Zarządzanie tożsamościami i dostępem dla serwerów z obsługą usługi Azure Arc

  • Artykuł

Twoja organizacja musi zaprojektować odpowiednie mechanizmy kontroli dostępu w celu zabezpieczenia środowisk hybrydowych przy użyciu lokalnych i opartych na chmurze systemów zarządzania tożsamościami.

Te systemy zarządzania tożsamościami odgrywają ważną rolę. Ułatwiają one projektowanie i implementowanie niezawodnych mechanizmów kontroli zarządzania dostępem na potrzeby zabezpieczania infrastruktury serwerów z obsługą usługi Azure Arc.

Tożsamość zarządzana

Podczas tworzenia tożsamość przypisana przez system identyfikator Entra firmy Microsoft może służyć tylko do aktualizowania stanu serwerów z obsługą usługi Azure Arc (na przykład pulsu "ostatnio widziany"). Udzielając tej tożsamości dostępu do zasobów platformy Azure, można włączyć aplikacje na serwerze, aby mogły uzyskiwać dostęp do zasobów platformy Azure (na przykład w celu żądania wpisów tajnych z usługi Key Vault). Należy:

  • Rozważ, które uzasadnione przypadki użycia istnieją dla aplikacji serwerowych w celu uzyskania tokenów dostępu i dostępu do zasobów platformy Azure, a także planowanie kontroli dostępu tych zasobów.
  • Kontrolowanie ról uprzywilejowanych użytkowników na serwerach z włączoną usługą Azure Arc (członkowie lokalnej grupy administratorzy lub aplikacje rozszerzeń agentów hybrydowych w systemie Windows i członkowie grupy himdów w systemie Linux), aby uniknąć nieprawidłowego użycia tożsamości zarządzanych przez system w celu uzyskania nieautoryzowanego dostępu do zasobów platformy Azure.
  • Kontrola dostępu oparta na rolach platformy Azure umożliwia kontrolowanie tożsamości zarządzanych serwerów z obsługą usługi Azure Arc i zarządzanie nimi oraz przeprowadzanie okresowych przeglądów dostępu dla tych tożsamości.

Kontrola dostępu oparta na rolach (RBAC)

Zgodnie z zasadą najniższych uprawnień użytkownicy, grupy lub aplikacje przypisane z rolami takimi jak "współautor" lub "właściciel" lub "Azure Połączenie ed Machine Resource Administracja istrator" mogą wykonywać operacje, takie jak wdrażanie rozszerzeń, skutecznie delegowanie dostępu administratora lub administratora na serwerach z obsługą usługi Azure Arc. Te role powinny być używane z ostrożnością, aby ograniczyć możliwy promień wybuchu lub ostatecznie zamienić je na role niestandardowe.

Aby ograniczyć uprawnienia użytkownika i zezwolić im tylko na dołączanie serwerów do platformy Azure, rola dołączania maszyny Połączenie ed azure jest odpowiednia. Tej roli można używać tylko do dołączania serwerów i nie można ponownie dołączyć ani usunąć zasobu serwera. Aby uzyskać więcej informacji na temat kontroli dostępu, zapoznaj się z omówieniem zabezpieczeń serwerów z obsługą usługi Azure Arc.

Należy również wziąć pod uwagę poufne dane, które mogą być wysyłane do obszaru roboczego usługi Azure Monitor Log Analytics — ta sama zasada RBAC powinna być stosowana do samych danych. Dostęp do odczytu do serwerów z obsługą usługi Azure Arc może zapewnić dostęp do danych dzienników zebranych przez agenta usługi Log Analytics przechowywanych w skojarzonym obszarze roboczym usługi Log Analytics. Zapoznaj się ze sposobem implementowania szczegółowego dostępu do obszaru roboczego usługi Log Analytics w dokumentacji projektowania dzienników usługi Azure Monitor.

Architektura

Na poniższym diagramie przedstawiono architekturę referencyjną, która demonstruje role, uprawnienia i przepływ akcji dla serwerów z obsługą usługi Azure Arc:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Uwagi dotyczące projektowania

  • Zdecyduj, kto z organizacji powinien mieć dostęp do serwerów dołączania, aby skonfigurować wymagane uprawnienia na serwerach i na platformie Azure.
  • Zdecyduj, kto powinien zarządzać serwerami z obsługą usługi Azure Arc. Następnie zdecyduj, kto może wyświetlać swoje dane z usług platformy Azure i innych środowisk w chmurze.
  • Zdecyduj, ile jednostek usługi Arc jest potrzebnych. Wiele z tych tożsamości może służyć do dołączania serwerów należących do różnych funkcji biznesowych lub jednostek w przedsiębiorstwie, które są oparte na odpowiedzialności operacyjnej i własności.
  • Przejrzyj obszar projektowania zarządzania tożsamościami i dostępem w skali przedsiębiorstwa strefy docelowej platformy Azure. Przejrzyj obszar, aby ocenić wpływ serwerów z obsługą usługi Azure Arc na ogólny model tożsamości i dostępu.

Zalecenia dotyczące projektowania

  • Dołączanie i administrowanie serwerem
    • Użyj grup zabezpieczeń, aby przypisać uprawnienia administratora lokalnego do zidentyfikowanych użytkowników lub kont usług na serwerach, aby dołączyć do usługi Azure Arc na dużą skalę.
    • Użyj jednostki usługi Microsoft Entra do dołączenia serwerów do usługi Azure Arc. Rozważ użycie wielu jednostek usługi Firmy Microsoft Entra w zdecentralizowanym modelu operacyjnym, w którym serwery są zarządzane przez różne zespoły IT.
    • Użyj krótkoterminowych wpisów tajnych klienta jednostki usługi Microsoft Entra.
    • Przypisz rolę dołączania maszyny platformy Azure Połączenie na poziomie grupy zasobów.
    • Użyj grup zabezpieczeń Entra firmy Microsoft i przyznaj rolę Administracja istratora zasobu serwera hybrydowego. Przyznaj rolę zespołom i osobom fizycznym, które będą zarządzać zasobami serwera z obsługą usługi Azure Arc na platformie Azure.
  • Dostęp do chronionego zasobu identyfikatora entra firmy Microsoft
    • Użyj tożsamości zarządzanych dla aplikacji działających na serwerach lokalnych (i innych środowiskach w chmurze), aby zapewnić dostęp do zasobów w chmurze chronionych przez identyfikator Firmy Microsoft Entra.
    • Ogranicz dostęp do tożsamości zarządzanych, aby zezwolić aplikacjom autoryzowanym przy użyciu uprawnień aplikacji Firmy Microsoft Entra.
    • Użyj Hybrid agent extension applications lokalnej grupy zabezpieczeń w systemie Windows lub grupy himdów w systemie Linux, aby udzielić użytkownikom dostępu do żądania tokenów dostępu do zasobów platformy Azure z serwerów z obsługą usługi Azure Arc.

Następne kroki

Aby uzyskać więcej wskazówek dotyczących podróży po wdrożeniu chmury hybrydowej, zapoznaj się z następującymi zasobami: