你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
破窗机制提供对 Azure 运营商关系设备或服务的临时和紧急访问,主要用于灾难恢复、事件响应或基本维护。 访问权限是根据受控标识和访问管理 (IAM) 策略授予的,即使在紧急情况下也能保持安全性。
对于网络结构环境,当前的破窗模型(称为 Method D v1.5)依赖于密码验证。 但是,此模型限制为 15 个共享帐户,并且存在重大安全风险。 Method D v2.0 引入了一种现代化方法,实施 FIDO-2 设备和 SSH 密钥来保护破窗访问。 重要改进包括:
严格访问控制:客户管理员通过个人分配而不是共享帐户来控制访问。
强身份验证:通过 Microsoft Entra,采用多重身份验证 (MFA) 来管理破窗访问,消除对本地帐户的依赖。
增强的安全性:记录所有访问尝试,以供审核和调查。
FIDO2 令牌
在 Method D v2.0 模型中,破窗用户使用 FIDO2 令牌创建并上传与其 Entra 标识关联的公钥。 此配置提供对 Fabric 设备的安全 SSH 访问。 Entra 基于角色的访问控制 (RBAC) 可管理授权,使管理员能够为用户分配适当的访问级别。
为了获得离线可访问性,已在所有网络结构设备上预先配置用户名、公钥和权限,以允许在没有活动 Azure 连接的情况下进行破窗 SSH 登录。
每个 FIDO2 令牌通常用作物理 USB 设备,通过用户状态和 PIN 验证提供不可钓鱼的多重身份验证。
Method D v2.0 设置和操作
本指南分为两个部分
Method D v2.0 基础结构设置 - 对于运行运行时结构版本 4.0.0 的新旧网络结构 (NF) 部署,此设置必不可少。
Method D v2.0 基础结构设置
本指南概述了使用 NF 运行时版本 4.0.0 的新旧部署都必须进行的基础结构设置。
步骤 1:注册 NexusIdentity 资源提供程序
注册 Microsoft.NexusIdentity 资源提供程序。
注册 资源提供程序:
az provider register --namespace Microsoft.NexusIdentity --wait验证注册状态:
az provider show --namespace Microsoft.NexusIdentity -o table注册状态应显示为“已注册”。
步骤 2:分配网络结构访问所需的权限
作为安全未来计划 (SFI) 的一部分,现在需要代理 (OBO) 令牌才能授予对客户资源的访问权限。 此令牌可在订阅、资源组或网络结构级别授予 NexusIdentity 权限,以启用对网络结构角色分配的读取访问。 应该向负责 NF 创建、NF 升级和 NF 删除操作的最终用户分配以下角色权限。 可以在执行这些操作所需的持续时间内临时授予这些权限。
所需的权限
- Microsoft.NexusIdentity/identitySets/read
- Microsoft.NexusIdentity/identitySets/write
- Microsoft.NexusIdentity/identitySets/delete
为网络结构运行时版本 4.0.0 配置 Azure RBAC
在“特权管理员角色”下,选择“Azure RBAC 管理员”作为内置角色,然后单击“下一步”。
在“成员”选项卡中,添加负责执行 NF 创建、更新和删除操作的用户的标识。
在“条件”选项卡中,选择“允许用户仅将所选角色分配给所选主体(权限较少)”。
选择“限制角色和主体”,然后单击“配置”,
选择以下参数:
角色:读者
主体:NexusIdentityRP
单击“查看 + 分配”以确定配置。
激活角色
- 若要激活角色,请从“合格分配”选项卡中选择“基于角色的访问控制管理员”。
注意
确保已成功激活“基于角色的访问控制管理员”。