Práticas de segurança recomendadas

Ao usar o Azure Lighthouse, é importante considerar a segurança e o controle de acesso. Os usuários em seu locatário terão acesso direto a grupos de recursos e assinaturas de cliente, portanto, é recomendado implementar etapas para manter a segurança do seu locatário. Também é conveniente só permitir o acesso necessário para gerenciar os recursos dos seus clientes com eficiência. Esse tópico fornece recomendações para ajudá-lo a fazer isso.

Dica

Essas recomendações também se aplicam a empresas que gerenciam vários locatários com o Azure Lighthouse.

Exigir a Autenticação Multifator do Azure AD

A Autenticação Multifator do Azure Active Directory (também conhecida como verificação em duas etapas) ajuda a impedir que invasores obtenham acesso a uma conta exigindo várias etapas de autenticação. Exija a autenticação multifator do Azure AD para todos os usuários no seu locatário de gerenciamento, incluindo os usuários que terão acesso aos recursos delegados do cliente.

Recomendamos solicitar que seus clientes implementem a autenticação multifator do Azure Active Directory em seus locatários também.

Atribuir permissões a grupos usando o princípio de menor privilégio

Para facilitar o gerenciamento, é recomendável usar grupos Azure Active Directory (Azure AD) para cada função necessária para gerenciar os recursos dos seus clientes. Isso permite que você adicione ou remova usuários individuais do grupo, conforme necessário, em vez de atribuir permissões diretamente a cada usuário.

Importante

Para adicionar permissões para um grupo do Azure AD, o Tipo de grupo deve ser definido como Segurança. Essa opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Criar um grupo básico e adicionar membros usando o Azure Active Directory.

Ao criar a estrutura de permissões, siga o princípio de privilégios mínimos para que os usuários tenham apenas as permissões necessárias para concluir seu trabalho, ajudando a reduzir a chance de erros acidentais.

Por exemplo, convém usar uma estrutura como esta:

Nome do grupo Tipo principalId Definição de função ID de definição de função
Arquitetos Grupo de usuários <principalId> Colaborador b24988ac-6180-42a0-ab88-20f7382dd24c
Avaliação Grupo de usuários <principalId> Leitor acdd72a7-3385-48ef-bd42-f606fba81ae7
Especialistas de VM Grupo de usuários <principalId> Colaborador de VM 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Automação SPN (nome da entidade de serviço) <principalId> Colaborador b24988ac-6180-42a0-ab88-20f7382dd24c

Depois de criar esses grupos, é possível atribuir usuários conforme necessário. Somente adicione os usuários que realmente precisam ter acesso. Examine a associação de grupo regularmente e remova os usuários que não são mais adequados ou necessários para incluir.

Tenha em mente que, quando você integrar clientes por meio de uma oferta pública de serviço gerenciado, qualquer grupo (ou entidade de serviço ou usuário) que você incluir terá as mesmas permissões para cada cliente que comprar o plano. Para atribuir grupos diferentes para trabalhar com cada cliente, será necessário publicar um plano privado separado que seja exclusivo para cada cliente ou integrar clientes individualmente usando modelos do Azure Resource Manager. Por exemplo, você pode publicar um plano público com acesso muito limitado e, em seguida, trabalhar com o cliente diretamente para integrar seus recursos para acesso adicional usando um Modelo de Recurso do Azure personalizado que concede acesso adicional, conforme necessário.

Próximas etapas