Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält umsetzbare Anleitungen zum Sichern von Azure Arc-fähigen Servern durch ordnungsgemäße Identitäts- und Zugriffsverwaltung. Sie lernen, verwaltete Identitäten zu konfigurieren, rollenbasierte Zugriffssteuerungen zu implementieren und Dienstprinzipale sicher bereitzustellen, um Ihre Hybridinfrastruktur zu schützen. Identitätsverwaltungssysteme sind für die Sicherung von Azure Arc-fähigen Servern von entscheidender Bedeutung. Die folgende Referenzarchitektur zeigt, wie Identitäten, Rollen und Berechtigungen zusammenarbeiten:
Konfigurieren von verwalteten Identitäten
Vom System zugewiesene verwaltete Identitäten stellen eine sichere Authentifizierung für Azure Arc-fähige Server bereit, ohne Anmeldeinformationen zu speichern. Der Azure Connected Machine-Agent erstellt diese Identitäten während des Server-Onboardings automatisch, verfügt jedoch standardmäßig nicht über Berechtigungen und erfordert explizite Azure RBAC-Rollenzuweisungen für den Zugriff auf Azure-Ressourcen.
Tipp
Beginnen Sie hier: Wenn Sie noch nicht mit verwalteten Identitäten vertraut sind, lesen Sie die Anleitung zur verwalteten Identitätsauthentifizierung schrittweise anleitungen zur Implementierung.
Identifizieren Sie legitime Anwendungsfälle für den verwalteten Identitätszugriff. Anwendungen auf Ihren Servern benötigen bestimmte Zugriffstoken, um Azure-Ressourcen wie Key Vault oder Storage aufzurufen. Planen Sie die Zugriffssteuerung für diese Ressourcen, bevor Sie Berechtigungen erteilen, um Sicherheitslücken zu vermeiden.
Steuern des privilegierten Benutzerzugriffs auf verwaltete Identitätsendpunkte. Mitglieder lokaler Administratoren oder der Gruppe "Hybrid Agent Extensions Applications" unter Windows und die Gruppe "Himds " unter Linux können Zugriffstoken anfordern. Beschränken Sie die Mitgliedschaft in diesen Gruppen, um nicht autorisierten Zugriff auf Azure-Ressourcen zu verhindern.
Implementieren Sie die rollenbasierte Zugriffssteuerung für verwaltete Identitäten. Verwenden Sie Azure RBAC, um nur die mindestens erforderlichen Berechtigungen für verwaltete Identitäten zu erteilen. Führen Sie regelmäßige Zugriffsüberprüfungen durch, um sicherzustellen, dass Berechtigungen angemessen bleiben und nicht verwendete Zugriffe entfernen.
Anwenden einer rollenbasierten Zugriffssteuerung
Die rollenbasierte Zugriffssteuerung beschränkt Die Benutzerberechtigungen und reduziert Sicherheitsrisiken. Benutzer mit breiten Rollen wie Mitwirkender oder Besitzer können Erweiterungen bereitstellen und administrativen Zugriff auf Azure Arc-fähige Server erhalten, wodurch potenzielle Sicherheitsrisiken entstehen.
Warnung
Sicherheitsrisiko: Vermeiden Sie die Gewährung allgemeiner Berechtigungen wie Besitzer- oder Mitwirkenderrollen für den Arc-Serverzugriff. Diese Rollen können über die Erweiterungsbereitstellung Zugriff auf Ihre Server auf Stammebene bieten.
Wenden Sie das Prinzip der geringsten Berechtigungen auf Rollenzuweisungen an. Benutzer, Gruppen und Anwendungen sollten nur die minimalen Berechtigungen erhalten, die für ihre Aufgaben erforderlich sind. Rollen wie Mitwirkender, Besitzer oder Azure Connected Machine Resource Administrator gewähren umfangreichen Zugriff, der den Stammzugriff effektiv auf Server delegieren kann.
Verwenden Sie die Azure Connected Machine Onboarding-Rolle für die Serverregistrierung. Mit dieser Rolle können Benutzer Server in Azure Arc integrieren, ohne umfassendere Verwaltungsberechtigungen zu erteilen. Die Rolle stellt nur die Berechtigungen bereit, die zum Erstellen und Lesen von Arc-Ressourcen erforderlich sind, nicht zum Verwalten von Erweiterungen oder zum Löschen von Servern.
Sicherer Zugriff auf Überwachungsdaten. Lesezugriff auf Azure Arc-fähige Server können vom Log Analytics-Agent gesammelte Protokolldaten verfügbar machen. Wenden Sie RBAC-Steuerelemente auf Log Analytics-Arbeitsbereiche an, um einzuschränken, wer vertrauliche Betriebsdaten anzeigen kann.
Berücksichtigen Sie auch die vertraulichen Daten, die möglicherweise an den Azure Monitor Log Analytics-Arbeitsbereich gesendet werden; wendet das gleiche RBAC-Prinzip auf die Daten selbst an. Lesezugriff auf Azure Arc-fähige Server können Zugriff auf vom Log Analytics-Agent gesammelte Protokolldaten ermöglichen und im zugehörigen Log Analytics-Arbeitsbereich gespeichert werden.
Tipp
Erfahren Sie, wie Sie präzise Arbeitsbereichszugriffssteuerelemente im Bereitstellungshandbuch für Azure Monitor-Protokolle implementieren, um Ihre Überwachungsdaten zu schützen.
Planen von Identitäts- und Zugriffsverantwortungen
Die Klarheit der Organisation verhindert Sicherheitslücken und betriebliche Konflikte. Klare Rollendefinitionen stellen sicher, dass die richtigen Personen über angemessenen Zugriff auf das Onboarding und Verwalten von Azure Arc-fähigen Servern verfügen.
- Wer kann neue Server in Azure Arc integrieren?
- Wer verwaltet Server nach dem Onboarding?
- Was Azure-Berechtigungen benötigen diese Rollen?
- Wie trennen Sie das Onboarding von der laufenden Verwaltung?
Definieren sie die Verantwortlichkeiten für das Server-Onboarding. Identifizieren Sie, wer Server integrieren kann, und legen Sie erforderliche Berechtigungen sowohl auf den Servern als auch in Azure fest. Diese Rolle erfordert lokalen Administratorzugriff auf Server und entsprechende Azure-Berechtigungen.
Weisen Sie fortlaufende Verwaltungsaufgaben zu. Bestimmen Sie, wer Azure Arc-fähige Server nach dem Onboarding verwaltet und wer Betriebsdaten aus Azure-Diensten anzeigen kann. Trennen Sie diese Verantwortlichkeiten basierend auf betrieblichen Anforderungen und Sicherheitsanforderungen.
Planen der Dienstprinzipalverteilung. Erstellen Sie mehrere Arc-Onboarding-Dienstprinzipale, wenn verschiedene Geschäftsteams Servergruppen besitzen und betreiben. Beschränken Sie jeden Prinzipal auf die minimal erforderlichen Ressourcengruppen, um potenzielle Sicherheitsrisiken zu begrenzen.
Bewerten der Auswirkungen auf die Unternehmensskala. Überprüfen Sie den Designbereich "Identitäts- und Zugriffsverwaltung ", um zu verstehen, wie Azure Arc-fähige Server in Ihre allgemeine Identitätsstrategie für Die Zielzone integriert werden.
Von Bedeutung
Die richtige Rollentrennung ist für die Sicherheit unerlässlich. Berücksichtigen Sie die Struktur Ihrer Organisation beim Zuweisen von Onboarding- und Verwaltungsaufgaben.
Implementieren von Sicherheitskontrollen
Sicherheitskontrollen schützen Azure Arc-fähige Server und die Ressourcen, auf die sie zugreifen können. Die richtige Implementierung reduziert die Angriffsfläche und stellt die Einhaltung von Sicherheitsrichtlinien sicher.
Konfigurieren Des Onboardings für sichere Server. Verwenden Sie Sicherheitsgruppen, um identifizierten Benutzern oder Dienstkonten lokale Administratorrechte für azure Arc-Onboarding im großen Maßstab zuzuweisen. Dieser Ansatz bietet eine konsistente Zugriffssteuerung in Ihrer Serverflotte.
Zertifikatbasierte Authentifizierung (empfohlen)
Stellen Sie Dienstprinzipale mit Zertifikaten bereit. Verwenden Sie einen Microsoft Entra-Dienstprinzipal mit Zertifikatauthentifizierung für das Server-Onboarding. Zertifikate sind die empfohlene Authentifizierungsmethode über geheime Clientschlüssel, da sie eine stärkere Sicherheit bieten, Richtlinien für bedingten Zugriff unterstützen und das Risiko der Gefährdung von Anmeldeinformationen verringern. Beschränken Sie jeden Prinzipal auf die mindestens erforderliche Ressourcengruppe oder das Erforderliche Abonnement.
Alternative Authentifizierungsmethoden
Sichere geheime Clientschlüssel, wenn Zertifikate nicht verfügbar sind. Wenn Sie geheime Clientschlüssel für Dienstprinzipale verwenden, machen Sie sie kurzlebig, drehen Sie sie regelmäßig, und beschränken Sie den Gültigkeitsbereich und die Berechtigungen des Prinzipals, um die Sicherheitsrisiken zu verringern.
Rollenzuweisungen und Zugriffssteuerung
Wenden Sie geeignete Rollenzuweisungen an. Weisen Sie die Azure Connected Machine Onboarding-Rolle auf Ressourcengruppenebene für Onboardingvorgänge zu. Gewähren Sie der Azure Connected Machine Resource Administrator-Rolle Teams, die Serverressourcen in Azure verwalten.
Steuern des verwalteten Identitätszugriffs. Verwenden Sie verwaltete Identitäten für Anwendungen auf Servern, um auf von Microsoft Entra geschützte Ressourcen zuzugreifen. Beschränken Sie den Zugriff auf nur autorisierte Anwendungen mithilfe von Microsoft Entra-Anwendungsberechtigungen.
Verwalten des lokalen Zugriffs auf Identitätsendpunkte. Verwenden Sie die
Hybrid agent extension applicationsSicherheitsgruppe unter Windows oder die Himds-Gruppe unter Linux, um zu steuern, welche Benutzer Azure-Ressourcenzugriffstoken von Arc-fähigen Servern anfordern können.
Hinweis
Sind Sie bereit, diese Sicherheitskontrollen zu implementieren? Beginnen Sie mit den Voraussetzungen für Azure Arc-fähige Server , um sicherzustellen, dass Ihre Umgebung ordnungsgemäß konfiguriert ist.
Azure-Tools und -Ressourcen
Diese umfassende Referenz hilft Ihnen bei der Implementierung der Identitäts- und Zugriffsverwaltung für Azure Arc-fähige Server. Verwenden Sie diese Tools, um die sichere Authentifizierung, rollenbasierte Zugriffssteuerung und Überwachung zu konfigurieren.
| Kategorie | Tool | Description | Schnellstart |
|---|---|---|---|
| Identität | Von Microsoft Entra verwaltete Identitäten | Stellt eine sichere Authentifizierung für Anwendungen bereit, ohne Anmeldeinformationen zu speichern | Konfigurieren des Zugriffs auf verwaltete Identitäten |
| Sicherheit | Azure Role-Based Zugriffssteuerung | Steuert den Zugriff auf Ressourcen basierend auf dem Prinzip der geringsten Rechte | Zuweisen von RBAC-Rollen |
| Onboarding | Microsoft Entra-Dienstprinzipal | Ermöglicht das automatisierte Onboarding von Servern im großen Maßstab. | Dienstprinzipal erstellen |
| Sicherheit | Azure Arc-fähige Server – Sicherheitsübersicht | Umfassender Sicherheitsleitfaden für Arc-fähige Server | Überprüfen von Sicherheitssteuerelementen |
| Überwachung | Bereitstellungshandbuch für Azure Monitor-Protokolle | Implementiert eine präzise Zugriffssteuerung für Protokolldaten. | Konfigurieren des Arbeitsbereichzugriffs |
| Architektur | Designbereich "Identitäts- und Zugriffsverwaltung" | Identitätsleitfaden für die Zielzone auf Unternehmensmaßstabe | Überprüfen der Entwurfsprinzipien |
| Erlaubnisse | Microsoft Entra-Anwendungsberechtigungen | Steuert den Anwendungszugriff auf verwaltete Identitäten. | Konfigurieren von App-Berechtigungen |
| Voraussetzungen | Voraussetzungen für Azure Arc-fähige Server | Anforderungen für die Bereitstellung von Arc-fähigen Servern | Überprüfen der Voraussetzungen |
| Einsatz | Bereitstellungsplanung im großen Maßstab | Leitfaden für umfangreiche Arc-Serverbereitstellungen | Planen der Bereitstellung |
| Weiterbildung | Azure Arc-Lernpfad | Umfassende Schulung für die Azure Arc-Verwaltung | Lernmodul starten |
Nächste Schritte
Sind Sie bereit, Ihre Azure Arc-Umgebung zu schützen? Fahren Sie mit der Netzwerksicherheitskonfiguration fort, um ihren Hybridinfrastrukturschutz abzuschließen:
Fahren Sie mit Ihrer Azure Arc-Reise fort
| Thema | Description | Maßnahme |
|---|---|---|
| Netzwerksicherheit | Sichere Netzwerkkonnektivität und Topologie | Konfigurieren des Arc-Netzwerks |
| Bereitstellungsplanung | Planen einer umfangreichen Arc-Serverbereitstellung | Überprüfen des Bereitstellungshandbuchs |
| Praktisches Lernen | Erstellen praktischer Arc-Managementfähigkeiten | Lernpfad starten |
| Sicherheitsbasislinie | Implementieren umfassender Sicherheitskontrollen | Anwenden von Sicherheitsgrundwerten |