Överväganden för identitets- och åtkomsthantering i Azure

  • Artikel
  • 2 minuter för att läsa
  • Definiera tydliga ansvarsrader och ansvarsfördelning för varje funktion. Begränsa åtkomsten baserat på grundläggande säkerhetsprinciper för behov och minsta behörighet.
  • Tilldela behörigheter till användare, grupper och program i ett visst omfång via Azure RBAC. Använd inbyggda roller när det är möjligt.
  • Förhindra borttagning eller ändring av en resurs, resursgrupp eller prenumeration via hanteringslås.
  • Använda hanterade identiteter för att få åtkomst till resurser i Azure.
  • Stöd för en enskild företagskatalog. Håll molnkatalogerna och de lokala katalogerna synkroniserade, förutom konton med kritisk påverkan.
  • Konfigurera villkorsstyrd åtkomst för Azure AD. Framtvinga och mät viktiga säkerhetsattribut vid autentisering av alla användare, särskilt för konton med kritisk påverkan.
  • Ha en separat identitetskälla för icke-anställda.
  • Använd helst lösenordslösa metoder eller välj moderna lösenordsmetoder.
  • Blockera äldre protokoll och autentiseringsmetoder.

Benchmark för Azure-säkerhet

Azure Security Benchmark innehåller en samling säkerhetsrekommendationer med hög inverkan som du kan använda för att skydda de tjänster som du använder i Azure:

Benchmark för säkerhet Frågorna i det här avsnittet är anpassade till Identitet för benchmark-identitet för Azure-säkerhet och Access Control.

Azure-tjänster för identitet

Övervägandena och metodtipsen i det här avsnittet baseras på dessa Azure-tjänster:

Referensarkitektur

Här är några referensarkitekturer som rör identitets- och åtkomsthantering:

Integrera lokala AD-domäner med Azure AD

Integrera lokala AD med Azure

Nästa steg

Övervaka kommunikationen mellan segment. Använd data för att identifiera avvikelser, ställa in aviseringar eller blockera trafik för att minska risken för att angripare passerar segmenteringsgränser.

Nätverksrelaterade risker

Fem steg för att skydda din identitetsinfrastruktur

Gå tillbaka till huvudartikeln: Säkerhet

De flesta arkitekturer har delade tjänster som är värdar och nås mellan nätverk. Dessa tjänster delar samma infrastruktur och användarna behöver åtkomst till resurser och data var de än är. För sådana arkitekturer är ett vanligt sätt att skydda resurser att använda nätverkskontroller. Men det räcker inte.

Ge säkerhetskontroll genom identitetshantering:processen att autentisera och auktorisera säkerhetsobjekt. Använd identitetshanteringstjänster för att autentisera och bevilja behörighet till användare, partner, kunder, program, tjänster och andra entiteter.

Checklista

Hur hanterar du identiteten för din arbetsbelastning?