Säkerhet för Kontrollplan i Azure

  • Artikel
  • 3 minuter för att läsa

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) tillhandahåller de verktyg som behövs för att upprätthålla uppdelningen av problem för administration och åtkomst till programinfrastrukturen. Bestäm vem som har åtkomst till resurser på detaljerad nivå och vad de kan göra med dessa resurser. Till exempel:

  • Utvecklare kan inte komma åt produktionsinfrastrukturen.
  • Endast SecOps-teamet kan läsa och hantera Key Vault hemligheter.
  • Om det finns flera team kan Project ett team komma åt och hantera resursgrupp A och alla resurser i gruppen.

Uppgift Bevilja roller lämpliga behörigheter som börjar med minsta behörighet och lägg till fler baserat på dina operativa behov. Ge tydliga riktlinjer till dina tekniska team som implementerar behörigheter. Den här klarheten gör det enklare att identifiera och korrigera, vilket minskar mänskliga fel, till exempel överbehörighet.

Azure RBAC hjälper dig att hantera den separationen. Du kan tilldela behörigheter till användare, grupper och program i ett visst omfång. Omfånget för en rolltilldelning kan vara en prenumeration, en resursgrupp eller en enskild resurs. Mer information finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC).

  • Tilldela behörigheter till hanteringsgruppen i stället för enskilda prenumerationer för att öka konsekvensen och säkerställa att framtida prenumerationer tillämpas.
  • Överväg de inbyggda rollerna innan du skapar anpassade roller för att ge lämpliga behörigheter till resurser och andra objekt.

Tilldela till exempel säkerhetsteam med behörigheten Säkerhetsläsare som ger åtkomst som behövs för att utvärdera riskfaktorer, identifiera potentiella åtgärder, utan att ge åtkomst till data.

Viktigt

Hantera säkerhetsteam som kritiska konton och tillämpa samma skydd som administratörer.

Läs mer

Dokumentation om Azure RBAC

Hanteringslås

Tillämpas resurslås på kritiska delar av infrastrukturen?

Till skillnad från rollbaserad åtkomstkontroll i Azure används hanteringslås för att tillämpa en begränsning för alla användare och roller.

Kritisk infrastruktur ändras vanligtvis inte ofta. Använd hanteringslås för att förhindra borttagning eller ändring av en resurs, resursgrupp eller prenumeration. Lås i användningsfall där endast specifika roller och användare med behörighet kan ta bort eller ändra resurser.

Som administratör kan du behöva låsa en prenumeration, resursgrupp eller resurs för att förhindra att andra användare i organisationen av misstag tar bort eller ändrar viktiga resurser. Du kan ange låsnivån till CanNotDelete eller ReadOnly. I portalen kallas låsen Ta bortrespektiveSkrivskyddade:

  • CanNotDelete innebär att behöriga användare fortfarande kan läsa och ändra en resurs, men de kan inte ta bort resursen.
  • ReadOnly innebär att behöriga användare kan läsa en resurs, men de kan inte ta bort eller uppdatera resursen. Att tillämpa det här låset liknar att begränsa alla behöriga användare till de behörigheter som beviljas av rollen Läsare.

När du tillämpar ett lås i ett överordnat omfång ärver alla resurser inom det omfånget samma lås. Även resurser som du lägger till senare ärver låset från den överordnade. Det mest restriktiva låset i arvet har företräde.

Till skillnad från rollbaserad åtkomstkontroll använder du hanteringslås för att tillämpa en begränsning för alla användare och roller. Mer information om hur du anger behörigheter för användare och roller finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC).

Identifiera kritisk infrastruktur och utvärdera lämpligheten för resurslås.

Ange lås i DevOps-processen noggrant eftersom ändringslås ibland kan blockera automatisering. Exempel på dessa block och överväganden finns i Överväganden innan du tillämpar lås.

Föreslagna åtgärder

  • Begränsa programinfrastrukturåtkomsten till endast CI/CD.
  • Använd principer för villkorlig åtkomst för att begränsa åtkomsten till Microsoft Azure Management.
  • Konfigurera rollbaserad och resursbaserad auktorisering i Azure AD.

Läs mer

Nästa steg

Bevilja eller neka åtkomst till ett system genom att verifiera om åtkomstorn har behörighet att utföra den begärda åtgärden.

Autentisering

Tillbaka till huvudartikeln: Överväganden för identitets- och åtkomsthantering i Azure

Termen kontrollplan avser hanteringen av resurser i din prenumeration. Dessa aktiviteter omfattar att skapa, uppdatera och ta bort Azure-resurser efter behov av det tekniska teamet.

Azure Resource Manager hanterar alla kontrollplansbegäranden och tillämpar begränsningar som du anger via azure-rollbaserad åtkomstkontroll (Azure RBAC), Azure Policy, lås. Tillämpa dessa begränsningar baserat på organisationens krav.

Vi rekommenderar att du implementerar infrastruktur som kod och distribuerar programinfrastruktur via automatisering och CI/CD för konsekvens- och granskningsändamål.

Huvudpunkter

  • Begränsa åtkomsten baserat på en säkerhetsprincip som du behöver känna till och som har minsta behörighet.
  • Tilldela behörigheter till användare, grupper och program i ett visst omfång via Azure RBAC.
  • Använd inbyggda roller när det är möjligt.
  • Förhindra borttagning eller ändring av en resurs, resursgrupp eller prenumeration via hanteringslås.
  • Använd mindre kritisk kontroll i CI/CD-pipelinen för utvecklings- och testmiljöer.

Roll- och behörighetstilldelning

Skyddas arbetsbelastningsinfrastrukturen med rollbaserad åtkomstkontroll i Azure (Azure RBAC)?