Zabezpečení řídicí roviny Azure

  • Článek
  • 3 min ke čtení

Termín řídicí rovina označuje správu prostředků ve vašem předplatném. Mezi tyto aktivity patří vytváření, aktualizace a odstraňování prostředků Azure podle požadavků technického týmu.

Azure Resource Manager zpracovává všechny požadavky na řídicí rovinu a aplikuje omezení, která určíte prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC), Azure Policy, zámků. Tato omezení se použijí na základě požadavku organizace.

Klíčové body

  • Omezte přístup na základě zásad zabezpečení podle potřeby a co nejméně oprávnění.
  • Přiřaďte oprávnění uživatelům, skupinám a aplikacím v určitém rozsahu prostřednictvím Azure RBAC.
  • Pokud je to možné, používejte předdefinované role.
  • Zabraňte odstranění nebo úpravě prostředku, skupiny prostředků nebo předplatného prostřednictvím zámků správy.
  • Pro vývojová a testovací prostředí používejte v kanálu CI/CD méně důležitou kontrolu.

Role a přiřazení oprávnění

Je infrastruktura úloh chráněná pomocí řízení přístupu na základě role v Azure (Azure RBAC)?

Řízení přístupu na základě role v Azure (Azure RBAC) poskytuje oddělení při přístupu k prostředkům, které aplikace používá. Rozhodněte, kdo má přístup k prostředkům na podrobné úrovni a co s těmito prostředky může dělat. Například:

  • Vývojáři mají přístup k produkční infrastruktuře.
  • Pouze tým SecOps může číst a spravovat Key Vault tajné kódy.
  • Pokud existuje více týmů, Project A přístup ke skupině prostředků A a ke všem prostředkům v rámci této skupiny.

Úkol Udělte rolím příslušná oprávnění, která začínají s nejmenšími oprávněními a přidávají další oprávnění na základě vašich provozních potřeb. Poskytujte technickým týmům jasné pokyny, které implementují oprávnění. Tato přehlednost usnadňuje detekci a opravu, která snižuje lidské chyby, jako je například přeoprávění.

Azure RBAC pomáhá toto oddělení spravovat. Oprávnění můžete přiřadit uživatelům, skupinám a aplikacím v určitém oboru. Role se dají přidělovat na úrovni předplatného, skupiny prostředků nebo konkrétního prostředku. Podrobnosti najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).

  • Přiřaďte oprávnění ke skupině pro správu místo jednotlivých předplatných, abyste zajistili konzistenci a zajistili aplikaci pro budoucí předplatná.
  • Před vytvořením vlastních rolí zvažte předdefinované role a udělte příslušná oprávnění k prostředkům a dalším objektům.

Například přiřaďte bezpečnostní týmy s oprávněním Čtenáři zabezpečení, které poskytuje přístup potřebný k vyhodnocení rizikových faktorů, identifikaci možných zmírnění rizik bez poskytnutí přístupu k datům.

Důležité

Nahlédněte do skupin zabezpečení jako k důležitým účtům a použijte stejnou ochranu jako správci.

Zámky správy

Používají se u důležitých částí infrastruktury zámky prostředků?

Na rozdíl od řízení přístupu na základě role v Azure se zámky správy používají k použití omezení pro všechny uživatele a role.

Kritická infrastruktura se obvykle nemění často. Pomocí zámků správy můžete zabránit odstranění nebo úpravě prostředku, skupiny prostředků nebo předplatného. Uzamčení v případech, kdy by měly být možné odstranit nebo upravit prostředky pouze konkrétní role a uživatelé s oprávněními.

Jako správce můžete považovat za nutné uzamknout určité předplatné, skupinu prostředků nebo prostředek, abyste ostatním uživatelům v organizaci zabránili v nechtěném odstranění nebo úpravě důležitých prostředků. Zámek můžete nastavit na úroveň CanNotDelete nebo ReadOnly. Na portálu se zámky nazývají Delete (Odstranit) a Read-only (Jen pro čtení) v uvedeném pořadí:

  • CanNotDelete znamená, že autorizovaní uživatelé mohou prostředek stále číst a upravovat, ale nemůže prostředek odstranit.
  • ReadOnly znamená, že autorizovaní uživatelé mohou prostředek číst, ale nemůže ho odstranit ani aktualizovat. Použití tohoto zámku je podobné jako omezení oprávnění udělených rolí Čtenář všem autorizovaným uživatelům.

Když použijete zámek v nadřazeném oboru, všechny prostředky v tomto oboru zdědí stejný zámek. Dokonce i prostředky, které později přidáte, dědí zámek z nadřazeného objektu. Nejvíce omezující zámek v dědičnosti má přednost.

Na rozdíl od řízení přístupu na základě role slouží zámky správy k nastavení daného omezení u všech uživatelů a rolí. Další informace o nastavení oprávnění pro uživatele a role najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).

Identifikujte kritickou infrastrukturu a vyhodnoťte vhodnost zámku prostředků.

Nastavte zámky v procesu DevOps, protože zámky úprav mohou někdy blokovat automatizaci. Příklady těchto bloků a důležité informace najdete v tématu Důležité informace před použitím zámků.

Další informace o implementaci zámků prostředků pro ochranu kritické infrastruktury najdete v referenčních informacích k uzamčení prostředků, abyste zabránili neočekávaným změnám.

Nasazení aplikací

Existuje přímý přístup k infrastruktuře aplikace prostřednictvím Azure Portal, rozhraní příkazového řádku (CLI) nebo REST API?

Doporučuje se nasadit aplikační infrastrukturu prostřednictvím automatizace a CI/CD. Pokud chcete maximalizovat autonomii a flexibilitu aplikací, vyvažte omezující řízení přístupu u méně kritických vývojových a testovacích prostředí.

Jsou role kanálu CI/CD jasně definované a nastavené oprávnění?

Azure DevOps nabízí předdefinované role, které je možné přiřadit jednotlivým uživatelům skupin. Když je například správně používáte, můžete zajistit, aby proces mohli zahájit pouze uživatelé zodpovědní za produkční verze a aby ke zdrojovému kódu měli přístup jenom vývojáři. Skupiny proměnných často obsahují citlivé konfigurační informace a mohou být také chráněny.

Další

Udělte nebo zakažte přístup k systému tím, že ověříte, jestli má přístupový objekt oprávnění k provedení požadované akce.

Authentication

Zpět k hlavnímu článku: Aspekty správy identit a přístupu Azure