Práticas de segurança recomendadas
Ao usar o Azure Lighthouse, é importante considerar a segurança e o controle de acesso. Os utilizadores no seu inquilino terão acesso direto a subscrições de clientes e grupos de recursos, pelo que deverá tomar medidas para manter a segurança do seu inquilino. Você também vai querer ter certeza de que só permite o acesso necessário para gerenciar efetivamente os recursos de seus clientes. Este tópico fornece recomendações para ajudá-lo a fazer isso.
Gorjeta
Essas recomendações também se aplicam a empresas que gerenciam vários locatários com o Azure Lighthouse.
Exigir autenticação multifator do Microsoft Entra
A autenticação multifator do Microsoft Entra (também conhecida como verificação em duas etapas) ajuda a impedir que invasores obtenham acesso a uma conta exigindo várias etapas de autenticação. Você deve exigir a autenticação multifator do Microsoft Entra para todos os usuários em seu locatário de gerenciamento, incluindo os usuários que terão acesso aos recursos delegados do cliente.
Recomendamos que você peça aos seus clientes que implementem a autenticação multifator do Microsoft Entra também em seus locatários.
Importante
As políticas de acesso condicional definidas no locatário de um cliente não se aplicam aos usuários que acessam os recursos desse cliente por meio do Azure Lighthouse. Somente as políticas definidas no locatário de gerenciamento se aplicam a esses usuários. É altamente recomendável exigir a autenticação multifator do Microsoft Entra para o locatário gerenciador e o locatário gerenciado (cliente).
Atribuir permissões a grupos, usando o princípio de menor privilégio
Para facilitar o gerenciamento, use os grupos do Microsoft Entra para cada função necessária para gerenciar os recursos de seus clientes. Isso permite adicionar ou remover usuários individuais ao grupo, conforme necessário, em vez de atribuir permissões diretamente a cada usuário.
Importante
Para adicionar permissões para um grupo do Microsoft Entra, o tipo de grupo deve ser definido como Segurança. Esta opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Criar um grupo básico e adicionar membros.
Ao criar sua estrutura de permissões, certifique-se de seguir o princípio do menor privilégio para que os usuários tenham apenas as permissões necessárias para concluir seu trabalho, ajudando a reduzir a chance de erros inadvertidos.
Por exemplo, você pode querer usar uma estrutura como esta:
| Group name | Tipo | principalId | Definição da função | ID de definição de função |
|---|---|---|---|---|
| Arquitetos | Grupo de utilizadores | <principalId> | Contribuidor | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Avaliação | Grupo de utilizadores | <principalId> | Leitor | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Especialistas VM | Grupo de utilizadores | <principalId> | Colaborador VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automatização | Nome da entidade de serviço (SPN) | <principalId> | Contribuidor | b24988ac-6180-42a0-ab88-20f7382dd24c |
Depois de criar esses grupos, você pode atribuir usuários conforme necessário. Adicione apenas os usuários que realmente precisam ter acesso. Certifique-se de revisar a associação ao grupo regularmente e remover todos os usuários que não são mais apropriados ou necessários para incluir.
Lembre-se de que, ao integrar clientes por meio de uma oferta de serviço gerenciado público, qualquer grupo (ou usuário ou entidade de serviço) incluído terá as mesmas permissões para todos os clientes que comprarem o plano. Para atribuir grupos diferentes para trabalhar com cada cliente, você precisará publicar um plano privado separado que seja exclusivo para cada cliente ou integrar clientes individualmente usando modelos do Azure Resource Manager. Por exemplo, você pode publicar um plano público que tenha acesso muito limitado e, em seguida, trabalhar diretamente com o cliente para integrar seus recursos para acesso adicional usando um Modelo de Recursos do Azure personalizado concedendo acesso adicional conforme necessário.
Gorjeta
Você também pode criar autorizações qualificadas que permitem que os usuários em seu locatário de gerenciamento elevem temporariamente sua função. Usando autorizações qualificadas, você pode minimizar o número de atribuições permanentes de usuários para funções privilegiadas, ajudando a reduzir os riscos de segurança relacionados ao acesso privilegiado por usuários em seu locatário. Este recurso tem requisitos de licenciamento específicos. Para obter mais informações, consulte Criar autorizações qualificadas.
Próximos passos
- Analise as informações da linha de base de segurança para entender como as orientações do benchmark de segurança na nuvem da Microsoft se aplicam ao Azure Lighthouse.
- Implante a autenticação multifator do Microsoft Entra.
- Saiba mais sobre as experiências de gerenciamento entre locatários.