Zabezpieczenia w ramach subskrypcji tworzenia i testowania platformy Azure
Zapewnienie bezpieczeństwa zasobów jest wspólnym wysiłkiem między dostawcą usług w chmurze, platformą Azure i Tobą. Subskrypcje tworzenia i testowania platformy Azure oraz Microsoft Defender dla Chmury udostępniają narzędzia potrzebne do wzmacniania zabezpieczeń sieci, zabezpieczania usług i upewnienia się, że jesteś na szczycie stanu zabezpieczeń.
Ważne narzędzia w ramach subskrypcji usługi Azure Dev/Test ułatwiają tworzenie bezpiecznego dostępu do zasobów:
- Grupy zarządzania platformy Azure
- Azure Lighthouse
- Monitorowanie środków
- Identyfikator usługi Microsoft Entra
Grupy zarządzania platformy Azure
Po włączeniu i skonfigurowaniu subskrypcji usługi Azure Dev/Test platforma Azure wdraża domyślną hierarchię zasobów w celu zarządzania tożsamościami i dostępem do zasobów w jednej domenie firmy Microsoft Entra. Hierarchia zasobów umożliwia organizacji konfigurowanie silnych obwodów zabezpieczeń dla zasobów i użytkowników.
Zasoby, grupy zasobów, subskrypcje, grupy zarządzania i dzierżawa wspólnie tworzą hierarchię zasobów. Aktualizowanie i zmienianie tych ustawień w rolach niestandardowych platformy Azure lub przypisaniach zasad platformy Azure może mieć wpływ na każdy zasób w hierarchii zasobów. Ważne jest, aby chronić hierarchię zasobów przed zmianami, które mogą negatywnie wpłynąć na wszystkie zasoby.
Grupy zarządzania platformy Azure są ważnym aspektem zarządzania dostępem i ochroną zasobów w jednej dzierżawie. Grupy zarządzania platformy Azure umożliwiają ustawianie limitów przydziału, zasad platformy Azure i zabezpieczeń do różnych typów subskrypcji. Te grupy są istotnym składnikiem opracowywania zabezpieczeń dla subskrypcji tworzenia i testowania w organizacji.
Jak widać, użycie grup zarządzania zmienia domyślną hierarchię i dodaje poziom dla grup zarządzania. To zachowanie może potencjalnie spowodować nieprzewidziane okoliczności i luki w zabezpieczeniach, jeśli nie wykonasz odpowiedniego procesu w celu ochrony hierarchii zasobów
Dlaczego grupy zarządzania platformy Azure są przydatne?
Podczas opracowywania zasad zabezpieczeń dla subskrypcji tworzenia i testowania w organizacji możesz wybrać wiele subskrypcji tworzenia i testowania na jednostkę organizacyjną lub działalność biznesową. Na poniższym diagramie widać wizualizację tego grupowania zarządzania.
Możesz również wybrać jedną subskrypcję tworzenia i testowania dla wszystkich różnych jednostek.
Grupy zarządzania platformy Azure i subskrypcje tworzenia/testowania działają jako bariera zabezpieczeń w strukturze organizacyjnej.
Ta bariera bezpieczeństwa ma dwa składniki:
- Tożsamość i dostęp: może być konieczne segmentowanie dostępu do określonych zasobów
- Dane: różne subskrypcje zasobów, które uzyskują dostęp do danych osobowych
Korzystanie z dzierżaw firmy Microsoft Entra
Dzierżawa jest dedykowanym wystąpieniem identyfikatora Entra firmy Microsoft, które otrzymuje organizacja lub deweloper aplikacji, gdy organizacja lub deweloper aplikacji tworzy relację z firmą Microsoft, takimi jak rejestracja na platformie Azure, w usłudze Microsoft Intune lub microsoft 365.
Każda dzierżawa firmy Microsoft Entra jest oddzielona od innych dzierżaw firmy Microsoft Entra. Każda dzierżawa firmy Microsoft Entra ma własną reprezentację tożsamości służbowych, tożsamości konsumentów (jeśli jest to dzierżawa usługi Azure AD B2C) i rejestracji aplikacji. Rejestrowanie aplikacji w dzierżawie umożliwia uwierzytelnianie tylko z poziomu kont w ramach dzierżawy lub ze wszystkich dzierżaw.
Jeśli musisz dodatkowo oddzielić infrastrukturę tożsamości organizacji poza grupami zarządzania w ramach jednej dzierżawy, możesz również utworzyć inną dzierżawę z własną hierarchią zasobów.
Łatwym sposobem na oddzielenie zasobów i użytkowników jest utworzenie nowej dzierżawy firmy Microsoft Entra.
Tworzenie nowej dzierżawy firmy Microsoft Entra
Jeśli nie masz dzierżawy microsoft Entra lub chcesz utworzyć nową dzierżawę na potrzeby programowania, zapoznaj się z przewodnikiem Szybki start lub postępuj zgodnie ze środowiskiem tworzenia katalogu. Aby utworzyć nową dzierżawę, musisz podać następujące informacje:
- Nazwa organizacji
- Domena początkowa — jest częścią /*.onmicrosoft.com. Domenę można dostosować później.
- Kraj lub region
Dowiedz się więcej o tworzeniu i konfigurowaniu dzierżaw firmy Microsoft Entra
Zarządzanie wieloma dzierżawami przy użyciu usługi Azure Lighthouse
Usługa Azure Lighthouse umożliwia zarządzanie krzyżowe i wielodostępne, co pozwala na większą automatyzację, skalowalność i ulepszony nadzór między zasobami i dzierżawami. Dostawcy usług mogą dostarczać usługi zarządzane przy użyciu kompleksowych i niezawodnych narzędzi do zarządzania wbudowanych w platformę Azure. Klienci mają kontrolę nad tym, kto uzyskuje dostęp do swojej dzierżawy, do których zasobów uzyskuje dostęp, oraz jakie działania można podjąć.
Typowym scenariuszem dla usługi Azure Lighthouse jest zarządzanie zasobami w dzierżawach firmy Microsoft firmy Microsoft dla klientów. Jednak możliwości usługi Azure Lighthouse można również użyć do uproszczenia zarządzania między dzierżawami w przedsiębiorstwie, które korzysta z wielu dzierżaw firmy Microsoft.
W przypadku większości organizacji zarządzanie jest łatwiejsze w przypadku jednej dzierżawy firmy Microsoft Entra. Posiadanie wszystkich zasobów w ramach jednej dzierżawy umożliwia centralizację zadań zarządzania przez wyznaczonych użytkowników, grup użytkowników lub jednostek usługi w ramach tej dzierżawy.
Jeśli wymagana jest architektura wielodostępna, usługa Azure Lighthouse ułatwia scentralizowanie i usprawnianie operacji zarządzania. Korzystając z funkcji zarządzania zasobami delegowanymi na platformie Azure, użytkownicy w jednej dzierżawie zarządzającej mogą wykonywać funkcje zarządzania między dzierżawami w sposób scentralizowany i skalowalny.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla