Oblast návrhu správy identit a přístupu

Oblast návrhu správy identit a přístupu poskytuje osvědčené postupy, které můžete použít k vytvoření základu zabezpečené a plně kompatibilní architektury veřejného cloudu.

Podniky můžou mít komplexní a heterogenní technologické prostředí, takže zabezpečení je důležité. Robustní správa identit a přístupu tvoří základ moderní ochrany vytvořením hraniční sítě zabezpečení ve veřejném cloudu. Autorizace a řízení přístupu zajišťují, že k aplikacím a prostředkům mají přístup a spravovat jenom ověřené uživatele s ověřenými zařízeními. Zajišťuje, aby správný jednotlivec mohl přistupovat ke správným prostředkům ve správný čas a z správného důvodu. Poskytuje také spolehlivé protokolování auditu a nererepudici akcí identit uživatelů nebo úloh. Měli byste poskytnout konzistentní podnikové řízení přístupu, včetně přístupu uživatelů, řídicích a řídicích rovin, externího přístupu a privilegovaného přístupu, aby se zlepšila produktivita a zmírnit riziko eskalace neoprávněných oprávnění nebo exfiltrace dat.

Azure nabízí komplexní sadu služeb, nástrojů a referenčních architektur, které vaší organizaci pomáhají vytvářet vysoce zabezpečená a provozních prostředí. Existuje několik možností správy identity v cloudovém prostředí. Každá možnost se liší v nákladech a složitosti. Určete cloudové služby identit na základě toho, kolik potřebujete integrovat se stávající místní infrastrukturou identit. Další informace najdete v průvodci rozhodováním o identitě.

Správa identit a přístupu v cílových zónách Azure

Správa identit a přístupu je základním aspektem cílových zón platformy i aplikací. V rámci principu návrhu demokratizace předplatného by vlastníci aplikací měli mít autonomii pro správu vlastních aplikací a prostředků s minimálním zásahem od týmu platformy. Cílové zóny jsou hranice zabezpečení a správa identit a přístupu nabízí způsob, jak řídit oddělení jedné cílové zóny od druhé spolu s komponentami, jako jsou sítě a Azure Policy. Použijte robustní návrh správy identit a přístupu, který pomáhá dosáhnout izolace cílové zóny aplikace.

Tým platformy zodpovídá za základ správy identit a přístupu, včetně nasazování a správy centralizovaných adresářových služeb, jako je Microsoft Entra ID, Microsoft Entra Domain Services a Doména služby Active Directory Services (AD DS). Správci cílové zóny aplikací a uživatelé, kteří přistupují k aplikacím, využívají tyto služby.

Aplikační tým zodpovídá za správu identit a přístupu svých aplikací, včetně zabezpečení přístupu uživatelů k aplikacím a mezi komponentami aplikací, jako je Azure SQL Database, virtuální počítače a Azure Storage. V dobře implementované architektuře cílové zóny může aplikační tým snadno využívat služby, které poskytuje tým platformy.

Mnoho základních konceptů správy identit a přístupu je stejné v cílových zónách platformy i aplikací, jako je řízení přístupu na základě role (RBAC) a princip nejnižších oprávnění.

Kontrola oblasti návrhu

Funkce: Správa identit a přístupu vyžaduje podporu jedné nebo více následujících funkcí. Role, které tyto funkce provádějí, můžou pomoct provádět a implementovat rozhodnutí.

• Funkce cloudové platformy
• Funkce špičkového centra cloudu
• Funkce týmu zabezpečení cloudu

Rozsah: Cílem této oblasti návrhu je pomoct vyhodnotit možnosti pro vaši identitu a přístup k základům přístupu. Při návrhu strategie identit byste měli provádět následující úlohy:

• Ověřování uživatelů a identit úloh
• Přiřaďte přístup k prostředkům.
• Určete základní požadavky na oddělení povinností.
• Synchronizujte hybridní identity s ID Microsoft Entra.

Mimo rozsah: Správa identit a přístupu tvoří základ pro správné řízení přístupu, ale nevztahuje se na pokročilejší aspekty, jako jsou:

• Model nulová důvěra (Zero Trust).
• Provozní správa zvýšených oprávnění.
• Automatizované mantinely, které brání běžným chybám identity a přístupu.

Oblasti návrhu dodržování předpisů pro zabezpečení a zásady správného řízení řeší aspekty mimo rozsah. Komplexní doporučení pro správu identit a přístupu najdete v osvědčených postupech pro správu identit Azure a řízení přístupu.

Přehled oblasti návrhu

Identita poskytuje základ pro širokou škálu záruk zabezpečení. Uděluje přístup na základě ověřování identit a autorizačních mechanismů v cloudových službách. Řízení přístupu chrání data a prostředky a pomáhá určit, které požadavky mají být povoleny.

Správa identit a přístupu pomáhá zabezpečit vnitřní a externí hranice prostředí veřejného cloudu. Je základem jakékoli zabezpečené a plně kompatibilní veřejné cloudové architektury.

Následující články popisují aspekty návrhu a doporučení pro správu identit a přístupu v cloudovém prostředí:

• Hybridní identita se službou Active Directory a ID Microsoft Entra
• Správa identit a přístupu cílové zóny
• Správa identit aplikací a přístupu

Pokyny k návrhu řešení v Azure s využitím zavedených vzorů a postupů najdete v tématu Návrh architektury identit.

Další kroky