Gestão de identidade e acesso para servidores preparados para Azure Arc

  • Artigo

Sua organização precisa projetar os controles de acesso certos para proteger ambientes híbridos usando sistemas de gerenciamento de identidade locais e baseados em nuvem.

Estes sistemas de gestão de identidade desempenham um papel importante. Eles ajudam a projetar e implementar controles de gerenciamento de acesso confiáveis para proteger a infraestrutura de servidores habilitados para Azure Arc.

Identidade gerida

Na criação, a identidade atribuída pelo sistema Microsoft Entra ID só pode ser usada para atualizar o status dos servidores habilitados para Azure Arc (por exemplo, a pulsação 'vista pela última vez'). Ao conceder a essa identidade acesso aos recursos do Azure, você pode habilitar aplicativos em seu servidor para usá-lo para acessar recursos do Azure (por exemplo, para solicitar segredos de um Cofre de Chaves). Deve:

  • Considere quais casos de uso legítimos existem para aplicativos de servidor para obter tokens de acesso e acessar recursos do Azure, ao mesmo tempo em que planeja o controle de acesso desses recursos.
  • Controle funções de usuário privilegiadas em servidores habilitados para Azure Arc (membros do grupo de administradores locais ou Aplicativos de Extensões de Agente Híbrido no Windows e membros do grupo himds no Linux) para evitar que identidades gerenciadas pelo sistema sejam usadas indevidamente para obter acesso não autorizado aos recursos do Azure.
  • Use o RBAC do Azure para controlar e gerenciar a permissão para identidades gerenciadas de servidores habilitados para Azure Arc e executar revisões periódicas de acesso para essas identidades.

Controlo de acesso baseado em funções (RBAC)

Seguindo o princípio de menor privilégio, usuários, grupos ou aplicativos atribuídos com funções como "colaborador" ou "proprietário" ou "Administrador de Recursos de Máquina Conectada do Azure" podem executar operações como implantar extensões, delegar efetivamente acesso raiz ou administrador em servidores habilitados para Azure Arc. Essas funções devem ser usadas com cautela, para limitar o possível raio de explosão ou, eventualmente, substituídas por funções personalizadas.

Para limitar o privilégio de um usuário e permitir que ele integre apenas servidores ao Azure, a função de Integração de Máquina Conectada do Azure é adequada. Essa função só pode ser usada para integrar servidores e não pode reintegrar ou excluir o recurso do servidor. Certifique-se de revisar a visão geral de segurança dos servidores habilitados para Arco do Azure para obter mais informações sobre controles de acesso.

Considere também os dados confidenciais que podem ser enviados para o espaço de trabalho do Azure Monitor Log Analytics - o mesmo princípio RBAC deve ser aplicado aos próprios dados. O acesso de leitura aos servidores habilitados para Azure Arc pode fornecer acesso aos dados de log coletados pelo agente do Log Analytics, armazenados no espaço de trabalho associado do Log Analytics. Analise como implementar o acesso granular ao espaço de trabalho do Log Analytics na documentação de implantação do Azure Monitor Logs.

Arquitetura

O diagrama a seguir mostra uma arquitetura de referência que demonstra as funções, permissões e fluxo de ações para servidores habilitados para Azure Arc:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Considerações de design

  • Decida quem da sua organização deve ter acesso aos servidores de integração para configurar as permissões necessárias nos servidores e no Azure.
  • Decida quem deve gerenciar os servidores habilitados para Azure Arc. Em seguida, decida quem pode exibir seus dados dos serviços do Azure e de outros ambientes de nuvem.
  • Decida quantas entidades de serviço de integração Arc você precisa. Várias dessas identidades podem ser usadas para integrar servidores que pertencem a diferentes funções ou unidades de negócios em uma empresa baseada na responsabilidade operacional e na propriedade.
  • Analise a área de design de gerenciamento de identidade e acesso da escala empresarial da zona de aterrissagem do Azure. Analise a área para avaliar o impacto dos servidores habilitados para Azure Arc em seu modelo geral de identidade e acesso.

Recomendações de design

  • Integração e administração de servidores
    • Use grupos de segurança para atribuir direitos de administrador local aos usuários identificados ou contas de serviço nos servidores para integrar ao Azure Arc em escala.
    • Use a entidade de serviço do Microsoft Entra para integrar servidores ao Azure Arc. Considere o uso de várias entidades de serviço do Microsoft Entra em um modelo operacional descentralizado, onde os servidores são gerenciados por diferentes equipes de TI.
    • Use segredos de cliente principal de serviço de curta duração do Microsoft Entra.
    • Atribua a função de Integração de Máquina Conectada do Azure no nível do grupo de recursos.
    • Use os grupos de segurança do Microsoft Entra e conceda a função de Administrador de Recursos do Servidor Híbrido . Conceda a função a equipes e indivíduos que gerenciarão recursos de servidor habilitados para Arco do Azure no Azure.
  • Acesso protegido a recursos do Microsoft Entra ID
    • Use identidades gerenciadas para aplicativos executados em seus servidores locais (e outros ambientes de nuvem) para fornecer acesso a recursos de nuvem protegidos pelo ID do Microsoft Entra.
    • Restrinja o acesso a identidades gerenciadas para permitir aplicativos autorizados usando permissões de aplicativos do Microsoft Entra.
    • Use Hybrid agent extension applications o grupo de segurança local no Windows ou o grupo himds no Linux para conceder acesso aos usuários para solicitar tokens de acesso a recursos do Azure dos servidores habilitados para Azure Arc.

Próximos passos

Para obter mais orientações para sua jornada de adoção de nuvem híbrida, consulte os seguintes recursos: