Identiteits- en toegangsbeheer voor de Azure Spring Apps-landingszoneversneller

In dit artikel worden ontwerpoverwegingen en aanbevelingen beschreven voor het verifiëren van gebruikers in Azure Spring Apps en verleent u gebruikers het benodigde niveau van toegang tot workloadresources.

Het gecentraliseerde platformteam en de toepassingsteams moeten een goed begrip hebben van:

• Welke teams toegang nodig hebben tot de Workload van de Azure Spring-app die is geïmplementeerd in de landingszone van de toepassing.
• De rollen en verantwoordelijkheid van gebruikers en wie toegang nodig heeft.
• Het minimale niveau van bevoegdheden dat nodig is om deze verantwoordelijkheden uit te voeren.

Zie het ontwerpgebied azure-identiteits- en toegangsbeheer voor informatie over het platformontwerp.

Als eigenaar van de workload volgt u deze aanbevolen procedures om ervoor te zorgen dat de toepassingsresources de beveiligings- of governancegrenzen van de organisatie niet schenden. Het doel is ervoor te zorgen dat de geïmplementeerde Azure Spring-app en de gerelateerde resources van de workload veilig zijn en alleen toegankelijk zijn voor geautoriseerde gebruikers. Wanneer u deze procedures volgt, beveiligt u gevoelige gegevens en voorkomt u misbruik van de app en de bijbehorende resources.

Ontwerpoverwegingen

• Toegang vanuit de toepassing naar andere services. De toepassing moet zichzelf verifiëren wanneer deze verbinding maakt met back-endservices die deel uitmaken van de workload. Deze verificatie beveiligt de services tegen onbevoegde toegang. Overweeg het gebruik van functies van Microsoft Entra ID om de overhead van het opslaan en beheren van referenties te voorkomen.

• Toegang tot de toepassing. Gebruikers kunnen aanvragen verzenden naar de toepassing via het openbare internet. Of aanvragen kunnen afkomstig zijn van privénetwerken of on-premises netwerken. In beide gevallen moet de toegang worden geverifieerd op basis van clientcertificaten of via Microsoft Entra-id.

  Houd rekening met de technologieopties voor het servicedetectiemechanisme waarmee aanroepen tussen apps worden aangeroepen. De opties variëren op basis van de Azure Spring Apps-laag.

  • Basic/Standard: Kubernetes-servicedetectie of managed Spring Cloud-serviceregister (met Behulp van Eureka)
  • Enterprise: Tanzu-serviceregister

• Operatortoegang tot resources. Teamleden met verschillende verantwoordelijkheden hebben mogelijk toegang tot uw workload. U moet bijvoorbeeld toegang verlenen tot:

  • Teamleden van het platform die operationele toegang nodig hebben.
  • Leden van het toepassingsteam die toepassingen ontwikkelen.
  • DevOps-technici die pijplijnen bouwen en vrijgeven om de workload te implementeren en te configureren met behulp van infrastructuur als code (IaC).
  • Sitebetrouwbaarheidstechnici voor het oplossen van problemen.

  Bepaal op basis van het doel van de toegang het niveau van het besturingselement dat u aan de gebruiker wilt verstrekken. Begin met het principe van minimale bevoegdheden. RBAC-roltoewijzingen kunnen ervoor zorgen dat gebruikers over de juiste set bevoegdheden beschikken voor hun verantwoordelijkheden en grenzen behouden. Overweeg ingebouwde RBAC-rollen voordat u aangepaste rollen maakt.

• Toegang tot configuratiegegevens. Op basis van de gewenste laag voor Azure Spring Apps (Basic/Standard of Enterprise) moet u de configuratieserveropties bepalen.

  Voor Basic kunt u ondersteuning overwegen voor de server- en clientzijde. Als u uw configuratieserverbestanden wilt opslaan, kiest u een externe configuratie in een gedistribueerd systeem, zoals Azure DevOps, GitHub, GitLab of Bitbucket.

  U kunt openbare of privéopslagplaatsen gebruiken en hun verificatiemechanisme kiezen. Azure Spring Apps ondersteunt basisverificatie of op tokens gebaseerde verificatie en SSH.

  Voor Enterprise kunt u de Toepassingsconfiguratieservice voor VMware Tanzu gebruiken, waardoor het beheer van Kubernetes-systeemeigen ConfigMap-resources mogelijk is die zijn ingevuld op basis van eigenschappen die zijn gedefinieerd in een of meer Git-opslagplaatsen.

Ontwerpaanaanvelingen

Beheerde identiteiten

Gebruik beheerde identiteiten voor de toepassing, zodat deze wordt geverifieerd via Microsoft Entra-id. Niet alle services ondersteunen deze functie van Microsoft Entra ID. Zie Azure-services die Ondersteuning bieden voor Microsoft Entra-verificatie voor meer informatie.

Bepaal welk type beheerde identiteit geschikt is voor uw use-case. Houd rekening met de compromissen met gemak van beheer. Als de toepassing bijvoorbeeld toegang nodig heeft tot meerdere resources, worden door de gebruiker toegewezen beheerde identiteiten aanbevolen. Maar als u machtigingen wilt die zijn gekoppeld aan de levenscyclus van de toepassing, zijn door het systeem beheerde identiteiten mogelijk beter geschikt.

Zie Systeem- of door de gebruiker toegewezen beheerde identiteiten kiezen voor meer informatie.

Gebruik ingebouwde Azure RBAC-rollen om het beheer van vereiste machtigingen voor een beheerde identiteit te vereenvoudigen.

• Gebruik uw eigen beheerde identiteit voor Azure Spring Apps.
• Gebruik door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten afzonderlijk. Zie Aanbevolen procedures voor het gebruik van beheerde identiteiten voor meer informatie.
• Gebruik Privileged Identity Management in Microsoft Entra ID.

Beveiligde internetcommunicatie

• Gebruik certificaten die zijn uitgegeven door een certificeringsinstantie, uitgebreide validatiecertificaten of jokertekencertificaten.
• Gebruik zelfondertekende certificaten alleen voor preproductieomgevingen.
• Certificaten veilig laden vanuit Azure Key Vault.

Op rollen gebaseerd toegangsbeheer (RBAC)

• Overweeg aangepaste rollen te maken. Volg het principe van minimale bevoegdheden wanneer out-of-box-rollen wijzigingen in bestaande machtigingen vereisen.
• Kies verbeterde beveiligingsopslag voor sleutels, geheimen, certificaten en toepassingsconfiguratie.
• Voor geautomatiseerde implementatie stelt u een service-principal in met de minimaal vereiste machtigingen voor implementatie vanuit de CI/CD-pijplijn.
• Schakel diagnostische logboekregistratie in voor de toepassingsconsole, systeemlogboeken, logboeken voor inkomend verkeer, buildlogboeken en gebeurtenislogboeken van containers. U kunt deze gedetailleerde logboeken gebruiken om problemen met uw app vast te stellen en toegangsaanvragen te controleren. Wanneer u deze logboeken inschakelt, krijgt u in een Azure Monitor-activiteitenlogboek inzicht in gebeurtenissen op abonnementsniveau.

Volgende stappen

Netwerktopologie en -connectiviteit