Kimlik ve erişim yönetimi tasarım alanı
Kimlik ve erişim yönetimi tasarım alanı, güvenli ve tam uyumlu genel bulut mimarinizin temelini oluşturmak için kullanabileceğiniz en iyi yöntemleri sağlar.
Kuruluşlar karmaşık ve heterojen teknolojik manzaralara sahip olabileceği için güvenlik kritik öneme sahiptir. Sağlam kimlik ve erişim yönetimi, genel bulutta bir güvenlik çevresi oluşturarak modern korumanın temelini oluşturur. Yetkilendirme ve erişim denetimleri, yalnızca doğrulanmış cihazlara sahip kimliği doğrulanmış kullanıcıların uygulamalara ve kaynaklara erişip yönetebilmesini sağlar. Doğru kişinin doğru kaynaklara doğru zamanda ve doğru nedenle erişebilmesini sağlar. Ayrıca güvenilir denetim günlüğü ve kullanıcı veya iş yükü kimlik eylemlerinin reddedilmemesi sağlar. Üretkenliği artırmak ve yetkisiz ayrıcalık yükseltme veya veri sızdırma riskini azaltmak için kullanıcı erişimi, denetim ve yönetim düzlemleri, dış erişim ve ayrıcalıklı erişim dahil olmak üzere tutarlı kurumsal erişim denetimi sağlamanız gerekir.
Azure, kuruluşunuzun son derece güvenli ve operasyonel açıdan verimli ortamlar oluşturmasına yardımcı olmak için kapsamlı bir hizmet, araç ve başvuru mimarisi kümesi sunar. Bulut ortamında kimliği yönetmek için çeşitli seçenekler vardır. Her seçenek maliyet ve karmaşıklık olarak değişir. Bulut tabanlı kimlik hizmetlerinizi mevcut şirket içi kimlik altyapınızla tümleştirmek için ne kadar ihtiyacınız olduğunu temel alarak belirleyin. Daha fazla bilgi için bkz . Kimlik kararı kılavuzu.
Azure giriş bölgelerinde kimlik ve erişim yönetimi
Kimlik ve erişim yönetimi, hem platform hem de uygulama giriş bölgelerinde dikkat edilmesi gereken temel noktadır. Abonelik demokratikleştirme tasarım ilkesi kapsamında, uygulama sahipleri platform ekibinin minimum müdahalesi ile kendi uygulamalarını ve kaynaklarını yönetecek özerkliğe sahip olmalıdır. Giriş bölgeleri bir güvenlik sınırıdır ve kimlik ve erişim yönetimi, ağ ve Azure İlkesi gibi bileşenlerle birlikte bir giriş bölgesinin diğerinden ayrılmasını denetlemenin bir yolunu sağlar. Uygulama giriş bölgesi yalıtımına yardımcı olmak için sağlam bir kimlik ve erişim yönetimi tasarımı uygulayın.
Platform ekibi, Microsoft Entra ID, Microsoft Entra Domain Services ve Active Directory Etki Alanı Services (AD DS) gibi merkezi dizin hizmetlerini dağıtma ve yönetme de dahil olmak üzere kimlik ve erişim yönetiminin temellerinden sorumludur. Uygulama giriş bölgesi yöneticileri ve uygulamalara erişen kullanıcılar bu hizmetleri kullanır.
Uygulama ekibi, uygulamalara ve Azure SQL Veritabanı, sanal makineler ve Azure Depolama gibi uygulama bileşenleri arasında kullanıcı erişiminin güvenliğini sağlamak da dahil olmak üzere uygulamalarının kimlik ve erişim yönetiminden sorumludur. İyi uygulanan bir giriş bölgesi mimarisinde, uygulama ekibi platform ekibinin sağladığı hizmetleri zahmetsizce kullanabilir.
Kimlik ve erişim yönetimiyle ilgili temel kavramların çoğu, rol tabanlı erişim denetimi (RBAC) ve en az ayrıcalık ilkesi gibi hem platform hem de uygulama giriş bölgelerinde aynıdır.
Tasarım alanı incelemesi
İşlevler: Kimlik ve erişim yönetimi için aşağıdaki işlevlerden birinin veya daha fazlasının desteklenmesi gerekir. Bu işlevleri gerçekleştiren roller kararlar alınmasına ve uygulanmasına yardımcı olabilir.
Kapsam: Bu tasarım alanının amacı, kimliğiniz ve erişim temeliniz için seçenekleri değerlendirmenize yardımcı olmaktır. Kimlik stratejinizi tasarlarken aşağıdaki görevleri gerçekleştirmeniz gerekir:
- Kullanıcıların ve iş yükü kimliklerinin kimliğini doğrulama.
- Kaynaklara erişim atama.
- Görev ayrımı için temel gereksinimleri belirleyin.
- Karma kimlikleri Microsoft Entra Id ile eşitleyin.
Kapsam dışı: Kimlik ve erişim yönetimi, uygun erişim denetimi için bir temel oluşturur, ancak aşağıdakiler gibi daha gelişmiş yönleri kapsamaz:
- Sıfır Güven modeli.
- Yükseltilmiş ayrıcalıkların operasyonel yönetimi.
- Yaygın kimlik ve erişim hatalarını önlemek için otomatik korumalar.
Güvenlik ve idare için uyumluluk tasarım alanları kapsam dışı yönleri ele alır. Kimlik ve erişim yönetimiyle ilgili kapsamlı öneriler için bkz . Azure kimlik yönetimi ve erişim denetimi güvenliği en iyi yöntemleri.
Tasarım alanına genel bakış
Kimlik, çok çeşitli güvenlik güvencesi için temel sağlar. Bulut hizmetlerindeki kimlik doğrulaması ve yetkilendirme denetimlerine göre erişim verir. Erişim denetimi, verileri ve kaynakları korur ve hangi isteklere izin verilmesi gerektiğinin belirlenmesine yardımcı olur.
Kimlik ve erişim yönetimi, genel bulut ortamının iç ve dış sınırlarının güvenliğini sağlar. Bu, güvenli ve tam uyumlu genel bulut mimarilerinin temelini oluşturur.
Aşağıdaki makalelerde, bulut ortamında kimlik ve erişim yönetimi için tasarımla ilgili önemli noktalar ve öneriler incelenmektedir:
- Active Directory ve Microsoft Entra Id ile karma kimlik
- Giriş bölgesi kimliği ve erişim yönetimi
- Uygulama kimliği ve erişim yönetimi
Yerleşik desenleri ve uygulamaları kullanarak Azure'da çözüm tasarlama hakkında rehberlik için bkz . Kimlik mimarisi tasarımı.
İpucu
Birden çok Microsoft Entra ID kiracınız varsa bkz . Azure giriş bölgeleri ve birden çok Microsoft Entra kiracısı.