Recommended security practices (Рекомендации по безопасности)
При использовании Azure Lighthouse важно учитывать безопасность и контроль доступа. Пользователи арендатора будут иметь прямой доступ к подпискам клиентов и группам ресурсов, поэтому требуется выполнить следующие действия для обеспечения безопасности своего арендатора. Конечно, вам бы хотелось убедиться, что разрешен только доступ, необходимый для эффективного управления ресурсами клиентов. В этом разделе приведены рекомендации, которые помогут выполнить следующие действия.
Совет
Эти рекомендации также применяются к предприятиям, управляющим несколькими клиентами с помощью Azure Lighthouse.
Требовать многофакторную проверку подлинности Microsoft Entra
Многофакторная проверка подлинности Microsoft Entra (также известная как двухфакторная проверка подлинности ) помогает запретить злоумышленникам получать доступ к учетной записи, требуя нескольких шагов проверки подлинности. Вам следует требовать многофакторную проверку подлинности Microsoft Entra для всех пользователей в управляемом клиенте, включая пользователей, которым будет доступ к делегированным ресурсам клиентов.
Мы рекомендуем клиентам также реализовать многофакторную проверку подлинности Microsoft Entra в своих клиентах.
Внимание
Политики условного доступа, установленные в клиенте клиента, не применяются к пользователям, которые получают доступ к ресурсам клиента через Azure Lighthouse. К этим пользователям применяются только политики, заданные в управляемом клиенте. Настоятельно рекомендуется требовать многофакторную проверку подлинности Microsoft Entra как для управляемого клиента, так и для управляемого (клиента).
Назначьте разрешения группам, используя принцип минимальных привилегий
Чтобы упростить управление, используйте группы Microsoft Entra для каждой роли, необходимой для управления ресурсами клиентов. Это позволяет добавлять или удалять отдельных пользователей в группе по мере необходимости, а не назначать разрешения напрямую каждому пользователю.
Внимание
Чтобы добавить разрешения для группы Microsoft Entra, тип группы должен иметь значение Security. Этот вариант автоматически выбирается при создании группы. Дополнительные сведения см. в разделе "Создание базовой группы" и добавление участников.
При создании структуры разрешений обязательно следуйте принципам минимальных привилегий, чтобы у пользователей были только разрешения, необходимые для выполнения их задач. Это помогает снизить вероятность непреднамеренных ошибок.
Например, вы можете использовать структуру следующим образом:
Имя группы | Тип | principalId | Определение роли | Идентификатор определения роли |
---|---|---|---|---|
Архитекторы | Группа пользователей | <principalId> | Участник | b24988ac-6180-42a0-ab88-20f7382dd24c |
Оценка | Группа пользователей | <principalId> | Читатель | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
Специалисты по VM | Группа пользователей | <principalId> | Участник VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
Автоматизация | Имя субъекта-службы (SPN) | <principalId> | Участник | b24988ac-6180-42a0-ab88-20f7382dd24c |
После создания этих групп вы можете назначать пользователей по мере необходимости. Добавляйте только тех пользователей, которым действительно нужен доступ. Обязательно регулярно просматривайте членство в группе и удаляйте всех пользователей, которые больше не соответствуют или которых не нужно добавлять.
Не забывайте, что при подключении клиентов через общедоступное предложение управляемой службы любая группа (пользователь или субъект-служба), которую вы добавляете, будет иметь одинаковые разрешения для всех клиентов, которые приобрели план. Чтобы назначить разные группы для каждого клиента, необходимо опубликовать отдельный закрытый план, который является эксклюзивным для каждого клиента или подключить клиентов по отдельности, используя шаблоны Azure Resource Manager. Например, вы можете опубликовать общедоступный план с очень ограниченным доступом, а затем непосредственно работать с клиентом, чтобы подключить его ресурсы для дополнительного доступа, используя настроенный шаблон ресурсов Azure, который при необходимости предоставляет дополнительный доступ.
Совет
Кроме того, вы можете создать соответствующие авторизации, чтобы разрешить пользователям в управляющем арендаторе временно повышать свою роль. Использование соответствующих авторизаций позволяет минимизировать число постоянных назначений привилегированных ролей пользователям и тем самым снизить риски безопасности, связанные с привилегированным доступом пользователей в арендаторе. Эта функция имеет определенные требования к лицензированию. Дополнительные сведения см. в статье Создание соответствующих авторизаций.
Следующие шаги
- Ознакомьтесь с базовыми сведениями о безопасности, чтобы понять, как руководство по эталону безопасности Microsoft Cloud Security применяется к Azure Lighthouse.
- Развертывание многофакторной проверки подлинности Microsoft Entra.
- Узнайте больше об интерфейсах управления для различных клиентов.