Identitäts- und Zugriffsverwaltung für Server mit Azure Arc-Unterstützung

Ihr Unternehmen muss die richtigen Zugriffssteuerungen entwickeln, um Hybridumgebungen mithilfe von lokalen und cloudbasierten Identitätsverwaltungssystemen zu sichern.

Diese Identitätsverwaltungssysteme spielen eine wichtige Rolle. Sie helfen beim Entwerfen und Implementieren zuverlässiger Zugriffssteuerungen zur Sicherung der Infrastruktur von Servern mit Azure Arc-Unterstützung.

Verwaltete Identität

Bei der Erstellung kann die vom Microsoft Entra ID-System zugewiesene Identität nur dazu verwendet werden, um den Status der Server mit Azure Arc-Unterstützung zu aktualisieren (z. B. den zuletzt angezeigten Heartbeat). Indem Sie diesen Identitätszugriff auf Azure-Ressourcen gewähren, können Sie Anwendungen auf Ihrem Server aktivieren, um auf Azure-Ressourcen zuzugreifen (z. B. um geheime Schlüssel von einem Key Vault anzufordern). Gehen Sie wie folgt vor:

  • Überlegen Sie, welche legitimen Anwendungsfälle es für Serveranwendungen gibt, um Zugriffstoken zu erhalten und auf Azure-Ressourcen zuzugreifen, und planen Sie gleichzeitig die Zugriffssteuerung für diese Ressourcen.
  • Steuern Sie privilegierte Benutzerrollen auf Servern mit Azure Arc-Unterstützung (Mitglieder der Anwendungsgruppe „Lokale Administratoren“ oder Hybrid-Agent-Erweiterungen unter Windows und Mitglieder der Gruppe himds unter Linux), um zu verhindern, dass systemseitig verwaltete Identitäten missbräuchlich verwendet werden, um unberechtigten Zugriff auf Azure-Ressourcen zu erhalten.
  • Verwenden Sie Azure RBAC, um die Berechtigungen für die von Servern mit Azure Arc-Unterstützung verwalteten Identitäten zu kontrollieren und zu verwalten und regelmäßige Zugriffsüberprüfungen für diese Identitäten durchzuführen.

Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)

Nach dem Prinzip der geringsten Rechte können Benutzer, Gruppen oder Anwendungen, die mit Rollen wie „Mitwirkender“ oder „Eigentümer“ oder „Ressourcenadministrator für Azure Connected Machine“ ausgestattet sind, Vorgänge wie die Bereitstellung von Erweiterungen ausführen und so den Root- oder Administrator-Zugriff auf Azure Arc-fähige Server effektiv delegieren. Diese Rollen sollten mit Vorsicht verwendet werden, um den möglichen Auswirkungsgrad zu begrenzen oder eventuell durch benutzerdefinierte Rollen ersetzt werden.

Um die Berechtigung eines Benutzers einzuschränken und ihm nur das Onboarding von Servern in Azure zu gestatten, ist die Rolle „Onboarding von Azure Connected Machine“ geeignet. Diese Rolle kann nur für das Onboarding von Servern verwendet werden. Sie kann für die Serverressource kein erneutes Onboarding durchführen und sie auch nicht löschen. Weitere Informationen zu Zugriffssteuerungen finden Sie unter Sicherheitsübersicht für Azure Arc-fähige Server.

Denken Sie auch an die vertraulichen Daten, die an den Arbeitsbereich von Azure Monitor Log Analytics gesendet werden könnten. Das gleiche RBAC-Prinzip sollte auch auf die Daten selbst angewendet werden. Der Lesezugriff auf Azure Arc-fähige Server ermöglicht den Zugriff auf Protokolldaten, die vom Log Analytics-Agenten gesammelt und im zugehörigen Log Analytics-Arbeitsbereich gespeichert wurden. Lesen Sie in der Dokumentation Entwerfen Ihrer Azure Monitor-Protokollbereitstellung nach, wie Sie einen präzisen Zugriff auf den Log Analytics-Arbeitsbereich implementieren.

Architektur

Das folgende Diagramm zeigt eine Referenzarchitektur, die die Rollen, Berechtigungen und den Flow von Aktionen für Server mit Azure Arc-Unterstützung veranschaulicht:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Überlegungen zum Entwurf

  • Entscheiden Sie, wer in Ihrem Unternehmen Zugriff auf Onboarding-Server haben soll, um die erforderlichen Berechtigungen auf den Servern und in Azure festzulegen.
  • Entscheiden Sie, wer Server mit Azure Arc-Unterstützung verwalten soll. Legen Sie dann fest, wer ihre Daten aus Azure-Diensten und anderen Cloudumgebungen anzeigen kann.
  • Entscheiden Sie, wie viele Arc-Onboardingdienstprinzipale Sie benötigen. Mehrere dieser Identitäten können für das Onboarding von Servern verwendet werden, die verschiedenen Geschäftsfunktionen oder -einheiten in einem Unternehmen gehören, das auf betrieblicher Verantwortung und Eigentum basiert.
  • Überprüfen Sie den Entwurfsbereich für Identitäts- und Zugriffsverwaltung der Azure-Zielzone auf Unternehmensniveau. Überprüfen Sie den Bereich, um die Auswirkungen von Servern mit Azure Arc-Unterstützung auf Ihr gesamtes Identitäts- und Zugriffsmodell zu bewerten.

Entwurfsempfehlungen

  • Onboarding und Verwaltung von Servern
    • Verwenden Sie Sicherheitsgruppen, um den identifizierten Benutzern oder Dienstkonten auf den Servern lokale Administratorrechte zuzuweisen, damit sie in großem Stil das Onboarding zu Azure Arc durchführen können.
    • Verwenden Sie den Microsoft Entra-Dienstprinzipal, um Server in Azure Arc zu integrieren. Erwägen Sie die Verwendung mehrerer Microsoft Entra-Dienstprinzipale in einem dezentralisierten Betriebsmodell, bei dem die Server von verschiedenen IT-Teams verwaltet werden.
    • Verwenden Sie kurzlebige Clientgeheimnisse des Microsoft Entra-Dienstprinzipals.
    • Weisen Sie die Rolle Onboarding für Azure Connected Machine auf der Ressourcengruppenebene zu.
    • Verwenden Sie Microsoft Entra-Sicherheitsgruppen, und gewähren Sie die Rolle Administrator für Hybridserverressourcen. Gewähren Sie Teams und Einzelpersonen, die Serverressourcen mit Azure Arc-Unterstützung in Azure verwalten, diese Rolle.
  • Durch Microsoft Entra ID geschützter Ressourcenzugriff
    • Verwenden Sie verwaltete Identitäten für Anwendungen, die auf Ihren lokalen Servern (und in anderen Cloudumgebungen) ausgeführt werden, um den Zugriff auf Cloudressourcen zu ermöglichen, die durch Microsoft Entra ID geschützt sind.
    • Beschränken Sie den Zugriff auf verwaltete Identitäten auf zulässige Anwendungen, die mithilfe von Microsoft Entra-Anwendungsberechtigungen autorisiert sind.
    • Verwenden Sie die lokale Sicherheitsgruppe Hybrid agent extension applications unter Windows oder die Gruppe himds unter Linux, um Benutzern Zugriff zum Anfordern von Azure-Ressourcenzugriffstoken von den Servern mit Azure Arc-Unterstützung zu gewähren.

Nächste Schritte

Weitere Hinweise zur Einführung der Hybrid Cloud finden Sie in den folgenden Ressourcen: