Designbereich für Identitäts- und Zugriffsverwaltung
Der Designbereich für die Identitäts- und Zugriffsverwaltung bietet bewährte Verfahren, mit denen Sie die Grundlage für Ihre sichere und vollständig konforme Public Cloud-Architektur schaffen können.
Unternehmen können über komplexe und heterogene technologische Landschaften verfügen, sodass die Sicherheit entscheidend ist. Eine robuste Identitäts- und Zugriffsverwaltung bildet die Grundlage für modernen Schutz, indem sie einen Sicherheitsperimeter in einer Public-Cloud erstellt. Autorisierungs- und Zugriffssteuerungen stellen sicher, dass nur authentifizierte Benutzende mit verifizierten Geräten auf Anwendungen und Ressourcen zugreifen und diese verwalten können. Es wird sichergestellt, dass die richtige Person zur richtigen Zeit und aus dem richtigen Grund auf die richtigen Ressourcen zugreifen kann. Außerdem bietet es zuverlässige Log-Dateien und die Möglichkeit, Aktionen von Benutzenden oder Workload-Identitäten nachzuweisen. Sie sollten eine konsistente Unternehmens-Zugriffskontrolle bereitstellen, einschließlich des Benutzenden-Zugriffs, der Steuerungs- und Verwaltungsebenen, des externen Zugriffs und des privilegierten Zugriffs, um die Produktivität zu verbessern und das Risiko einer unbefugten Privilegienerweiterung oder Datenexfiltration zu beheben.
Azure bietet ein umfassendes Angebot an Diensten, Tools und Referenzarchitekturen, mit denen Ihre Organisation hochsichere und effiziente Umgebungen erstellen kann. Es gibt mehrere Optionen für die Verwaltung von Identitäten in einer Cloud-Umgebung. Jede Option variiert in Bezug auf Kosten und Komplexität. Bestimmen Sie Ihre cloudbasierten Identitätsdienste danach, inwieweit Sie sie in Ihre bestehende lokale Identitätsinfrastruktur integrieren müssen. Weitere Informationen finden Sie unter Entscheidungsanleitung für Identitäten.
Identitäts- und Zugriffsverwaltung in Azure Landing-Zones
Das Identitäts- und Zugriffsmanagement ist sowohl in den Plattform-Landing-Zones als auch in den Anwendungs-Landing-Zones ein zentraler Aspekt. Nach dem Designprinzip der Demokratisierung des Abonnements sollten die Anwendungsbesitzenden die Autonomie haben, ihre eigenen Anwendungen und Ressourcen mit minimalen Eingriffen des Plattformteams zu verwalten. Landing-Zons stellen eine Sicherheitsgrenze dar, und die Identitäts- und Zugriffsverwaltung bietet eine Möglichkeit, die Trennung einer Landing-Zone von einer anderen zu kontrollieren, zusammen mit Komponenten wie Networking und Azure-Richtlinien. Wenden Sie ein robustes Identitäts- und Zugriffsmanagement an, um die Isolierung von Landing-Zones für Anwendungen zu erreichen.
Das Plattformteam ist für die Grundlage der Identitäts- und Zugriffsverwaltung verantwortlich, einschließlich der Bereitstellung und Verwaltung zentraler Verzeichnisdienste wie Microsoft Entra ID, Microsoft Entra Domain Services und Active Directory Domain Services (AD DS). Administratoren*innen von Landing-Zones und Benutzende, die auf Anwendungen zugreifen, nehmen diese Dienste in Anspruch.
Das Anwendungsteam ist für die Identitäts- und Zugriffsverwaltung ihrer Anwendungen verantwortlich, einschließlich der Sicherung des Benutzendenzugriffs auf Anwendungen und zwischen Anwendungskomponenten wie Azure SQL Database, virtuellen Computern und Azure Storage. In einer gut implementierten Landing-Zone-Architektur kann das Anwendungsteam mühelos Dienste nutzen, die das Plattformteam bereitstellt.
Viele der grundlegenden Konzepte des Identitäts- und Zugriffsmanagements sind in den Plattform-Landing-Zones und den Anwendungs-Landing-Zones identisch, z. B. die rollenbasierte Zugriffssteuerung (RBAC) und das Prinzip der geringsten Privilegien.
Informationen zu diesem Entwurfsbereich
Funktionen: Die Identitäts- und Zugriffsverwaltung erfordert den Support von einer oder mehreren der folgenden Funktionen. Die Rollen, die diese Funktionen ausführen, können dabei helfen, Entscheidungen zu treffen und zu implementieren.
- Cloudplattformfunktionen
- CCoE-Funktionen (Cloud Center of Excellence, Cloudkompetenzzentrum)
- Funktionen des Cloudsicherheitsteams
Umfang: Das Ziel dieses Bereichs ist es, Ihnen bei der Bewertung der Optionen für Ihre Identitäts- und Zugriffsgrundlage zu helfen. Wenn Sie Ihre Identitätsstrategie entwerfen, sollten Sie die folgenden Aufgaben durchführen:
- Authentifizierung von Benutzenden und Workload-Identitäten.
- Weisen Sie den Zugriff auf Ressourcen zu.
- Bestimmen Sie die Kernanforderungen für die Aufgabentrennung.
- Hybride Identitäten mit Microsoft Entra ID synchronisieren.
Außerhalb des Bereichs: Die Identitäts- und Zugriffsverwaltung bildet die Grundlage für eine ordnungsgemäße Zugriffssteuerung, deckt aber fortgeschrittenere Aspekte nicht ab wie:
- Das Zero-Trust-Modell.
- Der Betrieb und die Verwaltung erweiterter Privilegien.
- Automatisierte Leitlinien zur Vermeidung allgemeiner Fehler bei der Identitäts- und Zugriffskontrolle.
Die Bereiche Sicherheit und Governance, die nicht in den Geltungsbereich fallen, werden von Compliance-Design abgedeckt. Umfassende Empfehlungen für die Identitäts- und Zugriffsverwaltung finden Sie unter Bewährte Verfahren für die Identitätsverwaltung und Zugriffssteuerung von Azure.
Entwurfsbereichsübersicht
Die Identität bildet die Grundlage für einen erheblichen Teil der garantierten Sicherheit. Sie gewährt Zugriff basierend auf Identitätsauthentifizierungs- und Autorisierungssteuerungen in Clouddiensten. Die Zugriffssteuerung schützt Daten und Ressourcen und hilft bei der Entscheidung, welche Anfragen zugelassen werden sollen.
Die Identitäts- und Zugriffsverwaltung trägt zur Sicherung der internen und externen Grenzen einer Public Cloud Umgebung bei. Sie stellt die Grundlage jeder sicheren und vollständig konformen öffentlichen Cloudarchitektur dar.
In den folgenden Artikeln werden Überlegungen zum Design und Empfehlungen für die Identitäts- und Zugriffsverwaltung in einer Cloud-Umgebung untersucht:
- Hybride Identität mit Active Directory und Microsoft Entra ID
- Identitäts- und Zugriffsverwaltung für Landing-Zones
- Anwendungsidentitäts- und Zugriffsverwaltung
Eine Anleitung zum Entwerfen von Lösungen auf Azure unter Verwendung etablierter Muster und Praktiken finden Sie unter Entwurf einer Identitätsarchitektur.
Tipp
Wenn Sie mehrere Microsoft Entra ID-Mandanten haben, lesen Sie Azure Landing-Zones und mehrere Microsoft Entra-Mandanten.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für