Identiteits- en toegangsbeheer voor servers met Azure Arc

  • Artikel

Uw organisatie moet de juiste besturingselementen voor toegang ontwerpen om hybride omgevingen te beveiligen met behulp van on-premises en cloudgebaseerde identiteitsbeheersystemen.

Deze identiteitsbeheersystemen spelen een belangrijke rol. Ze helpen bij het ontwerpen en implementeren van betrouwbare besturingselementen voor toegangsbeheer voor het beveiligen van de infrastructuur van servers met Azure Arc.

Beheerde identiteit

Bij het maken kan de door het Microsoft Entra ID-systeem toegewezen identiteit alleen worden gebruikt om de status van de servers met Azure Arc bij te werken (bijvoorbeeld de heartbeat 'laatst gezien'). Door deze identiteit toegang te verlenen tot Azure-resources, kunt u toepassingen op uw server inschakelen om toegang te krijgen tot Azure-resources (bijvoorbeeld om geheimen aan te vragen vanuit een Key Vault). U moet het volgende doen:

  • Overweeg welke legitieme use-cases bestaan voor servertoepassingen om toegangstokens te verkrijgen en toegang te krijgen tot Azure-resources, terwijl u ook van plan bent om toegangsbeheer van deze resources te plannen.
  • Beheer bevoorrechte gebruikersrollen op servers met Azure Arc (leden van de lokale beheerders of de groep Hybrid Agent Extensions Applications in Windows en leden van de himds-groep op Linux) om te voorkomen dat door het systeem beheerde identiteiten worden misbruikt om onbevoegde toegang te krijgen tot Azure-resources.
  • Gebruik Azure RBAC om de machtiging voor door Azure Arc beheerde identiteiten te beheren en te beheren en periodieke toegangsbeoordelingen uit te voeren voor deze identiteiten.

Op rollen gebaseerd toegangsbeheer (RBAC)

Volgens het principe met minimale bevoegdheden kunnen gebruikers, groepen of toepassingen die zijn toegewezen met rollen zoals 'inzender' of 'eigenaar' of 'Azure Verbinding maken ed Machine Resource Beheer istrator' bewerkingen uitvoeren, zoals het implementeren van extensies, het effectief delegeren van hoofd- of beheerderstoegang op servers met Azure Arc. Deze rollen moeten met voorzichtigheid worden gebruikt om de mogelijke straalstraal te beperken of uiteindelijk vervangen door aangepaste rollen.

Om de bevoegdheid van een gebruiker te beperken en alleen toe te staan om servers naar Azure te onboarden, is de azure Verbinding maken ed Machine Onboarding-rol geschikt. Deze rol kan alleen worden gebruikt voor het onboarden van servers en kan de serverresource niet opnieuw onboarden of verwijderen. Raadpleeg het beveiligingsoverzicht van servers met Azure Arc voor meer informatie over toegangsbeheer.

Houd ook rekening met de gevoelige gegevens die kunnen worden verzonden naar de Azure Monitor Log Analytics-werkruimte. Hetzelfde RBAC-principe moet worden toegepast op de gegevens zelf. Leestoegang tot servers met Azure Arc kan toegang bieden tot logboekgegevens die zijn verzameld door de Log Analytics-agent, die zijn opgeslagen in de bijbehorende Log Analytics-werkruimte. Bekijk hoe u gedetailleerde toegang tot Log Analytics-werkruimten implementeert in het ontwerpen van de implementatiedocumentatie voor Azure Monitor-logboeken.

Architectuur

In het volgende diagram ziet u een referentiearchitectuur die de rollen, machtigingen en de stroom van acties voor servers met Azure Arc laat zien:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Ontwerpoverwegingen

  • Bepaal wie van uw organisatie toegang moet hebben tot onboardingservers om vereiste machtigingen in te stellen op de servers en in Azure.
  • Bepaal wie servers met Azure Arc moet beheren. Bepaal vervolgens wie hun gegevens kan bekijken vanuit Azure-services en andere cloudomgevingen.
  • Bepaal hoeveel Arc-onboardingservice-principals u nodig hebt. Meerdere van deze identiteiten kunnen worden gebruikt voor het onboarden van servers die eigendom zijn van verschillende bedrijfsfuncties of -eenheden in een onderneming die is gebaseerd op operationele verantwoordelijkheid en eigendom.
  • Bekijk het ontwerpgebied voor identiteits- en toegangsbeheer van de Azure-landingszone op ondernemingsniveau. Bekijk het gebied om de impact van servers met Azure Arc op uw algehele identiteit en toegangsmodel te beoordelen.

Ontwerpaanaanvelingen

  • Onboarding en beheer van servers
    • Gebruik beveiligingsgroepen om lokale beheerdersrechten toe te wijzen aan de geïdentificeerde gebruikers of serviceaccounts op de servers om op schaal aan Azure Arc te onboarden.
    • Gebruik de Service-principal van Microsoft Entra om servers naar Azure Arc te onboarden. Overweeg om meerdere Microsoft Entra-service-principals te gebruiken in een gedecentraliseerd operationeel model, waarbij servers worden beheerd door verschillende IT-teams.
    • Gebruik clientgeheimen van een Microsoft Entra-service-principal.
    • Wijs de azure Verbinding maken ed Machine Onboarding-rol toe op het niveau van de resourcegroep.
    • Gebruik Microsoft Entra-beveiligingsgroepen en verdeel de rol Hybrid Server Resource Beheer istrator. Verdeel de rol aan teams en personen die serverbronnen met Azure Arc in Azure beheren.
  • Beveiligde resourcetoegang met Microsoft Entra-id
    • Gebruik beheerde identiteiten voor toepassingen die worden uitgevoerd op uw on-premises servers (en andere cloudomgevingen) om toegang te bieden tot cloudresources die worden beveiligd door Microsoft Entra ID.
    • Beperk de toegang tot beheerde identiteiten om toepassingen toe te staan die zijn geautoriseerd met behulp van Microsoft Entra-toepassingsmachtigingen.
    • Gebruik Hybrid agent extension applications lokale beveiligingsgroep in Windows of de himds-groep op Linux om toegang te verlenen aan gebruikers om Toegangstokens voor Azure-resources aan te vragen van de servers met Azure Arc.

Volgende stappen

Raadpleeg de volgende bronnen voor meer richtlijnen voor uw overstap naar hybride clouds: