Управление удостоверениями и доступом для серверов с поддержкой Azure Arc

  • Статья

Ваша организация должна разработать правильные средства управления доступом для защиты гибридных сред с помощью локальных и облачных систем управления удостоверениями.

Эти системы управления удостоверениями играют важную роль. Они помогают разрабатывать и реализовывать надежные элементы управления доступом для защиты инфраструктуры серверов с поддержкой Azure Arc.

Управляемое удостоверение

При создании удостоверение, назначаемое системой идентификатора Microsoft Entra, можно использовать только для обновления состояния серверов с поддержкой Azure Arc (например, пульс последнего просмотра). Предоставив этому удостоверению доступ к ресурсам Azure, вы можете включить приложения на сервере для доступа к ресурсам Azure (например, запрашивать секреты из Key Vault). Вы должны:

  • Рассмотрим, какие допустимые варианты использования существуют для серверных приложений для получения маркеров доступа и доступа к ресурсам Azure, а также планирования контроля доступа к этим ресурсам.
  • Управляйте привилегированными ролями пользователей на серверах с поддержкой Azure Arc (члены группы локальных администраторов или приложений расширений гибридных агентов в Windows и членах группы хидд в Linux), чтобы избежать неправильного использования управляемых системой удостоверений для получения несанкционированного доступа к ресурсам Azure.
  • Используйте Azure RBAC для управления разрешением для управляемых удостоверений серверов с поддержкой Azure Arc и периодических проверок доступа для этих удостоверений.

Управление доступом на основе ролей (RBAC)

Следуя принципу наименьших привилегий, пользователям, группам или приложениям, назначенным ролям, таким как "участник" или "владелец" или "Администратор ресурсу компьютера Подключение Azure Администратор istrator", могут выполнять такие операции, как развертывание расширений, эффективное делегирование корневого или административного доступа на серверах с поддержкой Azure Arc. Эти роли следует использовать с осторожностью, чтобы ограничить возможный радиус взрыва или в конечном итоге заменить пользовательскими ролями.

Чтобы ограничить привилегии пользователя и разрешить им подключить серверы к Azure, подходит роль подключения Подключение компьютера Azure. Эта роль может использоваться только для подключения серверов и не может повторно подключить или удалить ресурс сервера. Ознакомьтесь с обзором безопасности серверов с поддержкой Azure Arc для получения дополнительных сведений об элементах управления доступом.

Кроме того, учитывайте конфиденциальные данные, которые могут быть отправлены в рабочую область Azure Monitor Log Analytics. Этот же принцип RBAC должен применяться к самому данным. Доступ на чтение к серверам с поддержкой Azure Arc может предоставлять доступ к данным журнала, собранным агентом Log Analytics, хранящимся в связанной рабочей области Log Analytics. Узнайте, как реализовать подробный доступ к рабочей области Log Analytics в документации по развертыванию журналов Azure Monitor.

Архитектура

На следующей схеме показана эталонная архитектура, демонстрирующая роли, разрешения и поток действий для серверов с поддержкой Azure Arc:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Рекомендации по проектированию

  • Решите, кто из вашей организации должен иметь доступ к серверам подключения, чтобы настроить необходимые разрешения на серверах и в Azure.
  • Определите, кто должен управлять серверами с поддержкой Azure Arc. Затем определите, кто может просматривать данные из служб Azure и других облачных сред.
  • Определите количество необходимых субъектов-служб arc. Несколько этих удостоверений можно использовать для подключения серверов, принадлежащих различным бизнес-функциям или подразделениям предприятия, основанным на операционной ответственности и собственности.
  • Просмотрите область проектирования удостоверений и управления доступом целевой зоны Azure для корпоративного масштаба. Просмотрите область, чтобы оценить влияние серверов с поддержкой Azure Arc на общую модель идентификации и доступа.

Рекомендации по проектированию

  • Подключение сервера и администрирование
    • Используйте группы безопасности, чтобы назначить права локального администратора определенным пользователям или учетным записям служб на серверах, чтобы подключиться к Azure Arc в масштабе.
    • Используйте субъект-службу Microsoft Entra для подключения серверов к Azure Arc. Рассмотрите возможность использования нескольких субъектов-служб Microsoft Entra в децентрализованной операционной модели, где серверы управляются различными ИТ-командами.
    • Используйте кратковременные секреты клиента субъекта-службы Microsoft Entra.
    • Назначьте роль подключения компьютера Подключение Azure на уровне группы ресурсов.
    • Используйте группы безопасности Microsoft Entra и предоставьте роль гибридного сервера Администратор istrator. Предоставьте роль группам и отдельным лицам, которые будут управлять ресурсами сервера с поддержкой Azure Arc в Azure.
  • Доступ к защищенному ресурсу идентификатора Microsoft Entra
    • Используйте управляемые удостоверения для приложений, работающих на локальных серверах (и других облачных средах), чтобы предоставить доступ к облачным ресурсам, защищенным идентификатором Microsoft Entra.
    • Ограничить доступ к управляемым удостоверениям, чтобы разрешить приложениям , авторизованным с помощью разрешений приложения Microsoft Entra.
    • Используйте Hybrid agent extension applications локальную группу безопасности в Windows или группу хиддов в Linux, чтобы предоставить пользователям доступ к маркерам доступа к ресурсам Azure с серверов с поддержкой Azure Arc.

Следующие шаги

Дополнительные рекомендации по внедрению гибридного облака см. в следующих ресурсах: