Segurança na Assinatura de Desenvolvimento/Teste do Azure
Manter seus recursos seguros é um esforço conjunto entre seu provedor de nuvem, o Azure e você. As Assinaturas de Desenvolvimento/Teste do Azure e o Microsoft Defender para Nuvem fornecem as ferramentas necessárias para reforçar a segurança de sua rede, proteger seus serviços e verificar se você está atualizado quanto à sua postura de segurança.
Ferramentas importantes nas Assinaturas de Desenvolvimento/Teste do Azure ajudam você a criar acesso seguro aos seus recursos:
- Grupos de Gerenciamento do Azure
- Azure Lighthouse
- Monitoramento de Créditos
- ID do Microsoft Entra
Grupos de Gerenciamento do Azure
Quando você habilita e configura suas Assinaturas de Desenvolvimento/Teste do Azure, o Azure implanta uma hierarquia de recursos padrão para gerenciar identidades e acesso a recursos em um único domínio do Microsoft Entra. A hierarquia de recursos permite que sua organização configure perímetros fortes de segurança para seus recursos e usuários.
Seus recursos, grupos de recursos, assinaturas, grupos de gerenciamento e locatários compõem sua hierarquia de recursos. Atualizar e alterar essas configurações em funções personalizadas do Azure ou atribuições de política do Azure pode afetar todos os recursos em sua hierarquia de recursos. É importante proteger a hierarquia de recursos contra alterações que possam afetar negativamente todos os recursos.
Os Grupos de Gerenciamento do Azure são um aspecto importante para controlar o acesso e proteger seus recursos em um único locatário. Os Grupos de Gerenciamento do Azure permitem que você defina cotas, políticas do Azure e segurança para diferentes tipos de assinaturas. Esses grupos são um componente vital do desenvolvimento de segurança para as assinaturas de desenvolvimento/teste de sua organização.
Como você pode ver, o uso de grupos de gerenciamento altera a hierarquia padrão e adiciona um nível para os grupos de gerenciamento. Esse comportamento tem o potencial de criar circunstâncias imprevistas e brechas na segurança se você não seguir o processo apropriado para proteger sua hierarquia de recursos
O que são os Grupos de Gerenciamento do Azure?
Ao desenvolver políticas de segurança para as assinaturas de desenvolvimento/teste da sua organização, você pode optar por ter várias assinaturas de desenvolvimento/teste por unidade organizacional ou linha de negócios. Você pode ver um visual desse agrupamento de gerenciamento no diagrama a seguir.
Você também pode optar por ter uma assinatura de desenvolvimento/teste para todas as suas diferentes unidades.
Os Grupos de Gerenciamento e as assinaturas de desenvolvimento/teste do Azure atuam como uma barreira de segurança em sua estrutura organizacional.
Essa barreira de segurança tem dois componentes:
- Identidade e acesso: talvez seja necessário segmentar o acesso a recursos específicos
- Dados: assinaturas diferentes para recursos que acessam informações pessoais
Usando locatários do Microsoft Entra
Um locatário é uma instância dedicada da ID do Microsoft Entra que uma organização ou desenvolvedor de aplicativos recebe quando a organização ou o desenvolvedor de aplicativos cria um relacionamento com a Microsoft, como se inscrever no Azure, Microsoft Intune ou Microsoft 365.
Cada locatário do Microsoft Entra é separado dos outros locatários do Microsoft Entra. Cada locatário do Microsoft Entra tem sua própria representação de identidades corporativas e de estudante, identidades de consumidor (se for um locatário do Azure AD B2C) e registros de aplicativo. Um registro de aplicativo dentro de seu locatário pode permitir autenticações de contas somente dentro do seu locatário ou de todos os locatários.
Se precisar separar ainda mais a infraestrutura de identidade da sua organização, além dos grupos de gerenciamento em um único locatário, você também poderá criar outros locatários com a própria hierarquia de recursos.
Uma maneira fácil de separar recursos e usuários é criar um novo locatário do Microsoft Entra.
Criar um novo locatário do Microsoft Entra
Se você não tiver um locatário do Microsoft Entra ou quiser criar um novo para desenvolvimento, consulte o guia de início rápido ou siga a experiência de criação de diretório. Você precisa fornecer as seguintes informações para criar seu novo locatário:
- Nome da organização
- Domínio inicial - faz parte de /*.onmicrosoft.com. Você poderá personalizar o domínio mais tarde.
- País/região
Saiba mais sobre como criar e configurar locatários do Microsoft Entra
Usar o Azure Lighthouse para gerenciar vários locatários
O Azure Lighthouse permite o gerenciamento entre locatários e multilocatário, permitindo maior automação, escalabilidade e governança aprimorada entre recursos e locatários. Os provedores de serviços podem entregar serviços gerenciados usando ferramentas de gerenciamento abrangentes e robustas integradas na plataforma do Azure. Os clientes mantêm controle sobre quem acessa o locatário deles, quais recursos podem acessar e quais ações podem ser executadas.
Um cenário comum para o Azure Lighthouse é o gerenciamento de recursos nos locatários do Microsoft Entra de seus clientes. No entanto, os recursos do Azure Lighthouse também podem ser usados para simplificar o gerenciamento entre locatários em uma empresa que usa vários locatários do Microsoft Entra.
Para a maioria das organizações, o gerenciamento é mais fácil com um único locatário do Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários, grupos de usuários ou entidades de serviço designados dentro desse locatário.
Onde uma arquitetura multilocatário é necessária, o Azure Lighthouse ajuda a centralizar e simplificar as operações de gerenciamento. Com o gerenciamento de recursos delegados do Azure, os usuários podem executar funções de gerenciamento entre locatários de modo centralizado e escalonável em um locatário gerenciador.