Overwegingen voor identiteits- en toegangsbeheer van Azure

  • Artikel
  • 2 minuten om te lezen

De meeste architecturen hebben gedeelde services die worden gehost en toegankelijk zijn in netwerken. Deze services delen een gemeenschappelijke infrastructuur en gebruikers hebben vanaf elke locatie toegang nodig tot resources en gegevens. Voor dergelijke architecturen is het gebruik van netwerkbesturingselementen een veelgebruikte manier om resources te beveiligen. Dat is echter niet voldoende.

Beveiligingsgarantie bieden via identiteitsbeheer: het proces van het verifiëren en autoriseren van beveiligingsprincipmen. Gebruik identiteitsbeheerservices om gebruikers, partners, klanten, toepassingen, services en andere entiteiten te verifiëren en machtigingen te verlenen.

Controlelijst

Hoe beheert u de identiteit voor uw workload?

  • Definieer duidelijke regels van verantwoordelijkheid en scheiding van taken voor elke functie. Beperk de toegang op basis van de basisprincipes voor de beveiliging met de minste bevoegdheden en de basisprincipes van de noodzaak om dit te weten.
  • Wijs via Azure RBAC machtigingen toe aan gebruikers, groepen en toepassingen binnen een bepaald bereik. Gebruik indien mogelijk ingebouwde rollen.
  • Voorkomen dat een resource, resourcegroep of abonnement wordt verwijderd of gewijzigd via beheervergrendelingen.
  • Beheerde identiteiten gebruiken voor toegang tot resources in Azure.
  • Ondersteuning voor één bedrijfsdirectory. Houd de cloud- en on-premises directories gesynchroniseerd, met uitzondering van accounts met een kritieke impact.
  • Voorwaardelijke toegang van Azure AD instellen. Belangrijke beveiligingskenmerken afdwingen en meten bij het authenticeren van alle gebruikers, met name voor accounts met een kritieke impact.
  • Een afzonderlijke identiteitsbron voor niet-werknemers hebben.
  • Gebruik bij voorkeur methoden zonder wachtwoord of kies voor moderne wachtwoordmethoden.
  • Verouderde protocollen en verificatiemethoden blokkeren.

Azure-beveiligingsbenchmark

De Azure Security-benchmark bevat een verzameling beveiligingsaanbevelingen met een hoge impact die u kunt gebruiken om de services die u in Azure gebruikt te beveiligen:

Security Benchmark (Beveiligingsbenchmark) De vragen in deze sectie zijn afgestemd op de Azure Security Benchmarks Identity en Access Control.

Azure-services voor identiteit

De overwegingen en best practices in deze sectie zijn gebaseerd op deze Azure-services:

Referentiearchitectuur

Hier zijn enkele referentiearchitectarchitecten met betrekking tot identiteits- en toegangsbeheer:

On-premises AD-domeinen integreren met Azure AD

On-premises AD integreren met Azure

Volgende stappen

De communicatie tussen segmenten bewaken. Gebruik gegevens om afwijkingen te identificeren, waarschuwingen in te stellen of verkeer te blokkeren om het risico te beperken dat aanvallers segmentatiegrenzen overschrijden.

Netwerkgerelateerde risico's

Vijf stappen voor het beveiligen van uw identiteitsinfrastructuur

Terug het hoofdartikel: Beveiliging