Gestão de identidades e acessosIdentity and access management

A identidade fornece a base de uma grande percentagem de garantia de segurança.Identity provides the basis of a large percentage of security assurance. Permite o acesso baseado em controlos de autorização e autenticação de identidade nos serviços cloud para proteger dados e recursos, e para decidir quais pedidos devem ser permitidos.It enables access based on identity authentication and authorization controls in cloud services to protect data and resources and to decide which requests should be permitted.

A gestão de identidades e acessos (IAM) é um limite de segurança na cloud pública.Identity and access management (IAM) is boundary security in the public cloud. Tem de ser tratada como a base de uma arquitetura de cloud pública segura e totalmente compatível.It must be treated as the foundation of any secure and fully compliant public cloud architecture. O Azure oferece um conjunto abrangente de serviços, ferramentas e arquiteturas de referência para permitir que as organizações tornem ambientes altamente seguros e operacionalmente eficientes, conforme aqui descrito.Azure offers a comprehensive set of services, tools, and reference architectures to enable organizations to make highly secure, operationally efficient environments as outlined here.

Esta secção examina considerações de conceção e recomendações relacionadas com o IAM num ambiente empresarial.This section examines design considerations and recommendations related to IAM in an enterprise environment.

Por que precisamos de gestão de identidade e acessoWhy we need identity and access management

A paisagem tecnológica da empresa está a tornar-se complexa e heterogénea.The technological landscape in the enterprise is becoming complex and heterogenous. Para gerir a conformidade e a segurança deste ambiente, o IAM permite que os indivíduos certos acedam aos recursos certos no momento certo pelas razões certas.To manage compliance and security for this environment, IAM enables the right individuals to access the right resources at the right time for the right reasons.

Planear a gestão de identidades e acessosPlan for identity and access management

Normalmente, as organizações empresariais seguem uma abordagem de privilégio mínimo no acesso operacional.Enterprise organizations typically follow a least-privileged approach to operational access. Este modelo deve ser expandido para ter em consideração o Azure através de definições de funções personalizadas e controlo de acesso baseado em funções (RBAC) do Azure Active Directory (Azure AD).This model should be expanded to consider Azure through Azure Active Directory (Azure AD) role-based access control (RBAC) and custom role definitions. É fundamental planear como governar o controlo e o acesso de dados-planos aos recursos em Azure.It's critical to plan how to govern control- and data-plane access to resources in Azure. Qualquer design para IAM e RBAC tem de cumprir os requisitos operacionais, de segurança e regulamentares antes de poder ser aceite.Any design for IAM and RBAC must meet regulatory, security, and operational requirements before it can be accepted.

A gestão de identidades e acessos é um processo de vários passos que envolve o planeamento cuidadoso da integração da identidade e outras considerações de segurança, como o bloqueio da autenticação legada e o planeamento de palavras-passe modernas.Identity and access management is a multistep process that involves careful planning for identity integration and other security considerations, such as blocking legacy authentication and planning for modern passwords. O planeamento faseado também envolve a seleção da gestão de identidades e acessos empresa-empresa ou empresa-consumidor.Staging planning also involves selection of business-to-business or business-to-consumer identity and access management. Embora estes requisitos variem, existem recomendações e considerações de design comuns a considerar para uma zona de destino empresarial.While these requirements vary, there are common design considerations and recommendations to consider for an enterprise landing zone.

Diagrama a mostrar a gestão de identidades e acessos.

Figura 1: Gestão de identidade e acesso.Figure 1: Identity and access management.

Considerações de conceção:Design considerations:

  • Existem limites em relação ao número de funções personalizadas e atribuições de funções que têm de ser consideradas quando se estabelece uma estrutura em torno da IAM e governação.There are limits around the number of custom roles and role assignments that must be considered when you lay down a framework around IAM and governance. Para mais informações, consulte os limites de serviço do Azure RBAC.For more information, see Azure RBAC service limits.
  • Existe um limite de 2000 atribuições de funções RBAC personalizadas por subscrição.There's a limit of 2,000 custom RBAC role assignments per subscription.
  • Existe um limite de 500 atribuições de funções RBAC personalizadas por grupo de gestão.There's a limit of 500 custom RBAC role assignments per management group.
  • Centralizado contra a posse de recursos federados:Centralized versus federated resource ownership:
    • Os recursos partilhados ou qualquer aspeto do ambiente que implementa ou impõe um limite secundário, como a rede, têm de ser geridos centralmente.Shared resources or any aspect of the environment that implements or enforces a security boundary, such as the network, must be managed centrally. Este requisito faz parte de muitas arquiteturas regulamentares.This requirement is part of many regulatory frameworks. É uma prática padrão para qualquer organização que concede ou nega acesso a recursos empresariais críticos ou confidenciais.It's standard practice for any organization that grants or denies access to confidential or critical business resources.
    • A gestão de recursos de aplicações que não violam os limites de segurança ou outros aspetos necessários para manter a segurança e conformidade pode ser delegada a equipas de aplicações.Managing application resources that don't violate security boundaries or other aspects required to maintain security and compliance can be delegated to application teams. Permitir que os utilizadores aprovisionem recursos num ambiente gerido com segurança permite que as organizações tirem partido da natureza ágil da cloud ao mesmo tempo que evitam a violação de qualquer limite crítico de governação ou segurança.Allowing users to provision resources within a securely managed environment allows organizations to take advantage of the agile nature of the cloud while preventing the violation of any critical security or governance boundary.

Recomendações de design:Design recommendations:

  • Utilize o Azure AD RBAC para gerir o acesso de data-plane aos recursos, sempre que possível.Use Azure AD RBAC to manage data-plane access to resources, where possible. Os exemplos são o Azure Key Vault, uma conta de armazenamento ou uma base de dados SQL.Examples are Azure Key Vault, a storage account, or a SQL database.
  • Implemente as políticas de acesso condicional do Azure AD para qualquer utilizador com direitos para ambientes do Azure.Deploy Azure AD conditional-access policies for any user with rights to Azure environments. Fazê-lo proporciona outro mecanismo para ajudar a proteger um ambiente controlado do Azure contra acessos não autorizados.Doing so provides another mechanism to help protect a controlled Azure environment from unauthorized access.
  • Impor a autenticação de vários fatores para qualquer utilizador com direitos sobre os ambientes Azure.Enforce multi-factor authentication for any user with rights to the Azure environments. A imposição da autenticação multifator é um requisito de muitas arquiteturas de conformidade.Multi-factor authentication enforcement is a requirement of many compliance frameworks. Reduz consideravelmente o risco de roubo de credenciais e acessos não autorizados.It greatly lowers the risk of credential theft and unauthorized access.
  • Utilize a Azure AD Gestão de Identidade Privilegiada (PIM) para estabelecer zero acesso permanente e menos privilégio.Use Azure AD Privileged Identity Management (PIM) to establish zero standing access and least privilege. Mapeie as funções da sua organização ao nível de acesso mínimo necessário.Map your organization's roles to the minimum level of access needed. O Azure AD PIM pode ser uma extensão das ferramentas e processos existentes, usar ferramentas nativas do Azure como delineado, ou usar ambas as coisas conforme necessário.Azure AD PIM can either be an extension of existing tools and processes, use Azure native tools as outlined, or use both as needed.
  • Utilize grupos apenas do Azure AD para recursos do plano de controlo do Azure no Azure AD PIM quando conceder acesso aos recursos.Use Azure-AD-only groups for Azure control-plane resources in Azure AD PIM when you grant access to resources.
    • Adicione grupos no local ao grupo apenas do Azure AD se um sistema de gestão de grupo já estiver em vigor.Add on-premises groups to the Azure-AD-only group if a group management system is already in place.
  • Utilize as revisões de acesso do Azure AD PIM para validar periodicamente os direitos de recursos.Use Azure AD PIM access reviews to periodically validate resource entitlements. As revisões de acesso fazem parte de muitas arquiteturas de conformidade.Access reviews are part of many compliance frameworks. Como resultado, muitas organizações já terão um processo em curso para responder a esta exigência.As a result, many organizations will already have a process in place to address this requirement.
  • Integre os registos AD do Azure com o Azure Monitorcentral da plataforma .Integrate Azure AD logs with the platform-central Azure Monitor. O Azure Monitor permite uma versão única em torno dos dados de registo e monitorização no Azure, o que dá às organizações opções nativas de cloud para cumprir os requisitos em torno da retenção e recolha de registos.Azure Monitor allows for a single source of truth around log and monitoring data in Azure, which gives organizations cloud-native options to meet requirements around log collection and retention.
  • Se existirem requisitos de soberania de dados, podem ser implementadas políticas de utilizador personalizadas para as impor.If any data sovereignty requirements exist, custom user policies can be deployed to enforce them.
  • Utilize definições de funções RBAC personalizadas dentro do inquilino AZure AD enquanto considera as seguintes funções-chave:Use custom RBAC role definitions within the Azure AD tenant while you consider the following key roles:
FunçãoRole UtilizaçãoUsage AçõesActions Sem açõesNo actions
Proprietário da plataforma Azure (como o papel do Proprietário incorporado)Azure platform owner (such as the built-in Owner role) Gestão de grupos e gestão de ciclo de vida por subscriçãoManagement group and subscription lifecycle management *
Gestão de redes (NetOps)Network management (NetOps) Gestão global da conectividade em toda a plataforma: redes virtuais, UDRs, NSGs, NVAs, VPN, Azure ExpressRoute, entre outrosPlatform-wide global connectivity management: virtual networks, UDRs, NSGs, NVAs, VPN, Azure ExpressRoute, and others */read, Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/**/read, Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
Operações de segurança (SecOps)Security operations (SecOps) Papel de administrador de segurança com uma visão horizontal em toda a propriedade Azure e a política de purga de Azure Key VaultSecurity administrator role with a horizontal view across the entire Azure estate and the Azure Key Vault purge policy */read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/**/read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/*
Proprietário de assinaturaSubscription owner Papel delegado para proprietário de subscrição derivado da função de proprietário de subscriçãoDelegated role for subscription owner derived from subscription Owner role * Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
Proprietários de aplicações (DevOps/AppOps)Application owners (DevOps/AppOps) Papel contributivo concedido para a equipa de aplicação/operações a nível do grupo de recursosContributor role granted for application/operations team at resource group level * Microsoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/actionMicrosoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/action
  • Utilize o acesso just-in-time do Centro de Segurança do Azure para todos os recursos de infraestrutura como um serviço (IaaS) para permitir a proteção ao nível da rede para acesso efémero de utilizadores a máquinas virtuais IaaS.Use Azure Security Center just-in-time access for all infrastructure as a service (IaaS) resources to enable network-level protection for ephemeral user access to IaaS virtual machines.
  • Utilize as identidades geridas do Azure AD para recursos do Azure para evitar a autenticação baseada em nomes de utilizador e palavras-passe.Use Azure-AD-managed identities for Azure resources to avoid authentication based on user names and passwords. Dado que muitas violações de segurança dos recursos de cloud pública têm origem no roubo de credenciais incorporadas em código ou outras origens de texto, a imposição de identidades geridas para acesso programático reduz significativamente o risco de roubo de credenciais.Because many security breaches of public cloud resources originate with credential theft embedded in code or other text sources, enforcing managed identities for programmatic access greatly reduces the risk of credential theft.
  • Utilize identidades privilegiadas para runbooks de automatização que requerem permissões de acesso elevadas.Use privileged identities for automation runbooks that require elevated access permissions. Os fluxos de trabalho automatizados que violem limites críticos de segurança devem ser regidos pelas mesmas ferramentas e políticas que os utilizadores de privilégios equivalentes são.Automated workflows that violate critical security boundaries should be governed by the same tools and policies users of equivalent privilege are.
  • Não adicione utilizadores diretamente aos âmbitos de recursos do Azure.Don't add users directly to Azure resource scopes. Em vez disso, adicione os utilizadores a funções definidas, que são então atribuídas a âmbitos de recursos.Instead add users to defined roles, which are then assigned to resource scopes. As atribuições diretas dos utilizadores contornam a gestão centralizada, aumentando consideravelmente a gestão necessária para impedir o acesso não autorizado a dados restritos.Direct user assignments circumvent centralized management, greatly increasing the management required to prevent unauthorized access to restricted data.

Planear a autenticação numa zona de destinoPlan for authentication inside a landing zone

Uma decisão de design crítica que uma organização empresarial tem de tomar quando adota o Azure é se deve expandir um domínio de identidade no local existente para o Azure ou criar um novo domínio.A critical design decision that an enterprise organization must make when adopting Azure is whether to extend an existing on-premises identity domain into Azure or to create a brand new one. Os requisitos de autenticação na zona de destino devem ser cuidadosamente avaliados e incorporados nos planos de implementação do Active Directory Domain Services (AD DS) no Windows Server, Azure AD Domain Services (Azure AD DS) ou ambos.Requirements for authentication inside the landing zone should be thoroughly assessed and incorporated into plans to deploy Active Directory Domain Services (AD DS) in Windows Server, Azure AD Domain Services (Azure AD DS), or both. A maioria dos ambientes do Azure utilizará pelo menos o Azure AD para autenticação dos recursos de infraestrutura do Azure e autenticação do anfitrião local do AD DS e gestão de políticas de grupo.Most Azure environments will use at least Azure AD for Azure fabric authentication and AD DS local host authentication and group policy management.

Considerações de conceção:Design considerations:

  • Considere as responsabilidades delegadas e centralizadas para gerir os recursos implementados dentro da zona de destino.Consider centralized and delegated responsibilities to manage resources deployed inside the landing zone.
  • As aplicações que dependem de serviços de domínio e utilizam protocolos mais antigos podem utilizar Azure AD DS.Applications that rely on domain services and use older protocols can use Azure AD DS.

Recomendações de design:Design recommendations:

  • Utilize as responsabilidades delegadas e centralizadas para gerir os recursos implementados dentro da zona de destino com base nos requisitos de segurança e função.Use centralized and delegated responsibilities to manage resources deployed inside the landing zone based on role and security requirements.
  • As operações privilegiadas, como a criação de objetos de principal de serviço, registo de aplicações no Azure AD, obtenção e processamento de certificados ou certificados de caráter universal, requerem permissões especiais.Privileged operations such as creating service principal objects, registering applications in Azure AD, and procuring and handling certificates or wildcard certificates require special permissions. Considere que utilizadores irão processar tais pedidos e como proteger e monitorizar as suas contas com o grau de diligência necessário.Consider which users will be handling such requests and how to secure and monitor their accounts with the degree of diligence required.
  • Se uma organização tiver um cenário em que uma aplicação que utilize a autenticação integrada do Windows deve ser acedida remotamente através do Azure AD, considere a utilização da aplicação AD Proxy.If an organization has a scenario where an application that uses integrated Windows authentication must be accessed remotely through Azure AD, consider using Azure AD Application Proxy.
  • Há uma diferença entre Azure AD, Azure AD DS e AD DS em execução no Windows Server.There's a difference between Azure AD, Azure AD DS, and AD DS running on Windows Server. Avalie as necessidades de aplicações, compreenda e documente o fornecedor de autenticação que cada uma utilizará.Evaluate your application needs, and understand and document the authentication provider that each one will be using. Planeie adequadamente para todas as aplicações.Plan accordingly for all applications.
  • Avalie a compatibilidade das cargas de trabalho para o AD DS no Windows Server e Azure AD DS.Evaluate the compatibility of workloads for AD DS on Windows Server and for Azure AD DS.
  • Certifique-se de que o design da sua rede permite recursos que requerem DS AD no Windows Server para autenticação e gestão local para aceder aos controladores de domínio apropriados.Ensure your network design allows resources that require AD DS on Windows Server for local authentication and management to access the appropriate domain controllers.
    • Para o AD DS no Windows Server, considere os ambientes de serviços partilhados que oferecem autenticação local e gestão de anfitrião num contexto de rede maior em toda a empresa.For AD DS on Windows Server, consider shared services environments that offer local authentication and host management in a larger enterprise-wide network context.
  • Implemente o Azure AD na região primária porque este serviço só pode ser criado numa subscrição.Deploy Azure AD DS within the primary region because this service can only be projected into one subscription.
  • Utilize identidades geridas em vez de principais de serviço para autenticação nos serviços do Azure.Use managed identities instead of service principals for authentication to Azure services. Esta abordagem reduz a exposição ao roubo de credenciais.This approach reduces exposure to credential theft.