Gestion des identités et des accès pour les serveurs avec Azure Arc

  • Article

Votre organisation doit concevoir les contrôles d’accès appropriés pour sécuriser les environnements hybrides à l’aide de systèmes de gestion des identités locaux et cloud.

Ces systèmes de gestion des identités jouent un rôle important. Ils aident à concevoir et à implémenter des contrôles de gestion des accès fiables pour sécuriser l’infrastructure des serveurs avec Azure Arc.

Identité gérée

Au moment de la création, l’identité Microsoft Entra ID attribuée par le système peut uniquement être utilisée pour mettre à jour l’état des serveurs avec Azure Arc (par exemple, la pulsation « Dernière connexion »). En accordant à cette identité l’accès aux ressources Azure, vous pouvez autoriser des applications sur votre serveur à l’utiliser pour accéder aux ressources Azure (par exemple, pour demander des secrets à partir d’un coffre de clés). Vous devriez :

  • Considérez quels cas d’usage légitimes existent pour les applications serveur afin d’obtenir des jetons d’accès et d’accéder aux ressources Azure, tout en planifiant le contrôle d’accès de ces ressources.
  • Contrôlez les rôles utilisateur privilégiés sur les serveurs avec Azure Arc (membres du groupe d’applications d’administrateurs locaux ou d’extensions d’agent hybride sur Windows et membres du groupe himds sur Linux) afin d’éviter que les identités managées par le système soient mal utilisées pour obtenir un accès non autorisé aux ressources Azure.
  • Utilisez Azure RBAC pour contrôler et gérer l’autorisation pour les identités managées des serveurs avec Azure Arc et effectuer des révisions d’accès périodiques pour ces identités.

Contrôle d’accès en fonction du rôle

En respectant le principe du moindre privilège, les utilisateurs, groupes ou applications attribués avec des rôles tels que « Contributeur », « Propriétaire » ou « Administrateur de ressources Azure Connected Machine » sont en mesure d’exécuter des opérations telles que le déploiement d’extensions, déléguant efficacement l’accès racine ou administrateur sur des serveurs avec Azure Arc. Ces rôles doivent être utilisés avec précaution, pour limiter le rayon d’explosion possible, ou éventuellement remplacés par des rôles personnalisés.

Pour limiter le privilège d’un utilisateur et l’autoriser uniquement à intégrer des serveurs à Azure, le rôle d’intégration d’Azure Connected Machine convient. Ce rôle ne peut être utilisé que pour intégrer des serveurs, et ne peut pas réinscrire ou supprimer la ressource de serveur. Veillez à consulter la Vue d’ensemble de référence de la sécurité des serveurs avec Azure Arc pour plus d’informations sur les contrôles d’accès.

Tenez également compte des données sensibles susceptibles d’être envoyées à l’espace de travail Azure Monitor Log Analytics ; le même principe RBAC doit être appliqué aux données elles-mêmes. Un accès en lecture aux serveurs avec Azure Arc peut fournir un accès aux données de journal collectées par l’agent Log Analytics, stockées dans l’espace de travail Log Analytics associé. Passez en revue la façon d’implémenter un accès précis à l’espace de travail Log Analytics dans la documentation Conception de votre déploiement de journaux Azure Monitor.

Architecture

Le diagramme suivant montre une architecture de référence qui illustre les rôles, les autorisations et le flux d’actions pour les serveurs avec Azure Arc :

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

Remarques relatives à la conception

  • Déterminez qui dans votre organisation doit avoir accès aux serveurs d’intégration pour configurer les autorisations requises sur les serveurs et dans Azure.
  • Déterminez qui doit gérer les serveurs avec Azure Arc. Ensuite, déterminez qui peut afficher ses données à partir de services Azure et d’autres environnements cloud.
  • Déterminez le nombre de principaux de service d’intégration Arc dont vous avez besoin. Plusieurs de ces identités peuvent être utilisées pour intégrer des serveurs appartenant à différentes fonctions commerciales ou unités d’une entreprise en fonction de la responsabilité opérationnelle et de la propriété.
  • Passez en revue la zone de conception de gestion des identités et des accès de la zone d’atterrissage Azure à l’échelle de l’entreprise. Passez en revue la zone pour évaluer l’impact des serveurs avec Azure Arc sur votre modèle d’identité et d’accès global.

Recommandations de conception

  • Intégration et administration du serveur
    • Utilisez des groupes de sécurité pour attribuer des droits d’administrateur local aux utilisateurs identifiés ou aux comptes de service sur les serveurs à intégrer à Azure Arc à grande échelle.
    • Utilisez le principal de service Microsoft Entra pour intégrer des serveurs à Azure Arc. Envisagez d’utiliser plusieurs principaux de service Microsoft Entra dans un modèle d’exploitation décentralisé, où les serveurs sont gérés par différentes équipes informatiques.
    • Utilisez des clés secrètes client de principal de service Microsoft Entra de courte durée.
    • Attribuez le rôle Intégration d’Azure Connected Machine au niveau du groupe de ressources.
    • Utilisez des groupes de sécurité Microsoft Entra et accordez le rôle Administrateur de ressources de serveur hybride. Accordez le rôle aux équipes et aux individus qui géreront les ressources de serveur avec Azure Arc dans Azure.
  • Accès aux ressources protégées par Microsoft Entra ID
    • Utilisez des identités managées pour les applications s’exécutant sur vos serveurs locaux (et d’autres environnements cloud) pour fournir l’accès aux ressources cloud protégées par Microsoft Entra ID.
    • Limitez l’accès aux identités managées pour autoriser les applications autorisées à l’aide des autorisations d’application Microsoft Entra.
    • Utilisez le groupe de sécurité local Hybrid agent extension applications sur Windows ou le groupe himds sur Linux pour accorder l’accès aux utilisateurs pour demander des jetons d’accès aux ressources Azure à partir des serveurs avec Azure Arc.

Étapes suivantes

Pour plus d’informations sur le parcours d’adoption du cloud hybride, consultez les ressources suivantes :