Область проектирования управления идентификацией и доступом

Область проектирования управления удостоверениями и доступом помогает создавать основы безопасной и полной архитектуры общедоступного облака.

Предприятия могут иметь сложные и разнородные технологические ландшафты, поэтому безопасность имеет решающее значение. Надежное управление удостоверениями и доступом формирует основу современной защиты путем создания периметра безопасности в общедоступном облаке. Элементы управления авторизацией и доступом гарантируют, что только прошедшие проверку подлинности пользователи с проверенными устройствами могут получать доступ к приложениям и ресурсам и администрировать их. Это гарантирует, что правильный человек может получить доступ к правильным ресурсам в нужное время и по правильной причине. Он также обеспечивает надежное ведение журнала аудита и неотказуемость действий, связанных с идентификацией пользователей или рабочей нагрузки. Необходимо обеспечить согласованный корпоративный контроль доступа, включая доступ пользователей, плоскости управления и управления, внешний доступ и привилегированный доступ. Эффективное управление доступом помогает повысить производительность и снизить риск несанкционированного повышения привилегий или кражи данных.

Плохо защищенные удостоверения и доступ в Azure представляют значительные риски, так как скомпрометированные учетные данные или неправильно настроенные разрешения могут позволить злоумышленникам повысить привилегии, получить несанкционированный доступ к конфиденциальным данным и нарушить критически важные рабочие нагрузки.

Azure предлагает полный набор служб, инструментов и эталонных архитектур, которые помогут вашей организации создавать высокобезопасные и операционные среды. Существует несколько вариантов управления удостоверениями в облачной среде. Каждый вариант зависит от стоимости и сложности. Определите свои облачные службы удостоверений в зависимости от того, насколько их нужно интегрировать с существующей локальной инфраструктурой удостоверений.

Управление удостоверениями и доступом в зонах развертывания Azure

Управление идентификацией и доступом является основным аспектом как для платформенных, так и для приложных зон. В соответствии с принципом проектирования демократизации подпискивладельцы приложений должны иметь автономию для управления собственными приложениями и ресурсами с минимальным вмешательством команды платформы. Посадочные зоны — это рубеж безопасности, а управление удостоверениями и доступом — это способ обеспечения разделения между одной посадочной зоной и другой, а также компонентами, такими как сетью и политикой Azure. Примените надежную структуру управления удостоверениями и доступом, чтобы обеспечить изоляцию целевой зоны приложения.

В целевых зонах Azure инфраструктура удостоверений является основной платформой ответственности, так как она лежит в основе безопасности всех зависимых служб. Группа удостоверений отвечает за развертывание централизованных служб каталогов и управление ими, включая идентификатор Microsoft Entra, доменные службы Microsoft Entra и доменные службы Active Directory (AD DS). Службы удостоверений платформы используются другими командами, включая администраторов приложений и владельцев, а также других подчиненных администраторов платформы.

Администратор приложения отвечает за управление удостоверениями и доступом приложений, включая защиту доступа пользователей к приложениям и между компонентами приложения, такими как База данных SQL Azure, виртуальные машины и служба хранилища Azure. В хорошо реализованной архитектуре целевой зоны администратор приложений может легко использовать службы, предоставляемые платформой.

Многие основные понятия управления удостоверениями и доступом одинаковы как в целевых зонах платформы, так и в целевых зонах приложений, таких как управление доступом на основе ролей (RBAC) и принцип наименьших привилегий.

Обзор области разработки

Объем: Цель этой части проектирования — помочь вам оценить варианты для вашей основы идентификации и управления доступом. При разработке стратегии идентификации необходимо выполнить следующие задачи:

• Аутентификация пользователей и идентификаций объемов работы.
• Назначьте доступ к ресурсам.
• Определите основные требования для разделения обязанностей.
• Синхронизируйте гибридные удостоверения с Microsoft Entra ID.

Вне области: управление удостоверениями и доступом формирует основу для надлежащего управления доступом, но не охватывает более сложные аспекты, такие как:

• Модель нулевого доверия .
• Операционное управление повышенными привилегиями.
• Автоматические меры безопасности для предотвращения распространённых ошибок с учетными данными и доступом.

Области проектирования соответствия для безопасности и управления охватывают аспекты, выходящие за пределы области. Для получения полных рекомендаций по управлению удостоверениями и доступом ознакомьтесь с лучшими практиками безопасности управления удостоверениями и контроля доступа Azure.

Обзор области разработки

Идентификация формирует основу обеспечения безопасности в облаке. Он обеспечивает доступ через элементы управления проверкой подлинности и авторизацией, гарантируя предоставление только утвержденных запросов. Эти средства управления доступом защищают данные и ресурсы, определяя, кто может делать то.

Управление удостоверениями и доступом (IAM) важно для защиты внутренних и внешних границ в общедоступной облачной среде. Он служит краеугольным камнем любой безопасной и соответствующей облачной архитектуры.

В следующих статьях рассматриваются вопросы проектирования и рекомендации по управлению удостоверениями и доступом в облачной среде:

• Гибридная идентификация с Active Directory и Microsoft Entra ID
• Идентификация и управление доступом в зоне деплоя
• управление идентификацией и доступом для приложений

Рекомендации по проектированию решений в Azure с использованием установленных шаблонов и методик см. в разделе проектирование архитектуры идентификации.

Дальнейшие действия