata: l'accesso break-glass viene gestito tramite Microsoft Entra con l'autenticazione a più fattori (MFA) eliminando le dipendenze dell'account locale.

  • Sicurezza avanzata: tutti i tentativi di accesso vengono registrati per scopi di controllo e analisi.

Token FIDO2

Nel modello Method D v2.0, gli utenti break glass usano un token FIDO2 per creare e caricare una chiave pubblica collegata all'identità Entra. Questa configurazione fornisce l'accesso SSH sicuro ai dispositivi fabric. Entra Role-Based Controllo di accesso (RBAC) gestisce l'autorizzazione, consentendo agli amministratori di assegnare livelli di accesso appropriati agli utenti.

Per l'accessibilità offline, i nomi utente, le chiavi pubbliche e le autorizzazioni vengono preprovisionati in tutti i dispositivi di Network Fabric, consentendo l'accesso SSH break-glass senza richiedere una connessione di Azure attiva.

Ogni token FIDO2 funge in genere da dispositivo USB fisico, offrendo l'autenticazione a più fattori infelice tramite la presenza dell'utente e la verifica del PIN.

Installazione e operazioni del metodo D v2.0

Questa guida è suddivisa in due sezioni

  1. Configurazione dell'infrastruttura del metodo D 2.0: obbligatoria per le distribuzioni esistente e nuova di Network Fabric (NF) che eseguono Runtime Fabric versione 4.0.0.

  2. Uso del metodo D v2.0 break glass access

Configurazione dell'infrastruttura D v2.0 del metodo

Questa guida offre una panoramica della configurazione dell'infrastruttura obbligatoria sia per le distribuzioni esistenti che per le nuove distribuzioni con runtime NF versione 4.0.0.

Passaggio 1: Registrare il provider di risorse NexusIdentity

Registrare il provider di risorse Microsoft.NexusIdentity .

  1. Registrare il provider di risorse :

    az provider register --namespace Microsoft.NexusIdentity --wait

  2. Verificare lo stato della registrazione:

    az provider show --namespace Microsoft.NexusIdentity -o table

    Lo stato della registrazione deve essere visualizzato come "Registrato".

Passaggio 2: Assegnare le autorizzazioni necessarie per l'accesso a Network Fabric

Nell'ambito dell'iniziativa SFI (Secure Future Initiative), i token ON-Behalf-Of (OBO) sono ora necessari per concedere l'accesso alle risorse dei clienti. Questo token concede le autorizzazioni NexusIdentity con ambito a livello di sottoscrizione, gruppo di risorse o infrastruttura di rete per abilitare l'accesso in lettura alle assegnazioni di ruolo di Network Fabric. Le autorizzazioni di ruolo seguenti devono essere assegnate agli utenti finali responsabili delle operazioni di creazione, aggiornamento NF e eliminazione NF. Queste autorizzazioni possono essere concesse temporaneamente, limitate alla durata necessaria per eseguire queste operazioni.

Autorizzazioni necessarie
  1. Microsoft.NexusIdentity/identitySets/read
  2. Microsoft.NexusIdentity/identitySets/write
  3. Microsoft.NexusIdentity/identitySets/delete
Configurare il controllo degli accessi in base al ruolo di Azure per Network Fabric Runtime versione 4.0.0

  1. In Ruoli di amministratore con privilegi selezionare Amministratore controllo degli accessi in base al ruolo di Azure come ruolo predefinito e fare clic su Avanti.

    Screenshot dell'aggiunta di un'assegnazione di ruolo

  2. Nella scheda Membri aggiungere l'identità dell'utente responsabile dell'esecuzione di operazioni di creazione, aggiornamento ed eliminazione NF.

    Screenshot dell'aggiunta di un membro all'assegnazione di ruolo

  3. Nella scheda Condizioni selezionare "Consenti agli utenti di assegnare solo i ruoli selezionati alle entità selezionate (meno privilegi).

    Screenshot dell'aggiunta di condizioni all'assegnazione di ruolo

    • Selezionare Constrain roles and principals (Vincola ruoli e entità) e fare clic su Configura,

    • Selezionare i parametri seguenti.

      Ruolo: Lettore

      Principal: NexusIdentityRP

Screenshot dell'aggiunta di ruoli e entità

  1. Fare clic su Rivedi e assegna per finalizzare la configurazione.

  2. Attiva il ruolo

    • Per attivare il ruolo, selezionare Ruolo basato su ruoli Controllo di accesso Amministratore nella scheda Assegnazioni idonee.

Nota

Assicurarsi che l'amministratore di Controllo di accesso basato su ruoli sia stato attivato correttamente.

Passaggi successivi

Come usare l'accesso break glass al metodo D v2.0