Aanbevolen beveiligingsprocedures
Wanneer u Azure Lighthousegebruikt, is het belangrijk om rekening te houden met beveiliging en toegangsbeheer. Gebruikers in uw tenant hebben rechtstreeks toegang tot klantabonnementen en resourcegroepen, dus u moet stappen ondernemen om de beveiliging van uw tenant te handhaven. U moet er ook voor zorgen dat u alleen de toegang toestaat die nodig is om de resources van uw klanten effectief te beheren. Dit onderwerp bevat aanbevelingen om u daarbij te helpen.
Tip
Deze aanbevelingen zijn ook van toepassing op ondernemingen die meerdere tenants beheren met Azure Lighthouse.
Azure AD Multi-Factor Authentication vereisen
Azure AD Multi-Factor Authentication (ook wel verificatie in twee stappen genoemd) helpt voorkomen dat aanvallers toegang krijgen tot een account door meerdere verificatiestappen te vereisen. U moet Azure AD Multi-Factor Authentication vereisen voor alle gebruikers in uw beherende tenant, met inbegrip van gebruikers die toegang hebben tot gedelegeerde klantresources.
U wordt aangeraden uw klanten te vragen om Azure AD Multi-Factor Authentication ook in hun tenants te implementeren.
Machtigingen toewijzen aan groepen met het principe van de minste bevoegdheden
Om het beheer te vereenvoudigen, gebruikt u Azure Active Directory (Azure AD)-groepen voor elke rol die vereist is voor het beheren van de resources van uw klanten. Hiermee kunt u naar behoefte afzonderlijke gebruikers aan de groep toevoegen of verwijderen, in plaats van machtigingen rechtstreeks aan elke gebruiker toe te wijzen.
Belangrijk
Als u machtigingen wilt toevoegen voor een Azure AD-groep, moet het groepstype worden ingesteld op Beveiliging. Deze optie wordt geselecteerd wanneer de groep wordt gemaakt. Zie Een basisgroep maken en leden toevoegen met behulp van Azure Active Directory voor meer informatie.
Zorg er bij het maken van uw machtigingsstructuur voor dat u het principe van de minste bevoegdheden volgt, zodat gebruikers alleen de machtigingen hebben die nodig zijn om hun taak te voltooien, waardoor de kans op onbedoelde fouten wordt verkleind.
U kunt bijvoorbeeld een structuur als deze gebruiken:
| Groepsnaam | Type | principalId | Roldefinitie | Roldefinitie-id |
|---|---|---|---|---|
| Architecten | Gebruikersgroep | <principalId> | Inzender | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Beoordeling | Gebruikersgroep | <principalId> | Lezer | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM-specialisten | Gebruikersgroep | <principalId> | VM-inzender | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automation | Service Principal Name (SPN) | <principalId> | Inzender | b24988ac-6180-42a0-ab88-20f7382dd24c |
Zodra u deze groepen hebt gemaakt, kunt u naar behoefte gebruikers toewijzen. Voeg alleen de gebruikers toe die echt toegang nodig hebben. Zorg ervoor dat u het groepslidmaatschap regelmatig controleert en verwijder alle gebruikers die niet meer geschikt of nodig zijn om op te nemen.
Houd er rekening mee dat wanneer u klanten onboardt via een openbare beheerde serviceaanbieding,elke groep (of gebruiker of service-principal) die u op neemt, dezelfde machtigingen heeft voor elke klant die het abonnement koopt. Als u verschillende groepen wilt toewijzen om met elke klant te werken, moet u een afzonderlijk privéplan publiceren dat exclusief is voor elke klant of klanten afzonderlijk onboarden met behulp van Azure Resource Manager-sjablonen. U kunt bijvoorbeeld een openbaar plan publiceren dat zeer beperkte toegang heeft en vervolgens rechtstreeks met de klant samenwerken om de resources voor extra toegang te onboarden met behulp van een aangepaste Azure-resourcesjabloon die zo nodig aanvullende toegang verleent.
Tip
U kunt ook in aanmerking komende autorisaties maken, zodat gebruikers in uw beheerten tenant hun rol tijdelijk kunnen verhogen. Door in aanmerking komende autorisaties te gebruiken, kunt u het aantal permanente toewijzingen van gebruikers aan bevoorrechte rollen minimaliseren, waardoor de beveiligingsrisico's met betrekking tot bevoegde toegang door gebruikers in uw tenant worden verkleind. Deze functie is momenteel beschikbaar als openbare preview en heeft specifieke licentievereisten. Zie In aanmerking komende autorisaties maken voor meer informatie.
Volgende stappen
- Bekijk de informatie over de beveiligingsbasislijn om te begrijpen hoe de richtlijnen van de Azure Security-benchmark van toepassing zijn op Azure Lighthouse.
- Implementeer Azure AD Multi-Factor Authentication.
- Meer informatie over beheerervaring in meerdere tenants.