Správa identit a přístupu pro servery s podporou Azure Arc

  • Článek

Vaše organizace potřebuje navrhnout správné řízení přístupu pro zabezpečení hybridních prostředí pomocí místních a cloudových systémů pro správu identit.

Tyto systémy správy identit hrají důležitou roli. Pomáhají navrhovat a implementovat spolehlivé řízení správy přístupu pro zabezpečení infrastruktury serverů s podporou Azure Arc.

Spravovaná identita

Při vytváření je možné identitu přiřazenou systémem microsoft Entra ID použít pouze k aktualizaci stavu serverů s podporou Služby Azure Arc (například prezenčního signálu naposledy zobrazených). Když této identitě udělíte přístup k prostředkům Azure, můžete povolit, aby aplikace na vašem serveru mohly používat pro přístup k prostředkům Azure (například k vyžádání tajných kódů ze služby Key Vault). Měli byste:

  • Zvažte, které legitimní případy použití existují pro serverové aplikace pro získání přístupových tokenů a přístupu k prostředkům Azure, a zároveň plánování řízení přístupu k těmto prostředkům.
  • Řízení privilegovaných uživatelských rolí na serverech s podporou Azure Arc (členové místní skupiny administrators nebo aplikace rozšíření hybridních agentů ve Windows a členové skupiny himds v Linuxu), aby se zabránilo zneužití systémově spravovaných identit k získání neoprávněného přístupu k prostředkům Azure.
  • Pomocí Azure RBAC můžete řídit a spravovat oprávnění pro spravované identity serverů s podporou Azure Arc a provádět pravidelné kontroly přístupu pro tyto identity.

Řízení přístupu na základě role (RBAC)

Podle principu nejnižších oprávnění můžou uživatelé, skupiny nebo aplikace přiřazené s rolemi jako přispěvatel nebo vlastník nebo Azure Připojení ed Machine Resource Správa istrator provádět operace, jako je nasazování rozšíření, efektivní delegování přístupu ke kořenovému adresáři nebo správci na serverech s podporou Azure Arc. Tyto role by se měly používat s opatrností, abyste omezili možný poloměr výbuchu nebo nakonec nahradili vlastními rolemi.

Pokud chcete omezit oprávnění uživatele a povolit jim pouze onboarding serverů do Azure, je vhodná role azure Připojení onboardingu počítačů. Tuto roli lze použít pouze k onboardingu serverů a nejde znovu připojit nebo odstranit prostředek serveru. Další informace o řízení přístupu najdete v přehledu zabezpečení serverů s podporou služby Azure Arc.

Zvažte také citlivá data, která se můžou posílat do pracovního prostoru služby Azure Monitor Log Analytics – stejný princip RBAC by se měl použít u samotných dat. Přístup pro čtení k serverům s podporou Služby Azure Arc může poskytovat přístup k datům protokolů shromážděným agentem Log Analytics uloženým v přidruženém pracovním prostoru služby Log Analytics. Přečtěte si, jak implementovat podrobný přístup k pracovnímu prostoru služby Log Analytics v dokumentaci k návrhu nasazení protokolů služby Azure Monitor.

Architektura

Následující diagram znázorňuje referenční architekturu, která znázorňuje role, oprávnění a tok akcí pro servery s podporou Azure Arc:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Aspekty návrhu

  • Rozhodněte se, kdo z vaší organizace by měl mít přístup k onboardingovým serverům, aby na serverech a v Azure nastavil požadovaná oprávnění.
  • Rozhodněte se, kdo by měl spravovat servery s podporou Služby Azure Arc. Pak se rozhodněte, kdo může zobrazit data ze služeb Azure a dalších cloudových prostředí.
  • Rozhodněte, kolik instančních objektů onboardingu Arc potřebujete. Několik z těchto identit se dá použít k onboardingu serverů, které vlastní různé obchodní funkce nebo jednotky v podniku, které jsou založené na provozní odpovědnosti a vlastnictví.
  • Projděte si oblast návrhu správy identit a přístupu cílové zóny Azure na podnikové úrovni. Projděte si oblast a vyhodnoťte dopad serverů s podporou Azure Arc na celkový model identit a přístupu.

Doporučení k návrhu

  • Onboarding a správa serveru
    • Pomocí skupin zabezpečení přiřaďte identifikovaným uživatelům nebo účtům služeb na serverech oprávnění místního správce, aby bylo možné nasadit službu Azure Arc ve velkém měřítku.
    • Pomocí instančního objektu Microsoft Entra připojte servery ke službě Azure Arc. Zvažte použití několika instančních objektů Microsoft Entra v decentralizovaném provozním modelu, kde servery spravují různé IT týmy.
    • Používejte krátkodobé tajné kódy klienta instančního objektu Microsoft Entra.
    • Přiřaďte roli onboardingu počítačů Azure Připojení na úrovni skupiny prostředků.
    • Použijte skupiny zabezpečení Microsoft Entra a udělte roli prostředku hybridního serveru Správa istrator. Udělte roli týmům a jednotlivcům, kteří budou spravovat prostředky serveru s podporou Azure Arc v Azure.
  • Přístup k prostředkům chráněným ID Microsoft Entra
    • Spravované identity můžete použít pro aplikace spuštěné na místních serverech (a dalších cloudových prostředích) k zajištění přístupu ke cloudovým prostředkům chráněným id Microsoft Entra.
    • Omezte přístup ke spravovaným identitám, abyste umožnili aplikacím , které jsou autorizované pomocí oprávnění aplikace Microsoft Entra.
    • Pomocí Hybrid agent extension applications místní skupiny zabezpečení ve Windows nebo skupiny himds v Linuxu udělte uživatelům přístup k vyžádání přístupových tokenů prostředků Azure ze serverů s podporou Azure Arc.

Další kroky

Další pokyny pro cestu přechodu na hybridní cloud najdete v následujících zdrojích informací: