Práticas de segurança recomendadas
Ao usar o Azure Lighthouse, é importante considerar a segurança e o controle de acesso. Os usuários em seu locatário terão acesso direto a grupos de recursos e assinaturas de cliente, portanto, é recomendado implementar etapas para manter a segurança do seu locatário. Também é conveniente só permitir o acesso necessário para gerenciar os recursos dos seus clientes com eficiência. Esse tópico fornece recomendações para ajudá-lo a fazer isso.
Dica
Essas recomendações também se aplicam a empresas que gerenciam vários locatários com o Azure Lighthouse.
Exigir a autenticação multifator do Microsoft Entra
A autenticação multifator do Microsoft Entra (também conhecida como verificação em duas etapas), ajuda a impedir que invasores obtenham acesso a uma conta exigindo várias etapas de autenticação. Exija a autenticação multifator do Microsoft Entra para todos os usuários no seu locatário de gerenciamento, incluindo os usuários que terão acesso aos recursos delegados do cliente.
É recomendável solicitar que seus clientes implementem a autenticação multifator do Microsoft Entra em seus locatários também.
Importante
As políticas de acesso condicional definidas no locatário de um cliente não se aplicam aos usuários que acessam os recursos desse cliente por meio do Azure Lighthouse. Somente as políticas definidas no locatário de gerenciamento se aplicam a esses usuários. É altamente recomendável exigir a autenticação multifator do Microsoft Entra para o locatário de gerenciamento e o locatário gerenciado (cliente).
Atribuir permissões a grupos usando o princípio de menor privilégio
Para facilitar o gerenciamento, use os grupos do Microsoft Entra para cada função necessária para gerenciar os recursos de seus clientes. Isso permite que você adicione ou remova usuários individuais do grupo, conforme necessário, em vez de atribuir permissões diretamente a cada usuário.
Importante
Para adicionar permissões para um grupo do Microsoft Entra, o Tipo de grupo deve ser definido como Segurança. Essa opção é selecionada quando o grupo é criado. Para mais informações, confira Criar um grupo básico e adicionar membros.
Ao criar a estrutura de permissões, siga o princípio de privilégios mínimos para que os usuários tenham apenas as permissões necessárias para concluir seu trabalho, ajudando a reduzir a chance de erros acidentais.
Por exemplo, convém usar uma estrutura como esta:
Nome do grupo | Tipo | principalId | Definição de função | ID de definição de função |
---|---|---|---|---|
Arquitetos | Grupo de usuários | <principalId> | Colaborador | b24988ac-6180-42a0-ab88-20f7382dd24c |
Avaliação | Grupo de usuários | <principalId> | Leitor | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
Especialistas de VM | Grupo de usuários | <principalId> | Colaborador de VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
Automação | SPN (nome da entidade de serviço) | <principalId> | Colaborador | b24988ac-6180-42a0-ab88-20f7382dd24c |
Depois de criar esses grupos, é possível atribuir usuários conforme necessário. Somente adicione os usuários que realmente precisam ter acesso. Examine a associação de grupo regularmente e remova os usuários que não são mais adequados ou necessários para incluir.
Tenha em mente que, quando você integrar clientes por meio de uma oferta pública de serviço gerenciado, qualquer grupo (ou entidade de serviço ou usuário) que você incluir terá as mesmas permissões para todo cliente que comprar o plano. Para atribuir grupos diferentes para trabalhar com cada cliente, será necessário publicar um plano privado separado que seja exclusivo para cada cliente ou integrar clientes individualmente usando modelos do Azure Resource Manager. Por exemplo, você pode publicar um plano público com acesso muito limitado e, em seguida, trabalhar com o cliente diretamente para integrar seus recursos para acesso adicional usando um Modelo de Recurso do Azure personalizado que concede acesso adicional, conforme necessário.
Dica
Você também pode criar autorizações qualificadas que permitem que os usuários no locatário de gerenciamento elevem temporariamente a função. Ao usar as autorizações qualificadas, você pode minimizar o número de atribuições permanentes de usuários a funções com privilégios, ajudando a reduzir os riscos de segurança relacionados ao acesso privilegiado dos usuários no locatário. Este recurso possui requisitos de licenciamento específicos. Para obter mais informações, confira Criar as autorizações qualificadas.
Próximas etapas
- Examine as informações de linha de base de segurança para reconhecer como as diretrizes do Microsoft Cloud Security Benchmark se aplicam ao Azure Lighthouse.
- Implantar a autenticação multifator do Microsoft Entra.
- Saiba mais sobre as experiências de gerenciamento entre locatários.