Auktorisering med Azure AD

  • Artikel
  • 5 minuter för att läsa

Ge inte permanent åtkomst för kritiska konton och lägre behörigheter när åtkomst inte längre krävs. Några strategier är:

  • Privilegierad just-in-time-åtkomst till Azure AD och Azure-resurser.
  • Tidsbunden åtkomst.
  • Godkännandebaserad åtkomst.
  • Nödläge för åtkomstprocessen för att få åtkomst.

Begränsa skrivåtkomst till produktionssystem till tjänstens huvudnamn. Inga användarkonton ska ha vanlig skrivbehörighet.

Se till att det finns en process för att inaktivera eller ta bort administrativa konton som inte används.

Du kan använda inbyggda alternativ och alternativ från tredje part för att höja åtkomstbehörigheter för minst hög privilegierade om inte alla aktiviteter. Azure AD Privileged Identity Management (Azure AD PIM) är den rekommenderade interna lösningen i Azure.

Mer information om PIM finns i Vad är Azure AD Privileged Identity Management?

Läs mer

Upprätta livscykelhantering för konton med kritisk påverkan

Tillbaka till huvudartikeln: Överväganden för identitets- och åtkomsthantering i Azure

Auktorisering är en process som beviljar eller nekar åtkomst till ett system genom att verifiera om åtkomstorn har behörighet att utföra den begärda åtgärden. Åtkomstorn i det här sammanhanget är arbetsbelastningen (molnprogrammet) eller användaren av arbetsbelastningen. Åtgärden kan vara i drift eller relaterad till resurshantering. Det finns två huvudsakliga metoder för auktorisering: rollbaserad och resursbaserad. Båda kan konfigureras med Azure AD.

Huvudpunkter

  • Använd en blandning av rollbaserad och resursbaserad auktorisering. Börja med principen om minsta behörighet och lägg till fler åtgärder baserat på dina behov.
  • Definiera tydliga ansvarsrader och ansvarsfördelning för programroller och de resurser som kan hanteras. Överväg åtkomstnivåerna för varje driftfunktion, till exempel behörigheter som krävs för att publicera produktionsutgåv, komma åt kunddata och manipulera databasposter.
  • Ge inte permanent åtkomst för kritiska konton. Utöka åtkomstbehörigheter som baseras på godkännande och är tidsbundna med Hjälp av Azure AD Privileged Identity Management (Azure AD PIM).|

Rollbaserad auktorisering

Den här metoden auktoriserar en åtgärd baserat på den roll som tilldelats en användare. Vissa åtgärder kräver till exempel en administratörsroll.

En roll är en uppsättning behörigheter. Administratörsrollen har till exempel behörighet att utföra alla läs-, skriv- och borttagningsåtgärder. Rollen har också ett omfång. Omfånget anger de hanteringsgrupper, prenumerationer eller resursgrupper där rollen får fungera.

Genom att tillämpa konsekventa behörigheter på resurser via hanteringsgrupper eller resursgrupper minskar spridningen av anpassade, specifika behörigheter per resurs. Anpassade resursbaserade behörigheter är ofta onödiga och kan orsaka förvirring eftersom de inte för sin avsikt till nya liknande resurser. Den här processen kan ackumuleras i en komplex äldre konfiguration som är svår att underhålla eller ändra utan att du behöver bryta något,och påverka både säkerhet och lösningsflexialitet negativt.

När du tilldelar en roll till en användare bör du tänka på vilka åtgärder rollen kan utföra och vad som är omfattningen för dessa åtgärder. Här är några saker att tänka på när det gäller rolltilldelning:

  • Använd inbyggda roller innan du skapar anpassade roller för att bevilja lämpliga behörigheter till virtuella datorer och andra objekt. Du kan tilldela inbyggda roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Mer information finns i Inbyggda roller i Azure.

  • Om du behöver skapa anpassade roller beviljar du roller med lämplig åtgärd. Åtgärder kategoriseras i drift- och dataåtgärder. För att undvika överbehörighet börjar du med åtgärder som har minst behörighet och lägger till mer baserat på dina drift- eller dataåtkomstbehov. Ge tydliga riktlinjer till dina tekniska team som implementerar behörigheter. Mer information finns i Anpassade Azure-roller.

  • Om du har en segmenteringsstrategi tilldelar du behörigheter med ett omfång. Om du till exempel använder hanteringsgrupp som stöd för din strategi anger du omfånget till gruppen i stället för de enskilda prenumerationerna. Detta kommer att öka konsekvensen och säkerställa att programmet tillämpas på framtida prenumerationer. När du tilldelar behörigheter för ett segment bör du tänka på konsekvens samtidigt som du ger flexibilitet att hantera flera organisationsmodeller. Dessa modeller kan vara allt från en enda centraliserad IT-grupp till mestadels oberoende IT- och DevOps-team. Information om hur du tilldelar omfång finns i AssignableScopes.

  • Du kan använda säkerhetsgrupper för att tilldela behörigheter. Det finns dock nackdelar. Det kan bli komplext eftersom arbetsbelastningen måste hålla reda på vilka säkerhetsgrupper som motsvarar vilka programroller, för varje klientorganisation. Dessutom kan åtkomsttoken växa avsevärt och Azure AD innehåller ett "överlagringsanspråk" för att begränsa tokenstorleken. Se Microsofts identitetsplattform åtkomsttoken.

  • I stället för att bevilja behörigheter till specifika användare tilldelar du åtkomst till Azure AD-grupper. Skapa dessutom en omfattande delegeringsmodell som innehåller hanteringsgrupper, prenumerationer eller resursgrupper RBAC. Mer information finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC).

Information om hur du implementerar rollbaserad auktorisering i ett ASP.NET-program finns i Rollbaserad auktorisering.

Läs mer

Resursbaserad auktorisering

Med rollbaserad auktorisering får en användare samma kontrollnivå på en resurs baserat på användarens roll. Det kan dock finnas situationer där du behöver definiera åtkomstbehörigheter per resurs. I en resursgrupp vill du till exempel tillåta att vissa användare tar bort resursen. andra användare kan inte. I sådana situationer använder du resursbaserad auktorisering som auktoriserar en åtgärd baserat på en viss resurs. Varje resurs har en ägare. Ägaren kan ta bort resursen. Deltagare kan läsa och uppdatera men kan inte ta bort den.

Anteckning

Ägar- och deltagarrollerna för en resurs är inte samma som programroller.

Du måste implementera anpassad logik för resursbaserad auktorisering. Den logiken kan vara en mappning av resurser, Azure AD-objekt (som roll, grupp, användare) och behörigheter.

Information och kodexempel om hur du implementerar resursbaserad auktorisering i ett ASP.NET-program finns i Resursbaserad auktorisering.

Auktorisering för kritiska konton

Det kan finnas fall när du behöver göra aktiviteter som kräver åtkomst till viktiga resurser. Dessa resurser kan redan vara tillgängliga för kritiska konton, till exempel ett administratörskonto. Eller så kan du behöva höja behörigheterna tills aktiviteterna har slutförts. Båda metoderna kan medföra betydande risker.

Kritiska konton är sådana som kan ge ett affärskritiskt resultat, oavsett om det är molnadministratörer eller arbetsbelastningsspecifika privilegierade användare. Kompromettering eller missbruk av ett sådant konto kan ha en skadlig inverkan på verksamheten och dess informationssystem. Det är viktigt att identifiera dessa konton och införa processer, inklusive noggrann övervakning och livscykelhantering, inklusive pensionering.

Att skydda privilegierad åtkomst är ett viktigt första steg för att upprätta säkerhetsgarantier för företagstillgångar i en modern organisation. Säkerheten för de flesta eller alla affärstillgångar i en IT-organisation beror på integriteten hos de privilegierade konton som används för att administrera, hantera och utveckla. Cyberattacker riktar sig ofta mot dessa konton och andra element av privilegierad åtkomst för att få åtkomst till data och system med attacker med stöld av autentiseringsuppgifter som Pass-the-Hash och Pass-the-Ticket.

För att skydda privilegierad åtkomst mot angripare måste du använda en fullständig och genomtänkt metod för att isolera dessa system från risker.

Finns det några processer och verktyg som används för att hantera privilegierade aktiviteter?