Obszar projektowania zarządzania tożsamościami i dostępem

  • Artykuł

Obszar projektowania zarządzania tożsamościami i dostępem zawiera najlepsze rozwiązania, których można użyć do ustanowienia podstaw bezpiecznej i w pełni zgodnej architektury chmury publicznej.

Przedsiębiorstwa mogą mieć złożone i heterogeniczne krajobrazy technologiczne, dlatego bezpieczeństwo ma kluczowe znaczenie. Niezawodne zarządzanie tożsamościami i dostępem stanowi podstawę nowoczesnej ochrony przez utworzenie obwodu zabezpieczeń w chmurze publicznej. Kontrola autoryzacji i dostępu zapewnia, że tylko uwierzytelnieni użytkownicy z zweryfikowanymi urządzeniami mogą uzyskiwać dostęp do aplikacji i zasobów oraz administrować nimi. Gwarantuje to, że właściwa osoba może uzyskiwać dostęp do odpowiednich zasobów w odpowiednim czasie i z właściwego powodu. Zapewnia również niezawodne rejestrowanie inspekcji i nieuprzyjęcie akcji tożsamości użytkownika lub obciążenia. Należy zapewnić spójną kontrolę dostępu przedsiębiorstwa, w tym dostęp użytkowników, kontrolę i płaszczyzny zarządzania, dostęp zewnętrzny i uprzywilejowany, aby zwiększyć produktywność i ograniczyć ryzyko nieautoryzowanej eskalacji uprawnień lub eksfiltracji danych.

Platforma Azure oferuje kompleksowy zestaw usług, narzędzi i architektur referencyjnych, które ułatwiają organizacji tworzenie wysoce bezpiecznych i wydajnych operacyjnie środowisk. Istnieje kilka opcji zarządzania tożsamościami w środowisku chmury. Każda opcja różni się kosztami i złożonością. Ustal usługi tożsamości oparte na chmurze na podstawie tego, ile trzeba zintegrować z istniejącą lokalną infrastrukturą tożsamości. Aby uzyskać więcej informacji, zobacz Przewodnik po decyzjach dotyczących tożsamości.

Zarządzanie tożsamościami i dostępem w strefach docelowych platformy Azure

Zarządzanie tożsamościami i dostępem jest główną kwestią zarówno w strefach docelowych platformy, jak i aplikacji. Zgodnie z zasadą projektowania demokratyzacji subskrypcji właściciele aplikacji powinni mieć autonomię zarządzania własnymi aplikacjami i zasobami przy minimalnej interwencji zespołu platformy. Strefy docelowe to granica zabezpieczeń, a zarządzanie tożsamościami i dostępem umożliwia kontrolowanie separacji jednej strefy docelowej z innej, wraz ze składnikami, takimi jak sieć i usługa Azure Policy. Zastosuj niezawodny projekt zarządzania tożsamościami i dostępem, aby ułatwić osiągnięcie izolacji strefy docelowej aplikacji.

Zespół platformy jest odpowiedzialny za podstawy zarządzania tożsamościami i dostępem, w tym wdrażanie scentralizowanych usług katalogowych i zarządzanie nimi, takich jak Microsoft Entra ID, Microsoft Entra Domain Services i domena usługi Active Directory Services (AD DS). Administratorzy strefy docelowej aplikacji i użytkownicy, którzy uzyskują dostęp do aplikacji, korzystają z tych usług.

Zespół aplikacji jest odpowiedzialny za zarządzanie tożsamościami i dostępem swoich aplikacji, w tym zabezpieczanie dostępu użytkowników do aplikacji i między składnikami aplikacji, takimi jak usługa Azure SQL Database, maszyny wirtualne i usługa Azure Storage. W dobrze zaimplementowanej architekturze strefy docelowej zespół aplikacji może bez wysiłku korzystać z usług zapewnianych przez zespół platformy.

Wiele podstawowych pojęć związanych z zarządzaniem tożsamościami i dostępem jest takich samych zarówno w strefach docelowych platformy, jak i w strefach docelowych aplikacji, takich jak kontrola dostępu oparta na rolach (RBAC) i zasada najniższych uprawnień.

Przegląd obszaru projektowania

Funkcje: Zarządzanie tożsamościami i dostępem wymaga obsługi co najmniej jednej z następujących funkcji. Role, które wykonują te funkcje, mogą pomóc w podejmowaniu i wdrażaniu decyzji.

Zakres: Celem tego obszaru projektowania jest pomoc w ocenie opcji tożsamości i podstawy dostępu. Podczas projektowania strategii tożsamości należy wykonać następujące zadania:

  • Uwierzytelnianie użytkowników i tożsamości obciążeń.
  • Przypisywanie dostępu do zasobów.
  • Określanie podstawowych wymagań dotyczących rozdzielenia obowiązków.
  • Synchronizowanie tożsamości hybrydowych z identyfikatorem Entra firmy Microsoft.

Poza zakresem: Tożsamość i zarządzanie dostępem stanowią podstawę odpowiedniej kontroli dostępu, ale nie obejmują bardziej zaawansowanych aspektów, takich jak:

  • Model Zero Trust.
  • Zarządzanie operacyjne podwyższonym poziomem uprawnień.
  • Zautomatyzowane zabezpieczenia, aby zapobiec typowym błędom tożsamości i dostępu.

Obszary projektowania zgodności na potrzeby zabezpieczeń i ładu dotyczą aspektów poza zakresem. Aby uzyskać kompleksowe zalecenia dotyczące zarządzania tożsamościami i dostępem, zobacz Azure Identity Management and access control security best practices (Najlepsze rozwiązania dotyczące zarządzania tożsamościami i kontroli dostępu na platformie Azure).

Omówienie obszaru projektowania

Tożsamość stanowi podstawę dla szerokiej gamy gwarancji zabezpieczeń. Zapewnia dostęp na podstawie mechanizmów kontroli uwierzytelniania tożsamości i autoryzacji w usługach w chmurze. Kontrola dostępu chroni dane i zasoby i pomaga określić, które żądania powinny być dozwolone.

Zarządzanie tożsamościami i dostępem pomaga zabezpieczyć wewnętrzne i zewnętrzne granice środowiska chmury publicznej. Jest to podstawa dowolnej bezpiecznej i w pełni zgodnej architektury chmury publicznej.

W poniższych artykułach opisano zagadnienia dotyczące projektowania i zalecenia dotyczące zarządzania tożsamościami i dostępem w środowisku chmury:

Aby uzyskać wskazówki dotyczące projektowania rozwiązań na platformie Azure przy użyciu ustalonych wzorców i praktyk, zobacz Projektowanie architektury tożsamości.

Napiwek

Jeśli masz wiele dzierżaw identyfikatorów Entra firmy Microsoft, zobacz Strefy docelowe platformy Azure i wiele dzierżaw firmy Microsoft Entra.

Następne kroki

Tożsamość hybrydowa z usługą Active Directory i identyfikatorem entra firmy Microsoft