Azure-besturingsvlakbeveiliging

  • Artikel
  • 4 minuten om te lezen

De term besturingsvlak verwijst naar het beheer van resources in uw abonnement. Deze activiteiten omvatten het maken, bijwerken en verwijderen van Azure-resources, zoals vereist door het technische team.

Azure Resource Manager verwerkt alle aanvragen voor besturingsvlakken en past beperkingen toe die u opgeeft via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), Azure Policy, vergrendelingen. Het toepassen van deze beperkingen is gebaseerd op de vereiste van de organisatie.

Belangrijkste punten

  • Beperk de toegang op basis van de basisprincipes van de noodzaak en de beveiligingsprincipes met de minste bevoegdheden.
  • Wijs machtigingen toe aan gebruikers, groepen en toepassingen met een bepaald bereik via Azure RBAC.
  • Gebruik indien mogelijk ingebouwde rollen.
  • Voorkom verwijdering of wijziging van een resource, resourcegroep of abonnement via beheervergrendelingen.
  • Gebruik minder kritiek beheer in uw CI/CD-pijplijn voor ontwikkel- en testomgevingen.

Rollen en machtigingstoewijzing

Wordt de workloadinfrastructuur beveiligd met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) biedt de scheiding bij het openen van de resources die een toepassing gebruikt. Bepaal wie toegang heeft tot resources op gedetailleerd niveau en wat ze met deze resources kunnen doen. Bijvoorbeeld:

  • Ontwikkelaars hebben geen toegang tot de productie-infrastructuur.
  • Alleen het SecOps-team kan uw geheimen lezen Key Vault beheren.
  • Als er meerdere teams zijn, Project een team toegang hebben tot resourcegroep A en alle resources binnen een team.

Taak Verleen rollen de juiste machtigingen die beginnen met de minste bevoegdheden en voeg meer toe op basis van uw operationele behoeften. Bied uw technische teams die machtigingen implementeren duidelijke richtlijnen. Deze duidelijkheid maakt het gemakkelijker om te detecteren en corrigeren, waardoor menselijke fouten, zoals overuitname, worden beperkt.

Met Azure RBAC kunt u die scheiding beheren. U kunt machtigingen toewijzen aan gebruikers, groepen en toepassingen binnen een bepaald bereik. Het bereik van een roltoewijzing kan een abonnement, een resourcegroep of een enkele resource zijn. Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)voor meer informatie.

  • Wijs machtigingen toe aan de beheergroep in plaats van afzonderlijke abonnementen om consistentie te verbeteren en ervoor te zorgen dat de toepassing wordt gebruikt voor toekomstige abonnementen.
  • Houd rekening met de ingebouwde rollen voordat u aangepaste rollen maakt om de juiste machtigingen te verlenen aan resources en andere objecten.

Wijs bijvoorbeeld beveiligingsteams toe met de machtiging Beveiligingslezers die toegang bieden die nodig is om risicofactoren te beoordelen, mogelijke oplossingen te identificeren, zonder toegang te verlenen tot de gegevens.

Belangrijk

Behandel beveiligingsteams als kritieke accounts en pas dezelfde beveiliging toe als beheerders.

Beheervergrendelingen

Worden er resourcevergrendelingen toegepast op kritieke onderdelen van de infrastructuur?

In tegenstelling tot op rollen gebaseerd toegangsbeheer van Azure worden beheervergrendelingen gebruikt om een beperking toe te passen voor alle gebruikers en rollen.

Kritieke infrastructuur verandert doorgaans niet vaak. Gebruik beheervergrendelingen om te voorkomen dat een resource, resourcegroep of abonnement wordt verwijderd of gewijzigd. Vergrendelen in gebruiksgevallen waarbij alleen specifieke rollen en gebruikers met machtigingen resources mogen verwijderen of wijzigen.

Als beheerder kan het nodig zijn om een ​​abonnement, resourcegroep of resource te vergrendelen om te voorkomen dat andere gebruikers in uw organisatie per ongeluk essentiële resources verwijderen of wijzigen. U kunt het vergrendelingsniveau instellen op CanNotDelete of ReadOnly. In de portal worden de vergrendelingen respectievelijk Verwijderen en Alleen-lezen genoemd:

  • CanNotDelete betekent dat gemachtigde gebruikers een resource nog steeds kunnen lezen en wijzigen, maar dat ze de resource niet kunnen verwijderen.
  • ReadOnly betekent dat gemachtigde gebruikers een resource kunnen lezen, maar ze kunnen de resource niet verwijderen of bijwerken. Het toepassen van deze vergrendeling is vergelijkbaar met het beperken van alle geautoriseerde gebruikers tot de machtigingen die worden verleend door de rol Lezer.

Wanneer u een vergrendeling op een bovenliggend bereik toe passen, nemen alle resources binnen dat bereik dezelfde vergrendeling over. Zelfs resources die u later toevoegt, nemen de vergrendeling over van het bovenliggende. De meest beperkende vergrendeling in de overname heeft prioriteit.

In tegenstelling tot op rollen gebaseerd toegangsbeheer wordt met beheervergrendelingen een beperking toegepast op alle gebruikers en rollen. Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)voor meer informatie over het instellen van machtigingen voor gebruikers en rollen.

Kritieke infrastructuur identificeren en geschiktheid voor resourcevergrendeling evalueren.

Stel vergrendelingen in het DevOps-proces zorgvuldig in, omdat wijzigingsvergrendelingen soms de automatisering kunnen blokkeren. Zie Overwegingen voordat u vergrendelingen toe te passen voor voorbeelden van deze blokken en overwegingen.

Voor meer informatie over het implementeren van resourcevergrendelingen ter bescherming van kritieke infrastructuur, verwijzen wij u naar Resources vergrendelen om onverwachte wijzigingen te voorkomen.

Toepassingsimplementatie

Is er directe toegang tot de infrastructuur van de toepassing via Azure Portal, cli (command-line interface) of REST API?

Het is raadzaam om de toepassingsinfrastructuur te implementeren via automatisering en CI/CD. Om de flexibiliteit en flexibiliteit van toepassingen te maximaliseren, moet u beperkend toegangsbeheer in minder kritieke ontwikkel- en testomgevingen in balans brengen.

Zijn CI/CD-pijplijnrollen duidelijk gedefinieerd en zijn machtigingen ingesteld?

Azure DevOps biedt ingebouwde rollen die kunnen worden toegewezen aan afzonderlijke gebruikers van groepen. Als u ze bijvoorbeeld op de juiste manier gebruikt, kunnen alleen gebruikers die verantwoordelijk zijn voor productiereleases het proces initiëren en dat alleen ontwikkelaars toegang hebben tot de broncode. Variabele groepen bevatten vaak gevoelige configuratiegegevens en kunnen ook worden beveiligd.

Volgende

Verleen of weiger toegang tot een systeem door te controleren of de accessoires de machtigingen heeft om de aangevraagde actie uit te voeren.

Verificatie

Terug naar het hoofdartikel: Overwegingen voor Identiteits- en toegangsbeheer van Azure