Área de design de gerenciamento de identidade e acesso

A área de design de gerenciamento de identidade e acesso fornece práticas recomendadas que você pode usar para estabelecer a base de sua arquitetura de nuvem pública segura e totalmente compatível.

As empresas podem ter cenários tecnológicos complexos e heterogêneos, por isso a segurança é fundamental. O gerenciamento robusto de identidade e acesso forma a base da proteção moderna, criando um perímetro de segurança em uma nuvem pública. Os controles de autorização e acesso garantem que apenas usuários autenticados com dispositivos verificados possam acessar e administrar aplicativos e recursos. Ele garante que o indivíduo certo possa acessar os recursos certos no momento certo e pelo motivo certo. Ele também fornece registro de auditoria confiável e não repúdio de ações de identidade de usuário ou carga de trabalho. Você deve fornecer controle de acesso corporativo consistente, incluindo acesso de usuário, planos de controle e gerenciamento, acesso externo e acesso privilegiado, para melhorar a produtividade e reduzir o risco de escalonamento de privilégios não autorizado ou exfiltração de dados.

O Azure oferece um conjunto abrangente de serviços, ferramentas e arquiteturas de referência para ajudar sua organização a criar ambientes altamente seguros e operacionalmente eficientes. Existem várias opções para gerenciar a identidade em um ambiente de nuvem. Cada opção varia em custo e complexidade. Determine seus serviços de identidade baseados em nuvem com base no quanto você precisa integrá-los à sua infraestrutura de identidade local existente. Para obter mais informações, consulte Guia de decisão de identidade.

Gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure

O gerenciamento de identidade e acesso é uma consideração central nas zonas de aterrissagem de plataforma e aplicativo. Sob o princípio de design da democratização da assinatura, os proprietários de aplicativos devem ter autonomia para gerenciar seus próprios aplicativos e recursos com intervenção mínima da equipe da plataforma. As zonas de aterrissagem são um limite de segurança, e o gerenciamento de identidade e acesso fornece uma maneira de controlar a separação de uma zona de aterrissagem de outra, juntamente com componentes como rede e Política do Azure. Aplique um design robusto de gerenciamento de identidade e acesso para ajudar a alcançar o isolamento da zona de aterrissagem do aplicativo.

A equipe da plataforma é responsável pela base do gerenciamento de identidade e acesso, incluindo a implantação e o gerenciamento de serviços de diretório centralizados, como o Microsoft Entra ID, os Serviços de Domínio Microsoft Entra e os Serviços de Domínio Active Directory (AD DS). Os administradores da zona de aterrissagem do aplicativo e os usuários que acessam aplicativos consomem esses serviços.

A equipe de aplicativos é responsável pelo gerenciamento de identidade e acesso de seus aplicativos, incluindo a proteção do acesso do usuário a aplicativos e entre componentes de aplicativos, como o Banco de Dados SQL do Azure, máquinas virtuais e o Armazenamento do Azure. Em uma arquitetura de zona de aterrissagem bem implementada, a equipe de aplicativos pode consumir facilmente os serviços que a equipe da plataforma fornece.

Muitos dos conceitos fundamentais de gerenciamento de identidade e acesso são os mesmos em zonas de aterrissagem de plataforma e aplicativo, como o RBAC (controle de acesso baseado em função) e o princípio de privilégio mínimo.

Revisão da área de design

Funções: O gerenciamento de identidade e acesso requer o suporte de uma ou mais das seguintes funções. As funções que executam essas funções podem ajudar a tomar e implementar decisões.

• Funções da plataforma de nuvem
• Funções do centro de excelência na nuvem
• Funções da equipe de segurança na nuvem

Escopo: O objetivo desta área de design é ajudá-lo a avaliar as opções para sua identidade e base de acesso. Ao criar sua estratégia de identidade, você deve executar as seguintes tarefas:

• Autenticar usuários e identidades de carga de trabalho.
• Atribuir acesso a recursos.
• Determinar os principais requisitos para a separação de funções.
• Sincronize identidades híbridas com o Microsoft Entra ID.

Fora do escopo: o gerenciamento de identidade e acesso forma uma base para o controle de acesso adequado, mas não abrange aspectos mais avançados, como:

• O modelo Zero Trust.
• A gestão operacional de privilégios elevados.
• Guarda-corpos automatizados para evitar erros comuns de identidade e acesso.

As áreas de design de conformidade para segurança e governança abordam os aspectos fora do escopo. Para obter recomendações abrangentes para gerenciamento de identidade e acesso, consulte Práticas recomendadas de segurança de controle de acesso e gerenciamento de identidades do Azure.

Visão geral da área de design

A identidade fornece a base para uma ampla gama de garantia de segurança. Ele concede o acesso com base na autenticação de identidade e nos controles de autorização dos serviços de nuvem. O controle de acesso protege dados e recursos e ajuda a determinar quais solicitações devem ser permitidas.

O gerenciamento de identidade e acesso ajuda a proteger os limites internos e externos de um ambiente de nuvem pública. É a base de qualquer arquitetura de nuvem pública segura e em total conformidade.

Os artigos a seguir examinam considerações de design e recomendações para gerenciamento de identidade e acesso em um ambiente de nuvem:

• Identidade híbrida com Active Directory e Microsoft Entra ID
• Gerenciamento de identidade e acesso da zona de aterrissagem
• Gerenciamento de acesso e identidade de aplicativo

Para obter orientação sobre como criar soluções no Azure usando padrões e práticas estabelecidos, consulte Design de arquitetura de identidade.

Dica

Se você tiver vários locatários do Microsoft Entra ID, consulte Zonas de aterrissagem do Azure e vários locatários do Microsoft Entra.

Próximas etapas

Identidade híbrida com Active Directory e Microsoft Entra ID