Azure denetim düzlemi güvenliği

  • Makale
  • Okumak için 3 dakika

Azure rol tabanlı erişim denetimi (Azure RBAC), yönetim ve uygulama altyapısına erişim sorunlarının ayrılmasını sağlamak için gerekli araçları sağlar. Ayrıntılı düzeyde kaynaklara kimlerin erişebileceğini ve bu kaynaklarla neler yapabileceğini belirleyin. Örnek:

  • Geliştiriciler üretim altyapısına erişemez.
  • Yalnızca SecOps ekibi Key Vault gizli dizileri okuyabilir ve yönetebilir.
  • birden çok ekip varsa, bir takım Project kaynak grubuna ve içindeki tüm kaynaklara erişebilir ve bunları yönetebilir.

Görev Rollere en az ayrıcalıkla başlayan uygun izinleri verin ve çalışma gereksinimlerinize göre daha fazla bilgi ekleyin. İzinleri uygulayan teknik ekiplerinize açık bir kılavuzluk sağlar. Bu açıklık, algılama ve düzeltme işlemlerini daha kolay hale getirir ve bu da aşırı izinleri azaltır.

Azure RBAC, bu ayrımı yönetmenize yardımcı olur. Kullanıcılara, gruplara ve uygulamalara belirli bir kapsamdaki izinleri atayabilirsiniz. Rol atamasının kapsamı abonelik, kaynak grubu veya tek bir kaynak olabilir. Ayrıntılar için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC).

  • Her bir abonelik için tek tek abonelikler yerine yönetim grubuna izinler atayın ve gelecekteki aboneliklere uygulama sağlayın.
  • Kaynaklara ve diğer nesnelere uygun izinleri vermek için özel roller oluşturmadan önce yerleşik rolleri göz önünde bulundurun.

Örneğin, risk faktörlerini değerlendirmek için gereken erişim sağlayan güvenlik okuyucuları iznine sahip güvenlik ekipleri atayın, verilere erişim sağlamamak zorunda kalmadan olası azaltmaları belirler.

Önemli

Güvenlik ekiplerini kritik hesap olarak değerlendirin ve yöneticilerle aynı korumalarını uygulayın.

Daha fazla bilgi edinin

Azure RBAC belgeleri

Yönetim kilitleri

Altyapının kritik bölümlerine kaynak kilitleri uygulandı mı?

Azure rol tabanlı erişim denetimi 'nin aksine, yönetim kilitleri tüm kullanıcılar ve roller arasında bir kısıtlama uygulamak için kullanılır.

Kritik altyapı genellikle genellikle değişmez. Bir kaynağın, kaynak grubunun veya aboneliğin silinmesini veya değiştirilmesini engellemek için yönetim kilitlerini kullanın. Yalnızca belirli rollerin ve izin içeren kullanıcıların silebilir veya kaynakları değiştirebildiği durumlarda kilit kullanın.

Bir yönetici olarak kuruluşunuzdaki diğer kullanıcıların kritik kaynakları yanlışlıkla silmesini veya değiştirmesini önlemek için bir aboneliği, kaynak grubunu veya kaynağı kilitlemeniz gerekebilir. Kilit düzeyini CanNotDelete veya ReadOnly olarak ayarlayabilirsiniz. Portalda, kilitler sırasıyla silme ve salt okumaolarak adlandırılır:

  • Cannotdelete , yetkili kullanıcıların bir kaynağı hala okuyabilecekleri ve değiştirebilecekleri anlamına gelir, ancak kaynakları silemez.
  • ReadOnly , yetkili kullanıcıların bir kaynağı okuyabilecekleri anlamına gelir, ancak kaynakları silemez veya güncelleştiremez. Bu kilidi uygulamak, tüm yetkili kullanıcıları okuyucu rolü tarafından verilen izinlerle kısıtlamak için benzerdir.

Üst kapsamda bir kilit uyguladığınızda, bu kapsamdaki tüm kaynaklar aynı kilidi alır. Daha sonra eklediğiniz kaynaklar bile kilidi üst öğeden alır. Devralmada en kısıtlayıcı kilit öncelik kazanır.

Rol tabanlı erişim denetiminin aksine, yönetim kilitlerini tüm kullanıcılar ve rollere kısıtlama getirmek için kullanırsınız. Kullanıcılar ve roller için izinleri ayarlama hakkında bilgi edinmek için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC).

Kritik altyapıyı belirleyip kaynak kilidi uygunluk sonucunu değerlendirin.

değişiklik kilitleri bazen otomasyonu engelleyebileceğinden DevOps işlemindeki kilitleri dikkatle ayarlayın. Bu blokların ve önemli noktaların örnekleri için bkz. kilitleri uygulamadan önce dikkat edilecek noktalar.

Önerilen Eylemler

  • Uygulama altyapısı erişimini yalnızca CI/CD 'ye kısıtla.
  • Microsoft Azure yönetimine erişimi kısıtlamak için koşullu erişim ilkelerini kullanın.
  • Azure AD'de rol tabanlı ve kaynak tabanlı yetkilendirmeyi yapılandırın.

Daha fazla bilgi edinin

Sonraki adımlar

Erişimcinin istenen eylemi gerçekleştirmek için gerekli izinlere sahip olup olmadığını doğrulayarak bir sisteme erişim izni verin veya erişimi engelleyin.

Kimlik Doğrulaması

Ana makaleye geri dönün: Azure kimlik ve erişim yönetimi konuları

Denetim düzlemi , aboneliğinizdeki kaynakların yönetimine başvurur. Bu etkinlikler, teknik ekibin gerektirdiği şekilde Azure kaynaklarını oluşturma, güncelleştirme ve silme işlemlerini içerir.

Azure Resource Manager tüm denetim düzlemi isteklerini işler ve Azure rol tabanlı erişim denetimi (Azure RBAC), Azure Ilkesi, kilitler aracılığıyla belirttiğiniz kısıtlamaları uygular. Bu kısıtlamaları kuruluşun gereksinimine göre uygulayın.

Altyapıyı kod olarak uygulamak ve otomasyon ile uygulama altyapısını dağıtmak ve tutarlılık ve denetim amacıyla CI/CD 'nin dağıtılması önerilir.

Önemli noktalar

  • Erişimi, ihtiyaç duyulan ve en az ayrıcalık güvenlik ilkelerine göre kısıtlayın.
  • Azure RBAC aracılığıyla belirli bir kapsamdaki kullanıcılara, gruplara ve uygulamalara izinler atayın.
  • Mümkün olduğunda yerleşik roller kullanın.
  • Yönetim kilitleri aracılığıyla bir kaynağın, kaynak grubunun veya aboneliğin silinmesini veya değiştirilmesini engelleyin.
  • Geliştirme ve test ortamları için CI/CD işlem hattınızda daha az kritik denetim kullanın.

Roller ve izin ataması

İş yükü altyapısı Azure rol tabanlı erişim denetimi (Azure RBAC) ile korunuyor mu?