Break-Glass 機制提供 Azure作員 Nexus 裝置或服務的暫時和緊急存取權,主要是用於災害復原、事件回應或基本維護。 存取權會根據受控的身分識別存取管理 (IAM) 原則授與,即使在緊急情況期間也維持安全性。
對於網路網狀架構環境,目前稱為方法 D v1.5 的中斷模型依賴密碼驗證。 不過,此模型限製為15個共享帳戶,並構成重大安全性風險。 方法 D v2.0 引進現代化方法,實作 FIDO-2 裝置和 SSH 金鑰來保護斷層存取。 主要改進包括:
嚴格訪問控制:客戶系統管理員會透過個別指派來控制存取權,而不是共享帳戶。
強式驗證:透過 Microsoft Entra 來管理斷層存取,且多重要素驗證 (MFA) 可消除本機帳戶相依性。
增強安全性:系統會記錄所有存取嘗試以進行稽核和調查。
FIDO2 令牌
在方法 D v2.0 模型中,break-glass 使用者會使用 FIDO2 令牌來建立和上傳與其 Entra 身分識別連結的公鑰。 此設定提供對 Fabric 裝置的安全 SSH 存取。 Entra 角色型 存取控制 (RBAC) 會管理授權,讓系統管理員將適當的存取層級指派給使用者。
針對離線輔助功能,所有 Network Fabric 裝置上都會預先布建使用者名稱、公鑰和許可權,以允許中斷 SSH 登入,而不需要使用中的 Azure 連線。
每個 FIDO2 令牌通常作為實體 USB 裝置,透過使用者存在和 PIN 驗證提供無法辨別的多重要素驗證。
方法 D v2.0 設定和作業
本指南分成兩個區段
方法 D v2.0 基礎結構設定 - 執行 Runtime Fabric 4.0.0 版的現有和新網路網狀架構 (NF) 部署的必要專案。
方法 D v2.0 基礎結構設定
本指南提供使用 NF Runtime 4.0.0 版之現有和新部署的必要基礎結構設定概觀。
步驟 1:註冊 NexusIdentity 資源提供者
註冊 Microsoft.NexusIdentity 資源提供者。
註冊 資源提供者:
az provider register --namespace Microsoft.NexusIdentity --wait確認註冊狀態:
az provider show --namespace Microsoft.NexusIdentity -o table註冊狀態應該會顯示為 「已註冊」。
步驟 2:指派網路網狀架構存取的必要許可權
作為安全未來計劃(SFI)的一部分,現在需要代理者 (OBO) 令牌,才能授與客戶資源的存取權。 此令牌會授與訂用帳戶、資源群組或網路網狀架構層級範圍的 NexusIdentity 許可權,以啟用 網路網狀架構角色指派的讀取許可權 。 下列角色許可權應指派給負責 NF 建立、NF 升級和 NF 刪除作業的終端使用者。 您可以暫時授與這些許可權,限制為執行這些作業所需的持續時間。
所需的權限
- Microsoft.NexusIdentity/identitySets/read
- Microsoft.NexusIdentity/identitySets/write
- Microsoft.NexusIdentity/identitySets/delete
設定 Network Fabric Runtime 4.0.0 版的 Azure RBAC
在 [特殊許可權系統管理員角色] 底下,選取 [Azure RBAC 系統管理員] 作為內建角色,然後按 [下一步]。
在 [ 成員 ] 索引標籤中,新增負責執行 NF 建立、更新和刪除作業的使用者身分識別。
在 [ 條件] 索引標籤中,選取 [允許使用者只將選取的角色指派給選取的主體(較少許可權)。
選取 [限制角色和主體],然後按兩下 [設定]
選取下列參數:
角色: 讀取者
主體: NexusIdentityRP
按兩下 [檢閱 + 指派] 以完成設定。
啟用角色
- 若要啟用角色,請從 [合格指派] 索引標籤選取 [角色型 存取控制 系統管理員]。
注意
確定已成功啟用角色型 存取控制 系統管理員。