Área de design de gerenciamento de identidade e acesso
A área de design de gerenciamento de identidade e acesso fornece práticas recomendadas que você pode usar para estabelecer a base de sua arquitetura de nuvem pública segura e totalmente compatível.
As empresas podem ter cenários tecnológicos complexos e heterogéneos, pelo que a segurança é fundamental. O gerenciamento robusto de identidade e acesso forma a base da proteção moderna, criando um perímetro de segurança em uma nuvem pública. Os controles de autorização e acesso garantem que apenas usuários autenticados com dispositivos verificados possam acessar e administrar aplicativos e recursos. Garante que a pessoa certa pode aceder aos recursos certos no momento certo e pela razão certa. Ele também fornece registro de auditoria confiável e não repúdio de ações de identidade de usuário ou carga de trabalho. Você deve fornecer controle de acesso corporativo consistente, incluindo acesso de usuário, planos de controle e gerenciamento, acesso externo e acesso privilegiado, para melhorar a produtividade e reduzir o risco de escalonamento de privilégios não autorizado ou exfiltração de dados.
O Azure oferece um conjunto abrangente de serviços, ferramentas e arquiteturas de referência para ajudar a sua organização a criar ambientes altamente seguros e operacionalmente eficientes. Há várias opções para gerenciar a identidade em um ambiente de nuvem. Cada opção varia em custo e complexidade. Determine seus serviços de identidade baseados em nuvem com base no quanto você precisa integrá-los à sua infraestrutura de identidade local existente. Para obter mais informações, consulte Guia de decisão de identidade.
Gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure
O gerenciamento de identidade e acesso é uma consideração central nas zonas de aterrissagem de plataforma e aplicativo. Sob o princípio de design da democratização da assinatura, os proprietários de aplicativos devem ter autonomia para gerenciar seus próprios aplicativos e recursos com intervenção mínima da equipe da plataforma. As zonas de aterrissagem são um limite de segurança, e o gerenciamento de identidade e acesso fornece uma maneira de controlar a separação de uma zona de aterrissagem de outra, juntamente com componentes como rede e Política do Azure. Aplique um design robusto de gerenciamento de identidade e acesso para ajudar a alcançar o isolamento da zona de aterrissagem do aplicativo.
A equipe da plataforma é responsável pela base do gerenciamento de identidade e acesso, incluindo a implantação e o gerenciamento de serviços de diretório centralizados, como o Microsoft Entra ID, os Serviços de Domínio Microsoft Entra e os Serviços de Domínio Ative Directory (AD DS). Os administradores da zona de aterrissagem de aplicativos e os usuários que acessam aplicativos consomem esses serviços.
A equipe de aplicativos é responsável pelo gerenciamento de identidade e acesso de seus aplicativos, incluindo a proteção do acesso do usuário aos aplicativos e entre os componentes do aplicativo, como o Banco de Dados SQL do Azure, máquinas virtuais e o Armazenamento do Azure. Em uma arquitetura de zona de aterrissagem bem implementada, a equipe de aplicativos pode consumir sem esforço os serviços que a equipe da plataforma fornece.
Muitos dos conceitos fundamentais de gerenciamento de identidade e acesso são os mesmos em zonas de aterrissagem de plataforma e aplicativo, como o controle de acesso baseado em função (RBAC) e o princípio do menor privilégio.
Revisão da área de design
Funções: A gestão de identidades e acessos requer o apoio de uma ou mais das seguintes funções. As funções que desempenham essas funções podem ajudar a tomar e implementar decisões.
- Funções da plataforma na nuvem
- Funções de centro de excelência na nuvem
- Funções da equipa de segurança na nuvem
Escopo: O objetivo desta área de design é ajudá-lo a avaliar as opções para sua identidade e base de acesso. Ao projetar sua estratégia de identidade, você deve executar as seguintes tarefas:
- Autentique usuários e identidades de carga de trabalho.
- Atribua acesso a recursos.
- Determinar os requisitos essenciais para a separação de funções.
- Sincronize identidades híbridas com o Microsoft Entra ID.
Fora do escopo: o gerenciamento de identidade e acesso forma uma base para o controle de acesso adequado, mas não cobre aspetos mais avançados, como:
- O modelo Zero Trust.
- A gestão operacional de privilégios elevados.
- Guardrails automatizados para evitar erros comuns de identidade e acesso.
As áreas de design de conformidade para segurança e governança abordam os aspetos fora do escopo. Para obter recomendações abrangentes para gerenciamento de identidade e acesso, consulte Práticas recomendadas de segurança de controle de acesso e gerenciamento de identidades do Azure.
Visão geral da área de design
A identidade fornece a base para uma ampla variedade de garantias de segurança. Ele concede acesso com base em autenticação de identidade e controles de autorização em serviços de nuvem. O controle de acesso protege dados e recursos e ajuda a determinar quais solicitações devem ser permitidas.
O gerenciamento de identidade e acesso ajuda a proteger os limites internos e externos de um ambiente de nuvem pública. É a base de qualquer arquitetura de nuvem pública segura e totalmente compatível.
Os artigos a seguir examinam considerações de design e recomendações para gerenciamento de identidade e acesso em um ambiente de nuvem:
- Identidade híbrida com Ative Directory e Microsoft Entra ID
- Gestão de identidade e acesso à zona de aterragem
- Gerenciamento de identidade e acesso de aplicativos
Para obter orientação sobre como projetar soluções no Azure usando padrões e práticas estabelecidos, consulte Design de arquitetura de identidade.
Gorjeta
Se você tiver vários locatários do Microsoft Entra ID, consulte Zonas de aterrissagem do Azure e vários locatários do Microsoft Entra.