Identitets- och åtkomsthanteringIdentity and access management

Identitet utgör grunden för en stor procentandel säkerhetsgaranti.Identity provides the basis of a large percentage of security assurance. Den möjliggör åtkomst baserat på kontroller för identitetsautentisering och -auktorisering i molntjänster för att skydda data och resurser och avgöra vilka begäranden som ska tillåtas.It enables access based on identity authentication and authorization controls in cloud services to protect data and resources and to decide which requests should be permitted.

Identitets- och åtkomsthantering (IAM) är gränssäkerhet i det offentliga molnet.Identity and access management (IAM) is boundary security in the public cloud. Den måste behandlas som grunden för en säker offentlig molnarkitektur som följer standard till fullo.It must be treated as the foundation of any secure and fully compliant public cloud architecture. Azure erbjuder en omfattande uppsättning tjänster, verktyg och referensarkitekturer som gör det möjligt för organisationer att skapa mycket säkra och driftseffektiva miljöer enligt beskrivningen här.Azure offers a comprehensive set of services, tools, and reference architectures to enable organizations to make highly secure, operationally efficient environments as outlined here.

I det här avsnittet undersöker vi designöverväganden och rekommendationer som rör IAM i en företagsmiljö.This section examines design considerations and recommendations related to IAM in an enterprise environment.

Varför vi behöver identitets- och åtkomsthanteringWhy we need identity and access management

Företagets tekniska landskap håller på att bli komplext och heterogent.The technological landscape in the enterprise is becoming complex and heterogenous. För att hantera efterlevnad och säkerhet för den här miljön ger IAM rätt personer åtkomst till rätt resurser vid rätt tidpunkt av rätt skäl.To manage compliance and security for this environment, IAM enables the right individuals to access the right resources at the right time for the right reasons.

Planera för identitets- och åtkomsthanteringPlan for identity and access management

Företagsorganisationer följer vanligtvis en metod med lägsta privilegier för driftsåtkomst.Enterprise organizations typically follow a least-privileged approach to operational access. Den här modellen bör utökas för att överväga Azure via Azure Active Directory (Azure AD), rollbaserad åtkomstkontroll i Azure (Azure RBAC) och anpassade rolldefinitioner.This model should be expanded to consider Azure through Azure Active Directory (Azure AD), Azure role-based access control (Azure RBAC), and custom role definitions. Det är viktigt att planera hur du ska styra kontroll- och dataplansåtkomst till resurser i Azure.It's critical to plan how to govern control- and data-plane access to resources in Azure. Alla utformningar för IAM och Azure RBAC måste uppfylla regel-, säkerhets- och driftskrav innan de kan godkännas.Any design for IAM and Azure RBAC must meet regulatory, security, and operational requirements before it can be accepted.

Identitets- och åtkomsthantering är en process i flera steg som inbegriper noggrann planering av identitetsintegrering och andra säkerhetsöverväganden, till exempel att blockera äldre autentisering och planera för moderna lösenord.Identity and access management is a multistep process that involves careful planning for identity integration and other security considerations, such as blocking legacy authentication and planning for modern passwords. Mellanlagringsplaneringen omfattar även val av B2B eller B2C för identitets- och åtkomsthantering.Staging planning also involves selection of business-to-business or business-to-consumer identity and access management. Dessa krav varierar, men det finns vanliga designöverväganden och -rekommendationer för en företagslandningszon.While these requirements vary, there are common design considerations and recommendations to consider for an enterprise landing zone.

Diagram som visar identitets- och åtkomsthantering.

Bild 1: Identitets- och åtkomsthantering.Figure 1: Identity and access management.

Designöverväganden:Design considerations:

  • Det finns gränser för antalet anpassade roller och rolltilldelningar som måste beaktas när du utformar ett ramverk kring IAM och styrning.There are limits around the number of custom roles and role assignments that must be considered when you lay down a framework around IAM and governance. Mer information finns i Tjänstbegränsningar för Azure RBAC.For more information, see Azure RBAC service limits.
  • Det finns en gräns på 2 000 rolltilldelningar per prenumeration.There's a limit of 2,000 role assignments per subscription.
  • Det finns en gräns på 500 rolltilldelningar per hanteringsgrupp.There's a limit of 500 role assignments per management group.
  • Centraliserat jämfört med federerat resursägarskap:Centralized versus federated resource ownership:
    • Delade resurser eller aspekter av miljön som implementerar eller tillämpar en säkerhetsgräns, till exempel nätverket, måste hanteras centralt.Shared resources or any aspect of the environment that implements or enforces a security boundary, such as the network, must be managed centrally. Det här kravet ingår i många regelramverk.This requirement is part of many regulatory frameworks. Det är standardpraxis för organisationer som beviljar eller nekar åtkomst till konfidentiella eller kritiska affärsresurser.It's standard practice for any organization that grants or denies access to confidential or critical business resources.
    • Hantering av programresurser som inte strider mot säkerhetsgränser eller andra aspekter som krävs för att upprätthålla säkerhet och efterlevnad kan delegeras till programteam.Managing application resources that don't violate security boundaries or other aspects required to maintain security and compliance can be delegated to application teams. Genom att tillåta användare att etablera resurser i en säkert hanterad miljö kan organisationer dra nytta av molnets flexibla natur samtidigt som de förhindrar överträdelse av kritiska säkerhets- eller styrningsgränser.Allowing users to provision resources within a securely managed environment allows organizations to take advantage of the agile nature of the cloud while preventing the violation of any critical security or governance boundary.
    • Beroende på definitionen av det centraliserade eller federerade resursägarskapet kan anpassade roller skilja sig åt.Depending on the definition of the centralized or federated resource ownership, custom roles might differ. De anpassade rollerna för det centraliserade resursägarskapet är begränsade och kan behöva ytterligare rättigheter beroende på ansvarsmodellen.The custom roles for the centralized resource ownership are limited and might need additional rights depending on the responsibility model. I vissa organisationer kanske till exempel en NetOps-roll bara behöver hantera och konfigurera globala anslutningar.For example, in some organizations a NetOps role might only need to manage and configure global connectivity. Men i andra organisationer som behöver en mer centraliserad metod måste NetOps-rollen berikas med mer tillåtna åtgärder som att skapa peering-beetween navet och ekrarna.But in other organizations that need a more centralized approach, the NetOps role needs to be enriched with more allowed actions like creating peering beetween the hub and the spokes.

Designrekommendationer:Design recommendations:

  • Använd Azure RBAC för att hantera dataplansåtkomst till resurser där det är möjligt.Use Azure RBAC to manage data-plane access to resources, where possible. Några exempel är Azure Key Vault, ett lagringskonto eller en SQL-databas.Examples are Azure Key Vault, a storage account, or a SQL database.
  • Distribuera principer för villkorsstyrd åtkomst i Azure AD för användare med behörighet till Azure-miljöer.Deploy Azure AD conditional-access policies for any user with rights to Azure environments. Detta ger en till mekanism som bidrar till att skydda en kontrollerad Azure-miljö från obehörig åtkomst.Doing so provides another mechanism to help protect a controlled Azure environment from unauthorized access.
  • Framtvinga multifaktorautentisering för alla användare med behörighet till Azure-miljöer.Enforce multi-factor authentication for any user with rights to the Azure environments. Tillämpning av multifaktorautentisering är ett krav i många efterlevnadsramverk.Multi-factor authentication enforcement is a requirement of many compliance frameworks. Det minskar kraftigt risken för stöld av autentiseringsuppgifter och obehörig åtkomst.It greatly lowers the risk of credential theft and unauthorized access.
  • Använd Azure AD Privileged Identity Management (PIM) för att upprätta noll stående åtkomst och minsta behörighet.Use Azure AD Privileged Identity Management (PIM) to establish zero standing access and least privilege. Mappa organisationens roller till den lägsta åtkomstnivån som behövs.Map your organization's roles to the minimum level of access needed. Azure AD PIM kan antingen vara en förlängning av befintliga verktyg och processer, använda inbyggda Azure-verktyg enligt beskrivningen eller använda båda efter behov.Azure AD PIM can either be an extension of existing tools and processes, use Azure native tools as outlined, or use both as needed.
  • Använd grupper med endast Azure AD för Azure-kontrollplansresurser i Azure AD PIM när du beviljar åtkomst till resurser.Use Azure-AD-only groups for Azure control-plane resources in Azure AD PIM when you grant access to resources.
    • Lägg till lokala grupper i gruppen med endast Azure AD om det redan finns ett grupphanteringssystem.Add on-premises groups to the Azure-AD-only group if a group management system is already in place.
  • Använd Azure AD PIM-åtkomstgranskningar för att regelbundet validera resursberättiganden.Use Azure AD PIM access reviews to periodically validate resource entitlements. Åtkomstgranskningar ingår i många efterlevnadsramverk.Access reviews are part of many compliance frameworks. Därför har många organisationer redan en process för att hantera detta krav.As a result, many organizations will already have a process in place to address this requirement.
  • Integrera Azure AD-loggar med plattformens centrala Azure Monitor.Integrate Azure AD logs with the platform-central Azure Monitor. Azure Monitor tillåter en enda sanningskälla för logg- och övervakningsdata i Azure, vilket ger organisationer molnbaserade alternativ för att uppfylla krav kring logginsamling och -kvarhållning.Azure Monitor allows for a single source of truth around log and monitoring data in Azure, which gives organizations cloud-native options to meet requirements around log collection and retention.
  • Om det finns krav på datasuveränitet kan anpassade användarprinciper distribueras för att tillämpa dem.If any data sovereignty requirements exist, custom user policies can be deployed to enforce them.
  • Använd anpassade rolldefinitioner i Azure AD-klientorganisationen medan du överväger följande viktiga roller:Use custom role definitions within the Azure AD tenant while you consider the following key roles:
RollRole AnvändningUsage ÅtgärderActions Inga åtgärderNo actions
Azure-plattformsägare (till exempel den inbyggda ägarrollen)Azure platform owner (such as the built-in Owner role) Livscykelhantering för hanteringsgrupp och prenumerationManagement group and subscription lifecycle management *
Nätverkshantering (NetOps)Network management (NetOps) Plattformsomfattande global anslutningshantering: virtuella nätverk, UDR:er, NSG:er, NVA:er, VPN, Azure ExpressRoute med meraPlatform-wide global connectivity management: Virtual networks, UDRs, NSGs, NVAs, VPN, Azure ExpressRoute, and others */read, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/**/read, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
Säkerhetsåtgärder (SecOps)Security operations (SecOps) Säkerhetsadministratör roll med en vågrät vy över hela Azure-egendomen och Azure Key Vault rensa principenSecurity administrator role with a horizontal view across the entire Azure estate and the Azure Key Vault purge policy */read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/**/read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/*
PrenumerationsägareSubscription owner Delegerad roll för prenumerationsägare som härletts från rollen prenumerationsägareDelegated role for subscription owner derived from subscription Owner role * Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
Programägare (DevOps/AppOps)Application owners (DevOps/AppOps) Deltagarroll beviljad för program-/driftteam på resursgruppsnivåContributor role granted for application/operations team at resource group level * Microsoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/actionMicrosoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/action
  • Använd Azure Security Centers just-in-time-åtkomst för alla IaaS-resurser (infrastruktur som en tjänst) för att aktivera skydd på nätverksnivå för efemär användaråtkomst till virtuella IaaS-datorer.Use Azure Security Center just-in-time access for all infrastructure as a service (IaaS) resources to enable network-level protection for ephemeral user access to IaaS virtual machines.
  • Använd Azure AD-hanterade identiteter för Azure-resurser för att undvika autentisering baserat på användarnamn och lösenord.Use Azure AD managed identities for Azure resources to avoid authentication based on user names and passwords. Eftersom många säkerhetsöverträdelser av offentliga molnresurser har sitt ursprung i stöld av autentiseringsuppgifter som är inbäddad i kod eller andra textkällor minskar tillämpning av hanterade identiteter för programmatisk åtkomst kraftigt risken för stöld av autentiseringsuppgifter.Because many security breaches of public cloud resources originate with credential theft embedded in code or other text sources, enforcing managed identities for programmatic access greatly reduces the risk of credential theft.
  • Använd privilegierade identiteter för automation-runbooks som kräver utökade åtkomstbehörigheter.Use privileged identities for automation runbooks that require elevated access permissions. Automatiserade arbetsflöden som bryter mot kritiska säkerhetsgränser bör styras av samma verktyg och principer som användare med motsvarande behörighet.Automated workflows that violate critical security boundaries should be governed by the same tools and policies users of equivalent privilege are.
  • Lägg inte till användare direkt i Azure-resursomfattningar.Don't add users directly to Azure resource scopes. Lägg i stället till användare i definierade roller som sedan tilldelas till resursomfattningar.Instead add users to defined roles, which are then assigned to resource scopes. Direkta användartilldelningar kringgår centraliserad hantering, vilket kraftigt ökar den hantering som krävs för att förhindra obehörig åtkomst till begränsade data.Direct user assignments circumvent centralized management, greatly increasing the management required to prevent unauthorized access to restricted data.

Planera för autentisering i en landningszonPlan for authentication inside a landing zone

Ett viktigt designbeslut som en företagsorganisation måste fatta när de börjar använda Azure är om de ska utöka en befintlig lokal identitetsdomän till Azure eller skapa en helt ny.A critical design decision that an enterprise organization must make when adopting Azure is whether to extend an existing on-premises identity domain into Azure or to create a brand new one. Krav på autentisering i landningszonen bör utvärderas noggrant och införlivas i planer för att distribuera Active Directory Domain Services (AD DS) i Windows Server, Azure AD Domain Services (Azure AD DS) eller båda.Requirements for authentication inside the landing zone should be thoroughly assessed and incorporated into plans to deploy Active Directory Domain Services (AD DS) in Windows Server, Azure AD Domain Services (Azure AD DS), or both. De flesta Azure-miljöer använder minst Azure AD för Azure-infrastrukturautentisering och lokal värdautentisering med AD DS och grupprinciphantering.Most Azure environments will use at least Azure AD for Azure fabric authentication and AD DS local host authentication and group policy management.

Designöverväganden:Design considerations:

  • Överväg centraliserade och delegerade ansvarsområden för att hantera resurser som distribueras i landningszonen.Consider centralized and delegated responsibilities to manage resources deployed inside the landing zone.
  • Program som förlitar sig på domäntjänster och använder äldre protokoll kan använda Azure AD DS.Applications that rely on domain services and use older protocols can use Azure AD DS.

Designrekommendationer:Design recommendations:

  • Använd centraliserade och delegerade ansvarsområden för att hantera resurser som distribueras i landningszonen baserat på roll- och säkerhetskrav.Use centralized and delegated responsibilities to manage resources deployed inside the landing zone based on role and security requirements.
  • Privilegierade åtgärder som att skapa objekt för tjänstens huvudnamn, registrera program i Azure AD och anskaffa och hantera certifikat eller jokerteckencertifikat kräver särskilda behörigheter.Privileged operations such as creating service principal objects, registering applications in Azure AD, and procuring and handling certificates or wildcard certificates require special permissions. Överväg vilka användare som kommer att hantera sådana begäranden och hur du kan skydda och övervaka deras konton med den noggrannhet som krävs.Consider which users will be handling such requests and how to secure and monitor their accounts with the degree of diligence required.
  • Om en organisation har ett scenario där ett program som använder integrerad Windows-autentisering måste fjärranslutas via Azure AD kan du överväga att använda Azure AD Programproxy.If an organization has a scenario where an application that uses integrated Windows authentication must be accessed remotely through Azure AD, consider using Azure AD Application Proxy.
  • Det finns en skillnad mellan Azure AD, Azure AD DS och AD DS som körs på Windows Server.There's a difference between Azure AD, Azure AD DS, and AD DS running on Windows Server. Utvärdera dina programbehov och undersök och dokumentera autentiseringsprovidern som vart och ett kommer att använda.Evaluate your application needs, and understand and document the authentication provider that each one will be using. Planera utifrån detta för alla program.Plan accordingly for all applications.
  • Utvärdera arbetsbelastningars kompatibilitet för AD DS på Windows Server och för Azure AD DS.Evaluate the compatibility of workloads for AD DS on Windows Server and for Azure AD DS.
  • Se till att nätverksdesignen tillåter att resurser som kräver AD DS på Windows Server för lokal autentisering och hantering får åtkomst till lämpliga domänkontrollanter.Ensure your network design allows resources that require AD DS on Windows Server for local authentication and management to access the appropriate domain controllers.
    • För AD DS på Windows Server kan du överväga miljöer med delade tjänster som erbjuder lokal autentisering och värdhantering i ett större företagsomfattande nätverkssammanhang.For AD DS on Windows Server, consider shared services environments that offer local authentication and host management in a larger enterprise-wide network context.
  • Distribuera Azure AD DS i den primära regionen eftersom den här tjänsten endast kan projiceras i en prenumeration.Deploy Azure AD DS within the primary region because this service can only be projected into one subscription.
  • Använd hanterade identiteter i stället för tjänstens huvudnamn för autentisering till Azure-tjänster.Use managed identities instead of service principals for authentication to Azure services. Den här metoden minskar exponeringen för stöld av autentiseringsuppgifter.This approach reduces exposure to credential theft.