Область проектирования управления удостоверениями и доступом

Область проектирования управления удостоверениями и доступом предоставляет рекомендации, которые можно использовать для создания основы безопасной и полной архитектуры общедоступного облака.

Предприятия могут иметь сложные и разнородные технологические ландшафты, поэтому безопасность имеет решающее значение. Надежное управление удостоверениями и доступом формирует основу современной защиты путем создания периметра безопасности в общедоступном облаке. Элементы управления авторизацией и доступом гарантируют, что только прошедшие проверку подлинности пользователи с проверенными устройствами могут получать доступ к приложениям и ресурсам и администрировать их. Это гарантирует, что правильный человек может получить доступ к правильным ресурсам в нужное время и по правильной причине. Он также обеспечивает надежное ведение журнала аудита и нерекомендывание действий удостоверений пользователей или рабочей нагрузки. Вы должны обеспечить согласованный корпоративный контроль доступа, включая доступ пользователей, плоскости управления и управления, внешний доступ и привилегированный доступ, чтобы повысить производительность и снизить риск несанкционированной эскалации привилегий или кражи данных.

Azure предлагает полный набор служб, инструментов и эталонных архитектур, которые помогут вашей организации создавать высокобезопасные и операционные среды. Существует несколько вариантов управления удостоверениями в облачной среде. Каждый вариант зависит от стоимости и сложности. Определите облачные службы удостоверений на основе того, сколько необходимо интегрировать их с существующей локальной инфраструктурой удостоверений. Дополнительные сведения см . в руководстве по решению об удостоверении.

Управление удостоверениями и доступом в целевых зонах Azure

Управление удостоверениями и доступом является основным аспектом как в целевых зонах платформы, так и в целевых зонах приложений. В рамках принципа демократизации подписок владельцы приложений должны иметь автономию для управления собственными приложениями и ресурсами с минимальным вмешательством команды платформы. Целевые зоны — это граница безопасности, а управление удостоверениями и доступом — это способ управления разделением одной целевой зоны от другой, а также компонентами, такими как сеть и Политика Azure. Примените надежную структуру управления удостоверениями и доступом, чтобы обеспечить изоляцию целевой зоны приложения.

Группа платформы отвечает за основу управления удостоверениями и доступом, включая развертывание и управление централизованными службами каталогов, такими как Идентификатор Microsoft Entra, доменные службы Microsoft Entra и службы домен Active Directory (AD DS). Администраторы целевой зоны приложений и пользователи, обращаюющиеся к приложениям, используют эти службы.

Группа приложений отвечает за управление удостоверениями и доступом своих приложений, включая защиту доступа пользователей к приложениям и между компонентами приложения, такими как База данных SQL Azure, виртуальные машины и служба хранилища Azure. В хорошо реализованной архитектуре целевой зоны команда приложений может легко использовать службы, предоставляемые командой платформы.

Многие основные понятия управления удостоверениями и доступом одинаковы как в целевых зонах платформы, так и в целевых зонах приложений, таких как управление доступом на основе ролей (RBAC) и принцип наименьших привилегий.

Проверка области проектирования

Функции: управление удостоверениями и доступом требует поддержки одной или нескольких следующих функций. Роли, выполняющие эти функции, могут помочь в принятии и реализации решений.

• Функции облачной платформы
• Облачный центр передовых функций
• Функции группы безопасности облака

Область: цель этой области проектирования — помочь вам оценить параметры для удостоверений и основы доступа. При разработке стратегии идентификации необходимо выполнить следующие задачи:

• Проверка подлинности пользователей и удостоверений рабочей нагрузки.
• Назначение доступа к ресурсам.
• Определите основные требования для разделения обязанностей.
• Синхронизация гибридных удостоверений с идентификатором Microsoft Entra.

Вне область: управление удостоверениями и доступом формирует основу для правильного управления доступом, но не охватывает более сложные аспекты, такие как:

• Модель нулевого доверия.
• Операционное управление повышенными привилегиями.
• Автоматические охранники, чтобы предотвратить распространенные ошибки идентификации и доступа.

Области разработки соответствия требованиям для обеспечения безопасности и управления решают область аспекты. Полные рекомендации по управлению удостоверениями и доступом см . в рекомендациях по управлению удостоверениями Azure и управлению доступом.

Обзор зоны проектирования

Удостоверение предоставляет основу для широкого спектра гарантий безопасности. Оно предоставляет доступ на основе элементов управления проверкой подлинности и авторизации удостоверений в облачных службах. Управление доступом защищает данные и ресурсы и помогает определить, какие запросы должны быть разрешены.

Управление удостоверениями и доступом помогает защитить внутренние и внешние границы общедоступной облачной среды. Это основа любой безопасной и полностью соответствующей архитектуры общедоступного облака.

В следующих статьях рассматриваются вопросы проектирования и рекомендации по управлению удостоверениями и доступом в облачной среде:

• Гибридное удостоверение с идентификатором Active Directory и Microsoft Entra
• Управление удостоверениями целевой зоны и доступом
• Управление удостоверениями приложений и доступом

Рекомендации по проектированию решений в Azure с помощью установленных шаблонов и методик см. в разделе "Архитектура удостоверений".

Совет

Если у вас несколько клиентов идентификатора Microsoft Entra, ознакомьтесь с целевыми зонами Azure и несколькими клиентами Microsoft Entra.

Следующие шаги

Гибридное удостоверение с идентификатором Active Directory и Microsoft Entra