Área de design de gerenciamento de identidade e acesso

A área de design de gerenciamento de identidade e acesso fornece práticas recomendadas que você pode usar para estabelecer a base de sua arquitetura de nuvem pública segura e totalmente compatível.

As empresas podem ter cenários tecnológicos complexos e heterogéneos, pelo que a segurança é fundamental. O gerenciamento robusto de identidade e acesso forma a base da proteção moderna, criando um perímetro de segurança em uma nuvem pública. Os controles de autorização e acesso garantem que apenas usuários autenticados com dispositivos verificados possam acessar e administrar aplicativos e recursos. Garante que a pessoa certa pode aceder aos recursos certos no momento certo e pela razão certa. Ele também fornece registro de auditoria confiável e não repúdio de ações de identidade de usuário ou carga de trabalho. Você deve fornecer controle de acesso corporativo consistente, incluindo acesso de usuário, planos de controle e gerenciamento, acesso externo e acesso privilegiado, para melhorar a produtividade e reduzir o risco de escalonamento de privilégios não autorizado ou exfiltração de dados.

O Azure oferece um conjunto abrangente de serviços, ferramentas e arquiteturas de referência para ajudar a sua organização a criar ambientes altamente seguros e operacionalmente eficientes. Há várias opções para gerenciar a identidade em um ambiente de nuvem. Cada opção varia em custo e complexidade. Determine seus serviços de identidade baseados em nuvem com base no quanto você precisa integrá-los à sua infraestrutura de identidade local existente. Para obter mais informações, consulte Guia de decisão de identidade.

Gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure

O gerenciamento de identidade e acesso é uma consideração central nas zonas de aterrissagem de plataforma e aplicativo. Sob o princípio de design da democratização da assinatura, os proprietários de aplicativos devem ter autonomia para gerenciar seus próprios aplicativos e recursos com intervenção mínima da equipe da plataforma. As zonas de aterrissagem são um limite de segurança, e o gerenciamento de identidade e acesso fornece uma maneira de controlar a separação de uma zona de aterrissagem de outra, juntamente com componentes como rede e Política do Azure. Aplique um design robusto de gerenciamento de identidade e acesso para ajudar a alcançar o isolamento da zona de aterrissagem do aplicativo.

A equipe da plataforma é responsável pela base do gerenciamento de identidade e acesso, incluindo a implantação e o gerenciamento de serviços de diretório centralizados, como o Microsoft Entra ID, os Serviços de Domínio Microsoft Entra e os Serviços de Domínio Ative Directory (AD DS). Os administradores da zona de aterrissagem de aplicativos e os usuários que acessam aplicativos consomem esses serviços.

A equipe de aplicativos é responsável pelo gerenciamento de identidade e acesso de seus aplicativos, incluindo a proteção do acesso do usuário aos aplicativos e entre os componentes do aplicativo, como o Banco de Dados SQL do Azure, máquinas virtuais e o Armazenamento do Azure. Em uma arquitetura de zona de aterrissagem bem implementada, a equipe de aplicativos pode consumir sem esforço os serviços que a equipe da plataforma fornece.

Muitos dos conceitos fundamentais de gerenciamento de identidade e acesso são os mesmos em zonas de aterrissagem de plataforma e aplicativo, como o controle de acesso baseado em função (RBAC) e o princípio do menor privilégio.

Revisão da área de design

Funções: A gestão de identidades e acessos requer o apoio de uma ou mais das seguintes funções. As funções que desempenham essas funções podem ajudar a tomar e implementar decisões.

• Funções da plataforma na nuvem
• Funções de centro de excelência na nuvem
• Funções da equipa de segurança na nuvem

Escopo: O objetivo desta área de design é ajudá-lo a avaliar as opções para sua identidade e base de acesso. Ao projetar sua estratégia de identidade, você deve executar as seguintes tarefas:

• Autentique usuários e identidades de carga de trabalho.
• Atribua acesso a recursos.
• Determinar os requisitos essenciais para a separação de funções.
• Sincronize identidades híbridas com o Microsoft Entra ID.

Fora do escopo: o gerenciamento de identidade e acesso forma uma base para o controle de acesso adequado, mas não cobre aspetos mais avançados, como:

• O modelo Zero Trust.
• A gestão operacional de privilégios elevados.
• Guardrails automatizados para evitar erros comuns de identidade e acesso.

As áreas de design de conformidade para segurança e governança abordam os aspetos fora do escopo. Para obter recomendações abrangentes para gerenciamento de identidade e acesso, consulte Práticas recomendadas de segurança de controle de acesso e gerenciamento de identidades do Azure.

Visão geral da área de design

A identidade fornece a base para uma ampla variedade de garantias de segurança. Ele concede acesso com base em autenticação de identidade e controles de autorização em serviços de nuvem. O controle de acesso protege dados e recursos e ajuda a determinar quais solicitações devem ser permitidas.

O gerenciamento de identidade e acesso ajuda a proteger os limites internos e externos de um ambiente de nuvem pública. É a base de qualquer arquitetura de nuvem pública segura e totalmente compatível.

Os artigos a seguir examinam considerações de design e recomendações para gerenciamento de identidade e acesso em um ambiente de nuvem:

• Identidade híbrida com Ative Directory e Microsoft Entra ID
• Gestão de identidade e acesso à zona de aterragem
• Gerenciamento de identidade e acesso de aplicativos

Para obter orientação sobre como projetar soluções no Azure usando padrões e práticas estabelecidos, consulte Design de arquitetura de identidade.

Gorjeta

Se você tiver vários locatários do Microsoft Entra ID, consulte Zonas de aterrissagem do Azure e vários locatários do Microsoft Entra.

Próximos passos

Identidade híbrida com Ative Directory e Microsoft Entra ID