Aspekty správy identit a přístupu v Azure

  • Článek
  • 2 min ke čtení

Většina architektur má sdílené služby, které jsou hostované a přístupné napříč sítěmi. Tyto služby sdílejí společnou infrastrukturu a uživatelé potřebují přístup k prostředkům a datům odkudkoli. U takových architektur je běžným způsobem zabezpečení prostředků použití síťových ovládacích prvků. To ale nestačí.

Zajištění zabezpečení prostřednictvím správy identit: proces ověřování a ověřování objektů zabezpečení. Pomocí služeb správy identit můžete ověřovat a udělovat oprávnění uživatelům, partnerům, zákazníkům, aplikacím, službám a dalším entitám.

Kontrolní seznam

Jak spravujete identitu pro vaši úlohu?

  • Definujte jasné řádky zodpovědnosti a rozdělení povinností pro jednotlivé funkce. Omezte přístup na základě zásad zabezpečení podle potřeby a co nejméně oprávnění.
  • Přiřaďte oprávnění uživatelům, skupinám a aplikacím v určitém rozsahu prostřednictvím Azure RBAC. Pokud je to možné, používejte předdefinované role.
  • Zabraňte odstranění nebo úpravě prostředku, skupiny prostředků nebo předplatného prostřednictvím zámků správy.
  • Použití spravovaných identit pro přístup k prostředkům v Azure
  • Podpora jednoho podnikového adresáře Udržujte cloudové a místní adresáře synchronizované s výjimkou účtů s kritickým dopadem.
  • Nastavte podmíněný přístup Azure AD. Vynucovat a měřit klíčové atributy zabezpečení při ověřování všech uživatelů, zejména u účtů s kritickým dopadem.
  • Mít samostatný zdroj identity pro uživatele, kteří nejsou zaměstnanci.
  • Pokud možno používejte metody bez hesla nebo volte moderní metody hesel.
  • Blokovat starší protokoly a metody ověřování

Srovnávací test zabezpečení Azure

Srovnávací test zabezpečení Azure zahrnuje kolekci doporučení zabezpečení s vysokým dopadem, která můžete použít k zabezpečení služeb, které v Azure používáte:

Srovnávací test zabezpečení: Otázky v této části jsou v souladu s identitou srovnávacích testů zabezpečení Azure a Access Control.

Služby Azure pro identitu

Aspekty a osvědčené postupy v této části jsou založené na těchto službách Azure:

Referenční architektura

Tady jsou některé referenční architektury týkající se správy identit a přístupu:

Integrace místních domén AD s Azure AD

Integrace místní služby AD s Azure

Další kroky

Monitorujte komunikaci mezi segmenty. Pomocí dat identifikujte anomálie, nastavte upozornění nebo blokujte provoz, abyste zmírmali riziko, že útočníci překračují hranice segmentace.

Rizika související se sítí

Pět kroků k zabezpečení infrastruktury identit

Zpět k hlavnímu článku: Zabezpečení