Identitäts- und ZugriffsverwaltungIdentity and access management

Die Identität stellt die Grundlage für einen hohen Prozentsatz an Sicherheitszusicherungen dar.Identity provides the basis of a large percentage of security assurance. Sie ermöglicht Zugriff auf Grundlage ihrer Authentifizierung und von Autorisierungssteuerungen in Clouddiensten, um Daten und Ressourcen zu schützen und zu bestimmen, welche Anforderungen zulässig sind.It enables access based on identity authentication and authorization controls in cloud services to protect data and resources and to decide which requests should be permitted.

IAM (Identity & Access Management, Identitäts- und Zugriffsverwaltung) stellt die Grenzsicherheit in der öffentlichen Cloud dar.Identity and access management (IAM) is boundary security in the public cloud. Sie muss als die Grundlage jeder sicheren und vollständig konformen öffentlichen Cloudarchitektur behandelt werden.It must be treated as the foundation of any secure and fully compliant public cloud architecture. Azure bietet eine umfassende Reihe von Diensten, Tools und Referenzarchitekturen, die es Organisationen wie hier beschrieben ermöglichen, äußerst sichere, betriebseffiziente Umgebungen einzurichten.Azure offers a comprehensive set of services, tools, and reference architectures to enable organizations to make highly secure, operationally efficient environments as outlined here.

In diesem Abschnitt werden Entwurfsüberlegungen und Empfehlungen zur Identitäts- und Zugriffsverwaltung (IAM) in einer Unternehmensumgebung untersucht.This section examines design considerations and recommendations related to IAM in an enterprise environment.

Gründe für eine Identitäts- und ZugriffsverwaltungWhy we need identity and access management

Die IT-Landschaft in Unternehmen wird zunehmend komplexer und heterogener.The technological landscape in the enterprise is becoming complex and heterogenous. Um Compliance und Sicherheit für diese Umgebung zu gewährleisten, ermöglicht IAM den gewünschten Personen aus den richtigen Gründen zur gewünschten Zeit den Zugriff auf die gewünschten Ressourcen.To manage compliance and security for this environment, IAM enables the right individuals to access the right resources at the right time for the right reasons.

Planen der Identitäts- und ZugriffsverwaltungPlan for identity and access management

Unternehmen arbeiten für den betrieblichen Zugriff in der Regel mit einem Ansatz der geringsten Rechte.Enterprise organizations typically follow a least-privileged approach to operational access. Dieses Modell sollte so auf Azure übertragen werden, dass die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) von Azure Active Directory (Azure AD) und benutzerdefinierte Rollendefinitionen zum Einsatz kommen.This model should be expanded to consider Azure through Azure Active Directory (Azure AD), Azure role-based access control (Azure RBAC), and custom role definitions. Die Planung, wie der Zugriff auf Ressourcen in Azure und auf Datenebene geregelt werden soll, ist von entscheidender Bedeutung.It's critical to plan how to govern control- and data-plane access to resources in Azure. Jeder Entwurf für IAM und Azure RBAC muss regulatorische, sicherheitstechnische und betriebliche Anforderungen erfüllen, ehe er akzeptiert werden kann.Any design for IAM and Azure RBAC must meet regulatory, security, and operational requirements before it can be accepted.

Die Identitäts- und Zugriffsverwaltung ist ein mehrstufiger Prozess, der eine sorgfältige Planung für die Integration von Identitäten und andere Sicherheitsaspekte wie die Sperrung veralteter Authentifizierungsverfahren und die Planung für moderne Kennwörter umfasst.Identity and access management is a multistep process that involves careful planning for identity integration and other security considerations, such as blocking legacy authentication and planning for modern passwords. Die Stagingplanung umfasst auch die Auswahl der Identitäts- und-Zugriffsverwaltung für B2B (Business-to-Business) oder B2C (Business-to-Consumer).Staging planning also involves selection of business-to-business or business-to-consumer identity and access management. Auch wenn diese Anforderungen variieren, gibt es allgemeingültige Entwurfsüberlegungen und -empfehlungen, die für eine Unternehmenszielzone zu berücksichtigen sind.While these requirements vary, there are common design considerations and recommendations to consider for an enterprise landing zone.

Diagramm, das die Identitäts- und Zugriffsverwaltung zeigt.

Abbildung 1: Identitäts- und Zugriffsverwaltung.Figure 1: Identity and access management.

Überlegungen zum Entwurf:Design considerations:

  • Beim Aufstellen eines Frameworks zu IAM und Governance gibt es Grenzen hinsichtlich der Anzahl von benutzerdefinierten Rollen und Rollenzuweisungen, die berücksichtigt werden müssen.There are limits around the number of custom roles and role assignments that must be considered when you lay down a framework around IAM and governance. Weitere Informationen finden Sie unter Grenzwerte für rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC).For more information, see Azure RBAC service limits.
  • Es gilt ein Limit von 2.000 Rollenzuweisungen pro Abonnement.There's a limit of 2,000 role assignments per subscription.
  • Pro Verwaltungsgruppe gilt ein Grenzwert von 500 Rollenzuweisungen.There's a limit of 500 role assignments per management group.
  • Ressourcenbesitz: zentralisiert oder im Verbund:Centralized versus federated resource ownership:
    • Gemeinsam genutzte Ressourcen oder jeder Aspekt der Umgebung, der eine Sicherheitsgrenze implementiert oder erzwingt, wie z. B. das Netzwerk, müssen zentral verwaltet werden.Shared resources or any aspect of the environment that implements or enforces a security boundary, such as the network, must be managed centrally. Diese Anforderung ist Teil vieler regulatorischer Bestimmungen.This requirement is part of many regulatory frameworks. Sie ist die Standardmethode für jede Organisation, die Zugriff auf vertrauliche oder kritische Geschäftsressourcen gewährt oder verweigert.It's standard practice for any organization that grants or denies access to confidential or critical business resources.
    • Das Verwalten von Anwendungsressourcen, die keine Sicherheitsgrenzen oder andere Aspekte verletzen, die zur Aufrechterhaltung von Sicherheit und Compliance erforderlich sind, kann an Anwendungsteams delegiert werden.Managing application resources that don't violate security boundaries or other aspects required to maintain security and compliance can be delegated to application teams. Durch die Möglichkeit für Benutzer, Ressourcen innerhalb einer sicher verwalteten Umgebung bereitzustellen, können Unternehmen die Agilitätsvorteile der Cloud ausnutzen und gleichzeitig die Verletzung kritischer Sicherheits- oder Governancegrenzen verhindern.Allowing users to provision resources within a securely managed environment allows organizations to take advantage of the agile nature of the cloud while preventing the violation of any critical security or governance boundary.

Entwurfsempfehlungen:Design recommendations:

  • Verwenden Sie nach Möglichkeit Azure RBAC, um den Zugriff auf Ressourcen auf Datenebene zu verwalten.Use Azure RBAC to manage data-plane access to resources, where possible. Beispiele sind Azure Key Vault, ein Speicherkonto oder eine SQL-Datenbank.Examples are Azure Key Vault, a storage account, or a SQL database.
  • Stellen Sie für alle Benutzer mit Zugriffsrechten für Azure-Umgebungen über Azure AD Richtlinien für bedingten Zugriff bereit.Deploy Azure AD conditional-access policies for any user with rights to Azure environments. Dadurch steht ein weiterer Mechanismus zur Verfügung, um eine kontrollierte Azure-Umgebung vor unberechtigtem Zugriff zu schützen.Doing so provides another mechanism to help protect a controlled Azure environment from unauthorized access.
  • Erzwingen Sie für alle Benutzer mit Zugriffsrechten für die Azure-Umgebungen eine mehrstufige Authentifizierung.Enforce multi-factor authentication for any user with rights to the Azure environments. Die Erzwingung der mehrstufigen Authentifizierung ist eine Anforderung vieler Complianceframeworks.Multi-factor authentication enforcement is a requirement of many compliance frameworks. Sie senkt das Risiko des Diebstahls von Anmeldeinformationen und des nicht autorisierten Zugriffs erheblich.It greatly lowers the risk of credential theft and unauthorized access.
  • Setzen Sie Azure AD Privileged Identity Management (PIM) ein, um einen ständigen Zugriff zu unterbinden und das Prinzip der geringsten Rechte umzusetzen.Use Azure AD Privileged Identity Management (PIM) to establish zero standing access and least privilege. Ordnen Sie die Rollen Ihrer Organisation dem erforderlichen Mindestzugriff zu.Map your organization's roles to the minimum level of access needed. Azure AD PIM kann entweder als Erweiterung vorhandener Tools und Prozesse dienen, wie beschrieben native Azure-Tools nutzen oder beides nach Bedarf nutzen.Azure AD PIM can either be an extension of existing tools and processes, use Azure native tools as outlined, or use both as needed.
  • Verwenden Sie in Azure AD PIM beim Gewähren von Zugriff auf Ressourcen für Ressourcen auf Azure-Steuerungsebene reine Azure AD-Gruppen.Use Azure-AD-only groups for Azure control-plane resources in Azure AD PIM when you grant access to resources.
    • Fügen Sie lokale Gruppen zur reinen Azure AD-Gruppe hinzu, wenn bereits ein Gruppenverwaltungssystem vorhanden ist.Add on-premises groups to the Azure-AD-only group if a group management system is already in place.
  • Nutzen Sie Azure AD PIM-Zugriffsüberprüfungen, um Ressourcenberechtigungen regelmäßig zu prüfen.Use Azure AD PIM access reviews to periodically validate resource entitlements. Zugriffsüberprüfungen sind Teil vieler Complianceframeworks.Access reviews are part of many compliance frameworks. Infolgedessen werden viele Organisationen bereits über ein Verfahren verfügen, um diese Anforderung zu erfüllen.As a result, many organizations will already have a process in place to address this requirement.
  • Integrieren Sie Azure AD-Protokolle in Azure Monitor, das für die Plattform von zentraler Bedeutung ist.Integrate Azure AD logs with the platform-central Azure Monitor. Azure Monitor ermöglicht eine einzige Quelle für die Wahrheit für Protokoll- und Überwachungsdaten in Azure und gibt Unternehmen cloudnative Optionen an die Hand, um die Anforderungen an Sammlung und Aufbewahrung von Protokollen zu erfüllen.Azure Monitor allows for a single source of truth around log and monitoring data in Azure, which gives organizations cloud-native options to meet requirements around log collection and retention.
  • Wenn Anforderungen in Bezug auf Datenhoheit bestehen, können benutzerdefinierte Benutzerrichtlinien zu deren Erzwingung bereitgestellt werden.If any data sovereignty requirements exist, custom user policies can be deployed to enforce them.
  • Nutzen Sie innerhalb des Azure AD-Mandanten benutzerdefinierte Rollendefinitionen unter Berücksichtigung der folgenden Schlüsselrollen:Use custom role definitions within the Azure AD tenant while you consider the following key roles:
RoleRole VerwendungUsage AktionenActions Keine AktionenNo actions
Azure-Plattformbesitzer (z. B. integrierte Rolle „Besitzer“)Azure platform owner (such as the built-in Owner role) Verwaltung des Lebenszyklus von Verwaltungsgruppen und AbonnementsManagement group and subscription lifecycle management *
Netzwerkverwaltung (NetOps)Network management (NetOps) Plattformweite Verwaltung globaler Konnektivität: Virtuelle Netzwerke, UDRs, NSGs, NVAs, VPN, Azure ExpressRoute und anderePlatform-wide global connectivity management: Virtual networks, UDRs, NSGs, NVAs, VPN, Azure ExpressRoute, and others */read, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/**/read, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
SecOpsSecurity operations (SecOps) Sicherheitsadministratorrolle mit horizontaler Sicht auf die gesamte Azure-Umgebung und die Bereinigungsrichtlinie von Azure Key VaultSecurity administrator role with a horizontal view across the entire Azure estate and the Azure Key Vault purge policy */read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/**/read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/*
AbonnementbesitzerSubscription owner Delegierte Rolle für Abonnementbesitzer, die von der Rolle „Besitzer“ für das Abonnement abgeleitet istDelegated role for subscription owner derived from subscription Owner role * Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
Anwendungsbesitzer (DevOps/AppOps)Application owners (DevOps/AppOps) Die dem Anwendungs-/Betriebsteam auf Ressourcengruppenebene zugewiesene Rolle „Mitwirkender“Contributor role granted for application/operations team at resource group level * Microsoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/actionMicrosoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/action
  • Nutzen Sie den JIT-Zugriff (Just-in-Time) von Azure Security Center für alle IaaS-Ressourcen (Infrastructure-as-a-Service), um Schutz auf Netzwerkebene für den kurzlebigen Zugriff von Benutzern auf IaaS-VMs zu aktivieren.Use Azure Security Center just-in-time access for all infrastructure as a service (IaaS) resources to enable network-level protection for ephemeral user access to IaaS virtual machines.
  • Verwenden Sie von Azure AD verwaltete Identitäten für Azure-Ressourcen, um Authentifizierung auf Grundlage von Benutzernamen und Kennwörtern zu vermeiden.Use Azure AD managed identities for Azure resources to avoid authentication based on user names and passwords. Da viele Sicherheitsverletzungen bei Ressourcen in öffentlichen Clouds ihren Ursprung im Diebstahl von Anmeldeinformationen haben, die in Code oder andere Textquellen eingebettet sind, verringert die Erzwingung verwalteter Identitäten für den programmgesteuerten Zugriff das Risiko dieser Form von Diebstahl erheblich.Because many security breaches of public cloud resources originate with credential theft embedded in code or other text sources, enforcing managed identities for programmatic access greatly reduces the risk of credential theft.
  • Nutzen Sie privilegierte Identitäten für Automatisierungsrunbooks, die erhöhte Zugriffsberechtigungen erfordern.Use privileged identities for automation runbooks that require elevated access permissions. Automatisierte Workflows, die kritische Sicherheitsgrenzen verletzen, müssen mithilfe derselben Tools und Richtlinien geregelt werden, die auch für Benutzer mit gleichwertigen Berechtigungen gelten.Automated workflows that violate critical security boundaries should be governed by the same tools and policies users of equivalent privilege are.
  • Fügen Sie Azure-Ressourcenbereichen keine Benutzer direkt hinzu.Don't add users directly to Azure resource scopes. Fügen Sie stattdessen Benutzer zu definierten Rollen hinzu, die dann wiederum Ressourcenbereichen zugewiesen werden.Instead add users to defined roles, which are then assigned to resource scopes. Mit direkten Benutzerzuweisungen wird eine zentralisierte Verwaltung umgangen, wodurch sich der Verwaltungsaufwand erheblich erhöht, der erforderlich ist, um unautorisierten Zugriff auf geschützte Daten zu verhindern.Direct user assignments circumvent centralized management, greatly increasing the management required to prevent unauthorized access to restricted data.

Planen der Authentifizierung innerhalb einer ZielzonePlan for authentication inside a landing zone

Eine wichtige Entwurfsentscheidung, die eine Organisation bei der Einführung von Azure treffen muss, ist, ob die bestehende lokale Identitätsdomäne auf Azure ausgedehnt oder ob eine ganz neue Domäne eingerichtet werden soll.A critical design decision that an enterprise organization must make when adopting Azure is whether to extend an existing on-premises identity domain into Azure or to create a brand new one. Authentifizierungsanforderungen innerhalb der Zielzone sollten sorgfältig bewertet und in Bereitstellungspläne für Active Directory Domain Services (AD DS) in Windows Server, für Azure AD Domain Services (Azure AD DS) oder für beide Dienste integriert werden.Requirements for authentication inside the landing zone should be thoroughly assessed and incorporated into plans to deploy Active Directory Domain Services (AD DS) in Windows Server, Azure AD Domain Services (Azure AD DS), or both. Die meisten Azure-Umgebungen nutzen mindestens Azure AD für die Authentifizierung bei der Azure-Fabric und lokale AD DS-Hostauthentifizierung und -Gruppenrichtlinienverwaltung.Most Azure environments will use at least Azure AD for Azure fabric authentication and AD DS local host authentication and group policy management.

Überlegungen zum Entwurf:Design considerations:

  • Erwägen Sie zentralisierte und delegierte Zuständigkeiten für die Verwaltung innerhalb der Zielzone bereitgestellter Ressourcen.Consider centralized and delegated responsibilities to manage resources deployed inside the landing zone.
  • Anwendungen, die auf Domänendiensten beruhen und ältere Protokolle verwenden, können Azure AD DS verwenden.Applications that rely on domain services and use older protocols can use Azure AD DS.

Entwurfsempfehlungen:Design recommendations:

  • Arbeiten Sie mit zentralisierten und delegierten Zuständigkeiten für die Verwaltung innerhalb der Zielzone bereitgestellter Ressourcen basierend auf Rollen- und Sicherheitsanforderungen.Use centralized and delegated responsibilities to manage resources deployed inside the landing zone based on role and security requirements.
  • Privilegierte Vorgänge wie die Erstellung von Dienstprinzipalobjekten, die Registrierung von Anwendungen in Azure AD und der Bezug von und der Umgang mit Zertifikaten oder Platzhalterzertifikaten erfordern besondere Genehmigungen.Privileged operations such as creating service principal objects, registering applications in Azure AD, and procuring and handling certificates or wildcard certificates require special permissions. Berücksichtigen Sie, welche Benutzer mit solchen Anforderungen umgehen werden und wie sie ihre Konten mit der erforderlichen Sorgfalt sichern und überwachen können.Consider which users will be handling such requests and how to secure and monitor their accounts with the degree of diligence required.
  • Wenn es in einer Organisation ein Szenario gibt, in dem auf eine Anwendung mit integrierter Windows-Authentifizierung remote über Azure AD zugegriffen werden muss, sollten Sie Azure AD-Anwendungsproxy verwenden.If an organization has a scenario where an application that uses integrated Windows authentication must be accessed remotely through Azure AD, consider using Azure AD Application Proxy.
  • Es besteht ein Unterschied zwischen Azure AD, Azure AD DS und dem unter Windows Server ausgeführten Dienst AD DS.There's a difference between Azure AD, Azure AD DS, and AD DS running on Windows Server. Beurteilen Sie Ihre Anwendungsbedürfnisse, und ermitteln und dokumentieren Sie den jeweils verwendeten Authentifizierungsanbieter.Evaluate your application needs, and understand and document the authentication provider that each one will be using. Planen Sie für alle Anwendungen entsprechend.Plan accordingly for all applications.
  • Werten Sie die Kompatibilität von Workloads für AD DS unter Windows Server und für Azure AD DS aus.Evaluate the compatibility of workloads for AD DS on Windows Server and for Azure AD DS.
  • Stellen Sie sicher, dass Ihr Netzwerkentwurf Ressourcen, die AD DS unter Windows Server für die lokale Authentifizierung und Verwaltung benötigen, den Zugriff auf die entsprechenden Domänencontroller erlaubt.Ensure your network design allows resources that require AD DS on Windows Server for local authentication and management to access the appropriate domain controllers.
    • Erwägen Sie für AD DS unter Windows Server Umgebungen mit gemeinsamen Diensten, die eine lokale Authentifizierung und Hostverwaltung im Kontext eines größeren unternehmensweiten Netzwerks bieten.For AD DS on Windows Server, consider shared services environments that offer local authentication and host management in a larger enterprise-wide network context.
  • Stellen Sie Azure AD DS innerhalb der primären Region bereit, da dieser Dienst nur in ein Abonnement aufgenommen werden kann.Deploy Azure AD DS within the primary region because this service can only be projected into one subscription.
  • Nutzen Sie für die Authentifizierung bei Azure-Diensten verwaltete Identitäten anstelle von Dienstprinzipalen.Use managed identities instead of service principals for authentication to Azure services. Dieser Ansatz senkt das Risiko des Diebstahls von Anmeldeinformationen.This approach reduces exposure to credential theft.