Oblast návrhu správy identit a přístupu
Oblast návrhu správy identit a přístupu poskytuje osvědčené postupy, které můžete použít k vytvoření základu zabezpečené a plně kompatibilní architektury veřejného cloudu.
Podniky můžou mít komplexní a heterogenní technologické prostředí, takže zabezpečení je důležité. Robustní správa identit a přístupu tvoří základ moderní ochrany vytvořením hraniční sítě zabezpečení ve veřejném cloudu. Autorizace a řízení přístupu zajišťují, že k aplikacím a prostředkům mají přístup a spravovat jenom ověřené uživatele s ověřenými zařízeními. Zajišťuje, aby správný jednotlivec mohl přistupovat ke správným prostředkům ve správný čas a z správného důvodu. Poskytuje také spolehlivé protokolování auditu a nererepudici akcí identit uživatelů nebo úloh. Měli byste poskytnout konzistentní podnikové řízení přístupu, včetně přístupu uživatelů, řídicích a řídicích rovin, externího přístupu a privilegovaného přístupu, aby se zlepšila produktivita a zmírnit riziko eskalace neoprávněných oprávnění nebo exfiltrace dat.
Azure nabízí komplexní sadu služeb, nástrojů a referenčních architektur, které vaší organizaci pomáhají vytvářet vysoce zabezpečená a provozních prostředí. Existuje několik možností správy identity v cloudovém prostředí. Každá možnost se liší v nákladech a složitosti. Určete cloudové služby identit na základě toho, kolik potřebujete integrovat se stávající místní infrastrukturou identit. Další informace najdete v průvodci rozhodováním o identitě.
Správa identit a přístupu v cílových zónách Azure
Správa identit a přístupu je základním aspektem cílových zón platformy i aplikací. V rámci principu návrhu demokratizace předplatného by vlastníci aplikací měli mít autonomii pro správu vlastních aplikací a prostředků s minimálním zásahem od týmu platformy. Cílové zóny jsou hranice zabezpečení a správa identit a přístupu nabízí způsob, jak řídit oddělení jedné cílové zóny od druhé spolu s komponentami, jako jsou sítě a Azure Policy. Použijte robustní návrh správy identit a přístupu, který pomáhá dosáhnout izolace cílové zóny aplikace.
Tým platformy zodpovídá za základ správy identit a přístupu, včetně nasazování a správy centralizovaných adresářových služeb, jako je Microsoft Entra ID, Microsoft Entra Domain Services a Doména služby Active Directory Services (AD DS). Správci cílové zóny aplikací a uživatelé, kteří přistupují k aplikacím, využívají tyto služby.
Aplikační tým zodpovídá za správu identit a přístupu svých aplikací, včetně zabezpečení přístupu uživatelů k aplikacím a mezi komponentami aplikací, jako je Azure SQL Database, virtuální počítače a Azure Storage. V dobře implementované architektuře cílové zóny může aplikační tým snadno využívat služby, které poskytuje tým platformy.
Mnoho základních konceptů správy identit a přístupu je stejné v cílových zónách platformy i aplikací, jako je řízení přístupu na základě role (RBAC) a princip nejnižších oprávnění.
Kontrola oblasti návrhu
Funkce: Správa identit a přístupu vyžaduje podporu jedné nebo více následujících funkcí. Role, které tyto funkce provádějí, můžou pomoct provádět a implementovat rozhodnutí.
Rozsah: Cílem této oblasti návrhu je pomoct vyhodnotit možnosti pro vaši identitu a přístup k základům přístupu. Při návrhu strategie identit byste měli provádět následující úlohy:
- Ověřování uživatelů a identit úloh
- Přiřaďte přístup k prostředkům.
- Určete základní požadavky na oddělení povinností.
- Synchronizujte hybridní identity s ID Microsoft Entra.
Mimo rozsah: Správa identit a přístupu tvoří základ pro správné řízení přístupu, ale nevztahuje se na pokročilejší aspekty, jako jsou:
- Model nulová důvěra (Zero Trust).
- Provozní správa zvýšených oprávnění.
- Automatizované mantinely, které brání běžným chybám identity a přístupu.
Oblasti návrhu dodržování předpisů pro zabezpečení a zásady správného řízení řeší aspekty mimo rozsah. Komplexní doporučení pro správu identit a přístupu najdete v osvědčených postupech pro správu identit Azure a řízení přístupu.
Přehled oblasti návrhu
Identita poskytuje základ pro širokou škálu záruk zabezpečení. Uděluje přístup na základě ověřování identit a autorizačních mechanismů v cloudových službách. Řízení přístupu chrání data a prostředky a pomáhá určit, které požadavky mají být povoleny.
Správa identit a přístupu pomáhá zabezpečit vnitřní a externí hranice prostředí veřejného cloudu. Je základem jakékoli zabezpečené a plně kompatibilní veřejné cloudové architektury.
Následující články popisují aspekty návrhu a doporučení pro správu identit a přístupu v cloudovém prostředí:
- Hybridní identita se službou Active Directory a ID Microsoft Entra
- Správa identit a přístupu cílové zóny
- Správa identit aplikací a přístupu
Pokyny k návrhu řešení v Azure s využitím zavedených vzorů a postupů najdete v tématu Návrh architektury identit.
Tip
Pokud máte více tenantů Microsoft Entra ID, podívejte se na cílové zóny Azure a několik tenantů Microsoft Entra.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro