Поделиться через


Что такое удостоверения рабочей нагрузки?

Удостоверение рабочей нагрузки — это удостоверение, которое назначается рабочей нагрузке программного обеспечения (например, приложению, службе, скрипту или контейнеру) для проверки подлинности и доступа к другим службам и ресурсам. Терминология несогласовна в отрасли, но обычно удостоверение рабочей нагрузки — это то, что требуется для проверки подлинности сущности программного обеспечения с помощью некоторой системы. Например, чтобы для GitHub Actions получить доступ к подпискам Azure, действие должно иметь удостоверение рабочей нагрузки, которое имеет доступ к этим подпискам. Удостоверение рабочей нагрузки также может быть ролью службы AWS, подключенной к экземпляру EC2 с доступом только для чтения к контейнеру Amazon S3.

В Microsoft Entra удостоверения рабочей нагрузки — это приложения, субъекты-службы и управляемые удостоверения.

Приложение — это абстрактная сущность или шаблон, определенный объектом приложения. Объект приложения — это глобальное представление приложения для использования во всех клиентах. Объект приложения описывает, как выдаются маркеры, ресурсы приложения должны получить доступ и действия, которые может предпринять приложение.

Субъект-служба — это локальное представление или экземпляр приложения глобального объекта приложения в определенном клиенте. Объект приложения используется в качестве шаблона для создания объекта субъекта-службы в каждом клиенте, где используется приложение. Объект субъекта-службы определяет, что на самом деле может сделать приложение в определенном клиенте, который может получить доступ к приложению и какие ресурсы приложение может получить к ним доступ.

Управляемое удостоверение — это особый тип субъекта-службы, который устраняет потребность разработчиков в управлении учетными данными.

Ниже приведены некоторые способы использования удостоверений рабочей нагрузки в идентификаторе Microsoft Entra ID:

  • Приложение, которое позволяет веб-приложению получать доступ к Microsoft Graph на основе согласия администратора или пользователя. Этот доступ может быть либо от имени пользователя, либо от имени приложения.
  • Управляемое удостоверение, используемое разработчиком для подготовки службы с доступом к ресурсу Azure, например Azure Key Vault или служба хранилища Azure.
  • Субъект-служба, используемый разработчиком для включения конвейера CI/CD для развертывания веб-приложения из GitHub в службу приложение Azure.

Удостоверения рабочей нагрузки, другие удостоверения компьютера и удостоверения человека

На высоком уровне существует два типа удостоверений: человеческих и машинных или нечеловеческих удостоверений. Удостоверения рабочей нагрузки и удостоверения устройств объединяются в группу, называемую удостоверениями компьютера (или не человека). Удостоверения рабочей нагрузки представляют рабочие нагрузки программного обеспечения, а удостоверения устройств представляют такие устройства, как настольные компьютеры, мобильные устройства, датчики Интернета вещей и управляемые устройства Интернета вещей. Удостоверения машин отличаются от человеческих удостоверений, которые представляют таких людей, как сотрудники (внутренние работники и сотрудники передней линии) и внешние пользователи (клиенты, консультанты, поставщики и партнеры).

Схема, на котором показаны различные типы машин и человеческих удостоверений.

Необходимость защиты удостоверений рабочей нагрузки

Все больше и больше решений зависят от нечеловеческих сущностей для выполнения жизненно важных задач, и число нечеловеческих удостоверений резко увеличивается. Недавние кибератаки показывают, что злоумышленники все чаще нацелены на нечеловеческие удостоверения по поводу человеческих удостоверений.

Обычно у пользователей есть одно удостоверение, используемое для доступа к широкому спектру ресурсов. В отличие от пользователя, рабочая нагрузка программного обеспечения может иметь несколько учетных данных для доступа к разным ресурсам, и эти учетные данные должны храниться безопасно. Также трудно отслеживать, когда создается удостоверение рабочей нагрузки или когда оно должно быть отменено. Предприятия рискуют, что их приложения или службы используются или нарушаются из-за трудностей в защите удостоверений рабочей нагрузки.

Схема, показывающая точки боли в защите удостоверений рабочей нагрузки.

Большинство решений по управлению удостоверениями и доступом на рынке сегодня сосредоточены только на защите удостоверений человека, а не удостоверений рабочей нагрузки. Идентификация рабочей нагрузки Microsoft Entra помогает устранить эти проблемы при защите удостоверений рабочей нагрузки.

Ключевые сценарии

Ниже приведены некоторые способы использования удостоверений рабочей нагрузки.

Безопасный доступ с помощью адаптивных политик:

Интеллектуальное обнаружение скомпрометированных удостоверений:

  • Обнаружение рисков (например, утечка учетных данных), содержит угрозы и снижает риск для удостоверений рабочей нагрузки с помощью Защита идентификации Microsoft Entra.

Упрощение управления жизненным циклом:

  • Доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами для рабочих нагрузок, работающих в Azure, с помощью управляемых удостоверений.
  • Доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами с помощью федерации удостоверений рабочей нагрузки для поддерживаемых сценариев, таких как GitHub Actions, рабочие нагрузки, работающие в Kubernetes или рабочие нагрузки, работающие на вычислительных платформах за пределами Azure.
  • Просмотрите субъекты-службы и приложения, назначенные привилегированным ролям каталога в идентификаторе Microsoft Entra, используя проверки доступа для субъектов-служб.

Дальнейшие действия