Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece diretrizes acionáveis para proteger servidores habilitados para Azure Arc por meio do gerenciamento adequado de identidade e acesso. Você aprenderá a configurar identidades gerenciadas, implementar controles de acesso baseados em função e implantar entidades de serviço com segurança para proteger sua infraestrutura híbrida. Os sistemas de gerenciamento de identidade são essenciais para proteger servidores habilitados para Azure Arc. A arquitetura de referência a seguir mostra como identidades, funções e permissões funcionam juntas:
Configurar identidades gerenciadas
As identidades gerenciadas atribuídas pelo sistema fornecem autenticação segura para servidores habilitados para Azure Arc sem armazenar credenciais. O agente do Azure Connected Machine cria essas identidades automaticamente durante a integração do servidor, mas elas não têm permissões por padrão e exigem atribuições explícitas de função RBAC do Azure para acessar recursos do Azure.
Dica
Comece aqui: se você for novo em identidades gerenciadas, examine o guia de autenticação de identidade gerenciada para obter instruções de implementação passo a passo.
Identifique casos de uso legítimos para acesso à identidade gerenciada. Os aplicativos em seus servidores precisam de tokens de acesso específicos para chamar recursos do Azure, como Key Vault ou Armazenamento. Planeje o controle de acesso para esses recursos antes de conceder permissões para evitar falhas de segurança.
Controlar o acesso privilegiado do usuário aos pontos de extremidade de identidade gerenciados. Membros de administradores locais ou do grupo Aplicativos de Extensões do Agente Híbrido no Windows e o grupo himds no Linux podem solicitar tokens de acesso. Limite a associação nesses grupos para impedir o acesso não autorizado aos recursos do Azure.
Implemente o controle de acesso baseado em função para identidades gerenciadas. Use o RBAC do Azure para conceder apenas as permissões mínimas necessárias para identidades gerenciadas. Execute revisões periódicas de acesso para garantir que as permissões permaneçam apropriadas e remova o acesso não utilizado.
Aplicar controle de acesso baseado em função
O controle de acesso baseado em função limita os privilégios do usuário e reduz os riscos de segurança. Usuários com funções amplas, como Colaborador ou Proprietário, podem implantar extensões e obter acesso administrativo a servidores habilitados para Azure Arc, criando possíveis vulnerabilidades de segurança.
Aviso
Risco de segurança: evite conceder permissões amplas, como funções de Proprietário ou Colaborador para acesso ao servidor Arc. Essas funções podem fornecer acesso em nível raiz aos servidores por meio da implantação de extensão.
Aplique o princípio de privilégio mínimo a atribuições de função. Usuários, grupos e aplicativos devem receber apenas as permissões mínimas necessárias para suas tarefas. Funções como Colaborador, Proprietário ou Administrador de Recursos do Azure Connected Machine concedem amplo acesso que pode delegar efetivamente o acesso raiz aos servidores.
Use a função de Integração do Computador Conectado do Azure para registro de servidor. Essa função permite que os usuários integrem servidores ao Azure Arc sem conceder permissões de gerenciamento mais amplas. A função fornece apenas as permissões necessárias para criar e ler recursos do Arc, não para gerenciar extensões ou excluir servidores.
Proteger o acesso aos dados de monitoramento. O acesso de leitura aos servidores habilitados para Azure Arc pode expor os dados de log coletados pelo agente do Log Analytics. Aplique controles RBAC aos workspaces do Log Analytics para limitar quem pode exibir dados operacionais confidenciais.
Considere também os dados confidenciais que podem ser enviados para o workspace do Log Analytics do Azure Monitor; aplique o mesmo princípio RBAC aos próprios dados. O acesso de leitura aos servidores habilitados para Azure Arc pode fornecer acesso aos dados de log coletados pelo agente do Log Analytics e armazenados no workspace associado do Log Analytics.
Dica
Saiba como implementar controles de acesso de workspace granulares no guia de implantação de Logs do Azure Monitor para proteger seus dados de monitoramento.
Planejar responsabilidades de identidade e acesso
A clareza organizacional evita falhas de segurança e conflitos operacionais. Definições de função claras garantem que as pessoas certas tenham acesso apropriado para integrar e gerenciar servidores habilitados para Azure Arc.
- Quem pode integrar novos servidores ao Azure Arc?
- Quem gerencia os servidores depois que eles são integrados?
- Que As permissões do Azure precisam dessas funções?
- Como você separará a integração do gerenciamento contínuo?
Defina as responsabilidades de integração do servidor. Identifique quem pode integrar servidores e definir as permissões necessárias nos servidores e no Azure. Essa função requer acesso de administrador local em servidores e permissões apropriadas do Azure.
Atribua responsabilidades de gerenciamento contínuas. Determine quem gerencia servidores habilitados para Azure Arc após a integração e quem pode exibir dados operacionais dos serviços do Azure. Separe essas responsabilidades com base nas necessidades operacionais e nos requisitos de segurança.
Planeje a distribuição da entidade de serviço. Crie várias entidades de serviço de integração do Arc quando diferentes equipes de negócios possuem e operam grupos de servidores. Escopo de cada entidade de segurança para os grupos de recursos mínimos necessários para limitar a exposição potencial à segurança.
Avaliar o impacto na escala empresarial. Examine a área de design de gerenciamento de identidade e acesso para entender como os servidores habilitados para Azure Arc se integram à estratégia geral de identidade da zona de destino do Azure.
Importante
A separação de função adequada é essencial para a segurança. Considere a estrutura da sua organização ao atribuir responsabilidades de integração versus gerenciamento.
Implementar controles de segurança
Os controles de segurança protegem os servidores habilitados para Azure Arc e os recursos que podem ser acessados. A implementação adequada reduz a superfície de ataque e garante a conformidade com as políticas de segurança.
Configurar a integração do servidor seguro. Use grupos de segurança para atribuir direitos de administrador local a usuários identificados ou contas de serviço para integração do Azure Arc em escala. Essa abordagem fornece controle de acesso consistente em toda a frota de servidores.
Autenticação baseada em certificado (recomendado)
Implantar entidades de serviço com certificados. Use uma entidade de serviço do Microsoft Entra com autenticação de certificado para integração de servidor. Os certificados são o método de autenticação recomendado em relação aos segredos do cliente porque fornecem segurança mais forte, dão suporte a políticas de acesso condicional e reduzem o risco de exposição de credenciais. Escopo de cada entidade de segurança para o grupo de recursos ou assinatura mínimo necessário.
Métodos alternativos de autenticação
Proteja os segredos do cliente quando os certificados não estiverem disponíveis. Se você usar segredos do cliente para entidades de serviço, torne-os de curta duração, gire-os regularmente e restrinja o escopo e as permissões da entidade de segurança para reduzir a exposição à segurança.
Atribuições de função e controle de acesso
Aplicar atribuições de função apropriadas. Atribua a função de Integração do Azure Connected Machine no nível do grupo de recursos para operações de integração. Conceda a função administrador de recursos do Azure Connected Machine para equipes que gerenciam recursos de servidor no Azure.
Controlar o acesso à identidade gerenciada. Use identidades gerenciadas para aplicativos em servidores para acessar recursos protegidos do Microsoft Entra. Restrinja o acesso somente a aplicativos autorizados usando permissões de aplicativo do Microsoft Entra.
Gerenciar o acesso local aos pontos de extremidade de identidade. Use o
Hybrid agent extension applicationsgrupo de segurança no Windows ou o grupo himds no Linux para controlar quais usuários podem solicitar tokens de acesso a recursos do Azure de servidores habilitados para Arc.
Observação
Pronto para implementar esses controles de segurança? Comece com os pré-requisitos dos servidores habilitados para Azure Arc para garantir que seu ambiente esteja configurado corretamente.
Ferramentas e recursos do Azure
Essa referência abrangente ajuda você a implementar o gerenciamento de identidade e acesso para servidores habilitados para Azure Arc. Use essas ferramentas para configurar a autenticação segura, o controle de acesso baseado em função e o monitoramento.
| Categoria | Tool | Description | Início Rápido |
|---|---|---|---|
| Identidade | Identidades gerenciadas do Microsoft Entra | Fornece autenticação segura para aplicativos sem armazenar credenciais | Configurar o acesso à identidade gerenciada |
| Segurança | Controle de Acesso Role-Based do Azure | Controla o acesso a recursos com base no princípio de privilégio mínimo | Atribuir funções RBAC |
| Onboarding | Entidade de serviço do Microsoft Entra | Habilita a integração automatizada do servidor em escala | Criar entidade de serviço |
| Segurança | Visão geral de segurança de servidores habilitados para Azure Arc | Diretrizes de segurança abrangentes para servidores habilitados para Arc | Examinar controles de segurança |
| Monitorização | Guia de implantação dos Logs do Azure Monitor | Implementa o controle de acesso granular para dados de log | Configurar o acesso ao workspace |
| Arquitetura | Área de design de gerenciamento de identidade e acesso | Diretrizes de identidade da zona de destino em escala empresarial | Examinar princípios de design |
| Permissions | Permissões de aplicativo do Microsoft Entra | Controla o acesso de aplicativos a identidades gerenciadas | Configurar permissões de aplicativo |
| Pré-requisitos | Pré-requisitos de servidores habilitados para Azure Arc | Requisitos para implantar servidores habilitados para Arc | Verificar pré-requisitos |
| Implantação | Planejamento de implantação em escala | Diretrizes para implantações de servidor Arc em larga escala | Planejar sua implantação |
| Aprendizado | Roteiro de aprendizagem do Azure Arc | Treinamento abrangente para gerenciamento do Azure Arc | Iniciar módulo de aprendizado |
Próximas etapas
Pronto para proteger seu ambiente do Azure Arc? Continue com a configuração de segurança de rede para concluir sua proteção de infraestrutura híbrida:
Continuar seu percurso do Azure Arc
| Tópico | Description | Ação |
|---|---|---|
| Segurança de Rede | Conectividade de rede segura e topologia | Configurar a rede do Arc |
| Planejamento de implantação | Planejar a implantação do servidor Arc em larga escala | Examinar o guia de implantação |
| Aprendizado prático | Criar habilidades práticas de gerenciamento do Arc | Iniciar o roteiro de aprendizagem |
| Linha de base de segurança | Implementar controles de segurança abrangentes | Aplicar linha de base de segurança |