Área de design de gerenciamento de identidade e acesso
A área de design de gerenciamento de identidade e acesso fornece práticas recomendadas que você pode usar para estabelecer a base de sua arquitetura de nuvem pública segura e totalmente compatível.
As empresas podem ter cenários tecnológicos complexos e heterogêneos, por isso a segurança é fundamental. O gerenciamento robusto de identidade e acesso forma a base da proteção moderna, criando um perímetro de segurança em uma nuvem pública. Os controles de autorização e acesso garantem que apenas usuários autenticados com dispositivos verificados possam acessar e administrar aplicativos e recursos. Ele garante que o indivíduo certo possa acessar os recursos certos no momento certo e pelo motivo certo. Ele também fornece registro de auditoria confiável e não repúdio de ações de identidade de usuário ou carga de trabalho. Você deve fornecer controle de acesso corporativo consistente, incluindo acesso de usuário, planos de controle e gerenciamento, acesso externo e acesso privilegiado, para melhorar a produtividade e reduzir o risco de escalonamento de privilégios não autorizado ou exfiltração de dados.
O Azure oferece um conjunto abrangente de serviços, ferramentas e arquiteturas de referência para ajudar sua organização a criar ambientes altamente seguros e operacionalmente eficientes. Existem várias opções para gerenciar a identidade em um ambiente de nuvem. Cada opção varia em custo e complexidade. Determine seus serviços de identidade baseados em nuvem com base no quanto você precisa integrá-los à sua infraestrutura de identidade local existente. Para obter mais informações, consulte Guia de decisão de identidade.
Gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure
O gerenciamento de identidade e acesso é uma consideração central nas zonas de aterrissagem de plataforma e aplicativo. Sob o princípio de design da democratização da assinatura, os proprietários de aplicativos devem ter autonomia para gerenciar seus próprios aplicativos e recursos com intervenção mínima da equipe da plataforma. As zonas de aterrissagem são um limite de segurança, e o gerenciamento de identidade e acesso fornece uma maneira de controlar a separação de uma zona de aterrissagem de outra, juntamente com componentes como rede e Política do Azure. Aplique um design robusto de gerenciamento de identidade e acesso para ajudar a alcançar o isolamento da zona de aterrissagem do aplicativo.
A equipe da plataforma é responsável pela base do gerenciamento de identidade e acesso, incluindo a implantação e o gerenciamento de serviços de diretório centralizados, como o Microsoft Entra ID, os Serviços de Domínio Microsoft Entra e os Serviços de Domínio Active Directory (AD DS). Os administradores da zona de aterrissagem do aplicativo e os usuários que acessam aplicativos consomem esses serviços.
A equipe de aplicativos é responsável pelo gerenciamento de identidade e acesso de seus aplicativos, incluindo a proteção do acesso do usuário a aplicativos e entre componentes de aplicativos, como o Banco de Dados SQL do Azure, máquinas virtuais e o Armazenamento do Azure. Em uma arquitetura de zona de aterrissagem bem implementada, a equipe de aplicativos pode consumir facilmente os serviços que a equipe da plataforma fornece.
Muitos dos conceitos fundamentais de gerenciamento de identidade e acesso são os mesmos em zonas de aterrissagem de plataforma e aplicativo, como o RBAC (controle de acesso baseado em função) e o princípio de privilégio mínimo.
Revisão da área de design
Funções: O gerenciamento de identidade e acesso requer o suporte de uma ou mais das seguintes funções. As funções que executam essas funções podem ajudar a tomar e implementar decisões.
- Funções da plataforma de nuvem
- Funções do centro de excelência na nuvem
- Funções da equipe de segurança na nuvem
Escopo: O objetivo desta área de design é ajudá-lo a avaliar as opções para sua identidade e base de acesso. Ao criar sua estratégia de identidade, você deve executar as seguintes tarefas:
- Autenticar usuários e identidades de carga de trabalho.
- Atribuir acesso a recursos.
- Determinar os principais requisitos para a separação de funções.
- Sincronize identidades híbridas com o Microsoft Entra ID.
Fora do escopo: o gerenciamento de identidade e acesso forma uma base para o controle de acesso adequado, mas não abrange aspectos mais avançados, como:
- O modelo Zero Trust.
- A gestão operacional de privilégios elevados.
- Guarda-corpos automatizados para evitar erros comuns de identidade e acesso.
As áreas de design de conformidade para segurança e governança abordam os aspectos fora do escopo. Para obter recomendações abrangentes para gerenciamento de identidade e acesso, consulte Práticas recomendadas de segurança de controle de acesso e gerenciamento de identidades do Azure.
Visão geral da área de design
A identidade fornece a base para uma ampla gama de garantia de segurança. Ele concede o acesso com base na autenticação de identidade e nos controles de autorização dos serviços de nuvem. O controle de acesso protege dados e recursos e ajuda a determinar quais solicitações devem ser permitidas.
O gerenciamento de identidade e acesso ajuda a proteger os limites internos e externos de um ambiente de nuvem pública. É a base de qualquer arquitetura de nuvem pública segura e em total conformidade.
Os artigos a seguir examinam considerações de design e recomendações para gerenciamento de identidade e acesso em um ambiente de nuvem:
- Identidade híbrida com Active Directory e Microsoft Entra ID
- Gerenciamento de identidade e acesso da zona de aterrissagem
- Gerenciamento de acesso e identidade de aplicativo
Para obter orientação sobre como criar soluções no Azure usando padrões e práticas estabelecidos, consulte Design de arquitetura de identidade.
Dica
Se você tiver vários locatários do Microsoft Entra ID, consulte Zonas de aterrissagem do Azure e vários locatários do Microsoft Entra.