Identitás- és hozzáférés-kezelés az Azure Spring Apps célzónagyorsítóhoz

Ez a cikk az Azure Spring Apps felhasználóinak hitelesítésére és a számítási feladatok erőforrásaihoz való szükséges hozzáférés biztosítására vonatkozó tervezési szempontokat és javaslatokat ismerteti.

A központosított platformcsapatnak és az alkalmazáscsapatoknak tisztában kell lenniük az alábbiakkal:

• Mely csapatoknak van szükségük hozzáférésre az alkalmazás kezdőzónájában üzembe helyezett Azure Spring-alkalmazás számítási feladataihoz.
• A felhasználók szerepkörei és felelőssége, valamint azok, akiknek hozzáférésre van szükségük.
• A feladatok elvégzéséhez szükséges minimális jogosultsági szint.

A platform kialakításával kapcsolatos információkért tekintse meg az Azure identitás- és hozzáférés-kezelési tervezési területét.

A számítási feladatok tulajdonosaként kövesse ezeket az ajánlott eljárásokat annak érdekében, hogy az alkalmazás erőforrásai ne sértse meg a szervezeti biztonságot vagy a szabályozási határokat. A cél annak biztosítása, hogy az üzembe helyezett Azure Spring-alkalmazás és a számítási feladat kapcsolódó erőforrásai biztonságosak és csak a jogosult felhasználók számára legyenek elérhetők. Ha követi ezeket a gyakorlatokat, megvédheti a bizalmas adatokat, és megakadályozhatja az alkalmazás és erőforrásaival való visszaélést.

Kialakítási szempontok

• Hozzáférés az alkalmazásból más szolgáltatásokhoz. Az alkalmazásnak hitelesítenie kell magát, amikor a számítási feladat részét képező háttérszolgáltatásokhoz csatlakozik. Ez a hitelesítés védi a szolgáltatásokat a jogosulatlan hozzáféréstől. Fontolja meg a Microsoft Entra ID funkcióinak használatát a hitelesítő adatok tárolásának és kezelésének többletterhelésének elkerülése érdekében.

• Hozzáférés az alkalmazáshoz. A felhasználók a nyilvános interneten keresztül küldhetnek kéréseket az alkalmazásnak. Vagy a kérések privát vagy helyszíni hálózatokból származhatnak. Mindkét esetben a hozzáférést ügyféltanúsítványok vagy Microsoft Entra-azonosító alapján kell hitelesíteni.

  Fontolja meg az alkalmazások közötti hívásokat kezdeményező szolgáltatásfelderítési mechanizmus technológiai lehetőségeit. A beállítások az Azure Spring Apps szinttől függően változnak.

  • Alapszintű/Standard: Kubernetes-szolgáltatás felderítése vagy felügyelt Spring Cloud Service Registry (az Eureka használatával)
  • Vállalat: Tanzu szolgáltatásregisztrációs adatbázis

• Operátorok hozzáférése az erőforrásokhoz. A különböző felelősségi körökkel rendelkező csapattagok hozzáférhetnek a számítási feladathoz. Előfordulhat például, hogy hozzáférést kell adnia a következőkhöz:

  • A platform csapatának tagjai, akiknek operatív hozzáférésre van szükségük.
  • Alkalmazásokat fejlesztő csapattagok.
  • DevOps-mérnökök, akik folyamatokat építenek ki és bocsátanak ki a számítási feladatok üzembe helyezéséhez és az infrastruktúra kódként (IaC) való konfigurálásához.
  • Webhely-megbízhatósági mérnökök hibaelhárítási problémákhoz.

  A hozzáférés célja alapján döntse el, hogy milyen szintű vezérlést szeretne biztosítani a felhasználónak. Kezdje a minimális jogosultság elvével. Az RBAC-szerepkör-hozzárendelések biztosíthatják, hogy a felhasználók megfelelő jogosultságokkal rendelkezzenek a feladataikhoz, és fenntartsák a határokat. Egyéni szerepkörök létrehozása előtt fontolja meg a beépített RBAC-szerepkörök használatát.

• Konfigurációs adathozzáférés. Az Azure Spring Apps (Alap/Standard vagy Nagyvállalati) csomagjának kiválasztása alapján meg kell határoznia a konfigurációs kiszolgáló beállításait.

  Alapszintű esetén fontolja meg a kiszolgáló és az ügyféloldal támogatását. A konfigurációs kiszolgáló fájljainak tárolásához válasszon egy külső konfigurációt egy elosztott rendszerben, például az Azure DevOpsban, a GitHubon, a GitLabben vagy a Bitbucketben.

  Használhat nyilvános vagy privát adattárakat, és kiválaszthatja azok hitelesítési mechanizmusát. Az Azure Spring Apps támogatja az alapszintű jelszót vagy jogkivonatalapú hitelesítést és SSH-t.

  Nagyvállalati verzió esetén fontolja meg a VMware Tanzu alkalmazáskonfigurációs szolgáltatásának használatát, amely lehetővé teszi az egy vagy több Git-adattárban meghatározott tulajdonságokból kitöltött Kubernetes-natív ConfigMap-erőforrások kezelését.

Tervezési javaslatok

Managed identities

Felügyelt identitások használata az alkalmazáshoz, hogy az a Microsoft Entra-azonosítón keresztül legyen hitelesítve. Nem minden szolgáltatás támogatja a Microsoft Entra ID ezen funkcióját. További információ: Microsoft Entra-hitelesítést támogató Azure-szolgáltatások.

Döntse el, hogy melyik típusú felügyelt identitás felel meg a használati esetnek. Fontolja meg a kompromisszumokat könnyű kezeléssel. Ha például az alkalmazásnak több erőforráshoz kell hozzáférnie, a felhasználó által hozzárendelt felügyelt identitások használata ajánlott. Ha azonban az alkalmazás életciklusához kapcsolódó engedélyeket szeretne, a rendszer által felügyelt identitások jobban megfelelhetnek.

További információ: Rendszer vagy felhasználó által hozzárendelt felügyelt identitások kiválasztása.

A beépített Azure RBAC-szerepkörök használatával egyszerűsítheti a felügyelt identitáshoz szükséges engedélyek kezelését.

• Saját felügyelt identitás használata az Azure Spring Appshez.
• Használja külön a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitásokat. További információ: Ajánlott eljárások felügyelt identitások használatakor.
• A Privileged Identity Management használata a Microsoft Entra ID-ban.

Biztonságos internetes kommunikáció

• Használjon hitelesítésszolgáltató által kibocsátott tanúsítványokat, kiterjesztett érvényesítési tanúsítványokat vagy helyettesítő tanúsítványokat.
• Önaláírt tanúsítványt csak az előkészületi környezetekhez használhat.
• Tanúsítványok biztonságos betöltése az Azure Key Vaultból.

Szerepköralapú hozzáférés-vezérlés (RBAC)

• Fontolja meg egyéni szerepkörök létrehozását. Kövesse a minimális jogosultság elvét, ha a beépített szerepkörök módosításokat igényelnek a meglévő engedélyeken.
• A kulcsok, titkos kulcsok, tanúsítványok és alkalmazáskonfigurációk fokozott biztonságú tárterületének kiválasztása.
• Az automatizált üzembe helyezéshez állítson be egy egyszerű szolgáltatást, amely rendelkezik a CI/CD-folyamatból való üzembe helyezéshez szükséges minimális engedélyekkel.
• Diagnosztikai naplózás engedélyezése az alkalmazáskonzolhoz, a rendszernaplókhoz, a bejövő naplókhoz, a buildnaplókhoz és a tárolóesemény-naplókhoz. Ezekkel a részletes naplókkal diagnosztizálhatja az alkalmazással kapcsolatos problémákat, és figyelheti a hozzáférési kérelmeket. Ha engedélyezi ezeket a naplókat, az Azure Monitor tevékenységnaplója betekintést nyújt az előfizetési szintű eseményekbe.

Következő lépések

Hálózati topológia és kapcsolat