你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供了通过适当的标识和访问管理保护已启用 Azure Arc 的服务器的作指南。 了解如何配置托管标识、实现基于角色的访问控制,并安全地部署服务主体以保护混合基础结构。 标识管理系统对于保护已启用 Azure Arc 的服务器至关重要。 以下参考体系结构演示标识、角色和权限如何协同工作:
配置托管标识
系统分配的托管标识为已启用 Azure Arc 的服务器提供安全身份验证,而无需存储凭据。 Azure Connected Machine 代理在服务器载入期间自动创建这些标识,但它们默认没有权限,并且需要显式的 Azure RBAC 角色分配来访问 Azure 资源。
小窍门
从此处开始:如果你不熟悉托管标识,请查看 托管标识身份验证指南 ,了解分步实现说明。
确定托管标识访问的合法用例。 服务器上的应用程序需要特定的访问令牌来调用 Azure 资源,例如 Key Vault 或存储。 在授予权限以避免安全漏洞之前,规划这些资源的访问控制。
控制对托管标识终结点的特权用户访问权限。 Windows 上的本地管理员或 混合代理扩展应用程序组 的成员和 Linux 上的 himds 组可以请求访问令牌。 限制这些组中的成员身份,以防止对 Azure 资源进行未经授权的访问。
为托管标识实现基于角色的访问控制。 使用 Azure RBAC 仅向托管标识授予所需的最低权限。 执行定期访问评审,以确保权限保持适当,并删除未使用的访问权限。
应用基于角色的访问控制
基于角色的访问控制会限制用户特权并降低安全风险。 具有广泛角色(如参与者或所有者)的用户可以部署扩展并获取对已启用 Azure Arc 的服务器的管理访问权限,从而创建潜在的安全漏洞。
警告
安全风险:避免授予广泛的权限,例如 Arc 服务器访问权限的所有者或参与者角色。 这些角色可以通过扩展部署提供对服务器的根级访问权限。
将最低特权原则应用于角色分配。 用户、组和应用程序应仅接收其任务所需的最低权限。 参与者、所有者或 Azure 连接计算机资源管理员等角色授予广泛访问权限,这些访问权限可以有效地委托对服务器的根访问权限。
使用 Azure Connected Machine Onboarding 角色进行服务器注册。 此角色允许用户在不授予更广泛的管理权限的情况下将服务器加入 Azure Arc。 该角色仅提供创建和读取 Arc 资源所需的权限,而不是管理扩展或删除服务器。
保护对监视数据的访问。 对已启用 Azure Arc 的服务器进行读取访问可以公开 Log Analytics 代理收集的日志数据。 将 RBAC 控件应用于 Log Analytics 工作区,以限制谁可以查看敏感的作数据。
另请考虑可能发送到 Azure Monitor Log Analytics 工作区的敏感数据;对数据本身应用相同的 RBAC 原则。 对已启用 Azure Arc 的服务器进行读取访问可以提供对 Log Analytics 代理收集的日志数据的访问权限,并存储在关联的 Log Analytics 工作区中。
小窍门
了解如何在 Azure Monitor 日志部署指南 中实现精细工作区访问控制,以保护监视数据。
规划标识和访问责任
组织明确性可防止安全漏洞和作冲突。 明确角色定义可确保适当的人员有权加入和管理已启用 Azure Arc 的服务器。
- 谁 可以将新服务器载入 Azure Arc?
- 谁 在加入服务器后管理服务器?
- 什么 这些角色是否需要 Azure 权限?
- 如何将载入 与正在进行的管理分开?
定义服务器载入责任。 确定谁可以加入服务器并在服务器和 Azure 中设置所需权限。 此角色需要对服务器和适当的 Azure 权限进行本地管理员访问权限。
分配正在进行的管理职责。 确定载入后谁管理已启用 Azure Arc 的服务器,以及谁可以查看 Azure 服务中的作数据。 根据作需求和安全要求将这些职责分开。
规划服务主体分发。 当不同的业务团队拥有和作服务器组时,创建多个 Arc 载入服务主体。 将每个主体的范围限定为限制潜在安全风险的最低要求资源组。
评估企业规模的影响。 查看 标识和访问管理设计区域 ,了解已启用 Azure Arc 的服务器如何与整个 Azure 登陆区域标识策略集成。
重要
适当的角色分离对于安全性至关重要。 分配载入与管理职责时,请考虑组织的结构。
实现安全控制
安全控制保护已启用 Azure Arc 的服务器及其可以访问的资源。 适当的实现可减少攻击面,并确保符合安全策略。
配置安全服务器载入。 使用安全组为 Azure Arc 大规模载入的已标识用户或服务帐户分配本地管理员权限。 此方法在服务器群中提供一致的访问控制。
基于证书的身份验证(建议)
使用证书部署服务主体。 将 Microsoft Entra 服务主体 与用于服务器载入的证书身份验证配合使用。 证书是推荐用于客户端机密的身份验证方法,因为它们提供更强大的安全性、支持条件访问策略并减少凭据泄露风险。 将每个主体的范围限定为所需的最小资源组或订阅。
替代身份验证方法
当证书不可用时,保护客户端机密。 如果将客户端机密用于服务主体,请使其生存期较短,定期轮换,并限制主体的范围和权限,以减少安全泄露。
角色分配和访问控制
应用适当的角色分配。 在资源组级别为载入作分配 Azure Connected Machine Onboarding 角色。 向在 Azure 中管理服务器资源的团队授予 Azure 连接计算机资源管理员 角色。
控制托管标识访问。 对服务器上的应用程序使用 托管标识 访问Microsoft受保护的资源。 仅使用 Microsoft Entra 应用程序权限限制对已授权应用程序的访问。
管理对标识终结点的本地访问。
Hybrid agent extension applications使用 Windows 上的安全组或 Linux 上的 himds 组来控制哪些用户可以从已启用 Arc 的服务器请求 Azure 资源访问令牌。
注释
准备好实施这些安全控制了吗? 从 已启用 Azure Arc 的服务器先决条件 开始,以确保环境已正确配置。
Azure 工具和资源
此全面的参考可帮助你为已启用 Azure Arc 的服务器实现标识和访问管理。 使用这些工具配置安全身份验证、基于角色的访问控制和监视。
| 类别 | Tool | Description | 快速入门 |
|---|---|---|---|
| 身份 | Microsoft Entra 托管标识 | 为应用程序提供安全身份验证,而无需存储凭据 | 配置托管标识访问 |
| 安全性 | Azure Role-Based 访问控制 | 基于最低特权原则控制对资源的访问 | 分配 RBAC 角色 |
| Onboarding | Microsoft Entra 服务主体 | 大规模启用自动服务器载入 | 创建服务主体 |
| 安全性 | 已启用 Azure Arc 的服务器安全性概述 | 已启用 Arc 的服务器的综合安全指南 | 查看安全控制 |
| 监测 | Azure Monitor 日志部署指南 | 实现日志数据的精细访问控制 | 配置工作区访问 |
| 建筑 | 标识和访问管理设计区域 | 企业规模登陆区域标识指南 | 查看设计原则 |
| Permissions | Microsoft Entra 应用程序权限 | 控制应用程序对托管标识的访问 | 配置应用权限 |
| 先决条件 | 已启用 Azure Arc 的服务器先决条件 | 部署已启用 Arc 的服务器的要求 | 检查先决条件 |
| 部署 | 大规模部署规划 | 大规模 Arc 服务器部署指南 | 规划部署 |
| 学习 | Azure Arc 学习路径 | Azure Arc 管理的综合培训 | 开始学习模块 |
后续步骤
准备好保护 Azure Arc 环境吗? 继续执行网络安全配置以完成混合基础结构保护:
继续 Azure Arc 之旅
| 主题 | Description | Action |
|---|---|---|
| 网络安全 | 保护网络连接和拓扑 | 配置 Arc 网络 |
| 部署规划 | 规划大规模 Arc 服务器部署 | 查看部署指南 |
| 动手学习 | 构建实用的 Arc 管理技能 | 开始学习路径 |
| 安全基线 | 实施全面的安全控制 | 应用安全基线 |