Ontwerpgebied identiteits- en toegangsbeheer

Het ontwerpgebied voor identiteits- en toegangsbeheer biedt aanbevolen procedures die u kunt gebruiken om de basis van uw beveiligde en volledig compatibele openbare cloudarchitectuur tot stand te brengen.

Ondernemingen kunnen complexe en heterogene technologische landschappen hebben, dus veiligheid is essentieel. Robuust identiteits- en toegangsbeheer vormt de basis van moderne beveiliging door een beveiligingsperimeter in een openbare cloud te maken. Autorisatie- en toegangsbeheer zorgt ervoor dat alleen geverifieerde gebruikers met geverifieerde apparaten toegang hebben tot toepassingen en resources en deze kunnen beheren. Het zorgt ervoor dat de juiste persoon op het juiste moment toegang heeft tot de juiste resources en om de juiste reden. Het biedt ook betrouwbare auditlogboekregistratie en niet-afdringing van identiteitsacties van gebruikers of werkbelastingen. U moet consistent enterprise-toegangsbeheer bieden, waaronder gebruikerstoegang, beheer- en beheervlakken, externe toegang en bevoegde toegang, om de productiviteit te verbeteren en het risico op escalatie van onbevoegde bevoegdheden of gegevensexfiltratie te beperken.

Azure biedt een uitgebreide set services, hulpprogramma's en referentiearchitecturen waarmee uw organisatie zeer veilige en operationeel efficiënte omgevingen kan maken. Er zijn verschillende opties voor het beheren van identiteiten in een cloudomgeving. Elke optie varieert in kosten en complexiteit. Bepaal uw identiteitsservices in de cloud op basis van de hoeveelheid die u nodig hebt om ze te integreren met uw bestaande on-premises identiteitsinfrastructuur. Zie de handleiding identiteitsbeslissing voor meer informatie.

Identiteits- en toegangsbeheer in Azure-landingszones

Identiteits- en toegangsbeheer is een belangrijke overweging in zowel platform- als toepassingslandingszones. Onder het ontwerpprincipe van de democratisering van abonnementen moeten toepassingseigenaren de autonomie hebben om hun eigen toepassingen en resources te beheren met minimale tussenkomst van het platformteam. Landingszones zijn een beveiligingsgrens en identiteits- en toegangsbeheer biedt een manier om de scheiding van de ene landingszone van een andere te beheren, samen met onderdelen zoals netwerken en Azure Policy. Pas een robuust ontwerp voor identiteits- en toegangsbeheer toe om isolatie van toepassingslandingszones te realiseren.

Het platformteam is verantwoordelijk voor de basis van identiteits- en toegangsbeheer, waaronder het implementeren en beheren van gecentraliseerde adreslijstservices, zoals Microsoft Entra ID, Microsoft Entra Domain Services en Active Directory-domein Services (AD DS). Beheerders van toepassingslandingszones en gebruikers die toegang hebben tot toepassingen, gebruiken deze services.

Het toepassingsteam is verantwoordelijk voor het identiteits- en toegangsbeheer van hun toepassingen, waaronder het beveiligen van gebruikerstoegang tot toepassingen en tussen toepassingsonderdelen, zoals Azure SQL Database, virtuele machines en Azure Storage. In een goed geïmplementeerde architectuur voor landingszones kan het toepassingsteam moeiteloos services gebruiken die het platformteam biedt.

Veel van de fundamentele concepten van identiteits- en toegangsbeheer zijn hetzelfde in platform- en toepassingslandingszones, zoals op rollen gebaseerd toegangsbeheer (RBAC) en het principe van minimale bevoegdheden.

Ontwerpgebiedbeoordeling

Functies: Identiteits- en toegangsbeheer vereist ondersteuning voor een of meer van de volgende functies. De rollen die deze functies uitvoeren, kunnen helpen bij het nemen en implementeren van beslissingen.

• Cloudplatformfuncties
• Cloud Center of Excellence-functies
• Functies van cloudbeveiligingsteam

Bereik: Het doel van dit ontwerpgebied is om u te helpen bij het evalueren van opties voor uw identiteit en toegangsbasis. Wanneer u uw identiteitsstrategie ontwerpt, moet u de volgende taken uitvoeren:

• Gebruikers en workloadidentiteiten verifiëren.
• Toegang tot resources toewijzen.
• Bepaal de kernvereisten voor de scheiding van taken.
• Hybride identiteiten synchroniseren met Microsoft Entra-id.

Buiten bereik: Identiteits- en toegangsbeheer vormt een basis voor het juiste toegangsbeheer, maar omvat geen geavanceerdere aspecten zoals:

• Het Zero Trust-model.
• Het operationele beheer van verhoogde bevoegdheden.
• Geautomatiseerde kaders om veelvoorkomende identiteits- en toegangsfouten te voorkomen.

De ontwerpgebieden voor naleving voor beveiliging en governance hebben betrekking op de aspecten buiten het bereik. Zie de best practices voor identiteits- en toegangsbeheer van Azure voor uitgebreide aanbevelingen voor identiteits- en toegangsbeheer.

Overzicht van ontwerpgebied

Identiteit biedt de basis voor een groot aantal beveiligingsgaranties. Het verleent toegang op basis van identiteitsverificatie en autorisatiebesturingselementen in cloudservices. Met toegangsbeheer worden gegevens en resources beschermd en wordt bepaald welke aanvragen moeten worden toegestaan.

Identiteits- en toegangsbeheer helpt de interne en externe grenzen van een openbare cloudomgeving te beveiligen. Het is de basis van een veilige en volledig compatibele openbare cloudarchitectuur.

In de volgende artikelen worden ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer in een cloudomgeving onderzocht:

• Hybride identiteit met Active Directory en Microsoft Entra-id
• Identiteits- en toegangsbeheer voor landingszone
• Toepassings- en toegangsbeheer

Zie Ontwerp van identiteitsarchitectuur voor hulp bij het ontwerpen van oplossingen in Azure met behulp van vastgestelde patronen en procedures.

Tip

Als u meerdere Microsoft Entra ID-tenants hebt, raadpleegt u Azure-landingszones en meerdere Microsoft Entra-tenants.

Volgende stappen

Hybride identiteit met Active Directory en Microsoft Entra-id