Domaine de conception de la gestion des identités et des accès
Le domaine de conception de la gestion des identités et des accès offre les bonnes pratiques que vous pouvez utiliser pour établir les fondations de votre architecture de cloud public sécurisée et parfaitement conforme.
Les entreprises peuvent avoir des paysages technologiques complexes et hétérogènes, donc la sécurité est critique. Une gestion robuste des identités et des accès forme la base de la protection moderne en créant un périmètre de sécurité dans un cloud public. L’autorisation et les contrôles d’accès garantissent que seuls les utilisateurs authentifiés avec des appareils vérifiés peuvent accéder et administrer des applications et des ressources. Elle assure que la bonne personne peut accéder aux bonnes ressources au bon moment, et pour la bonne raison. Elle fournit également une journalisation d’audit fiable et une non-répudiation des actions d’identité des utilisateurs ou des charges de travail. Vous devriez fournir un contrôle d’accès d’entreprise cohérent, incluant l’accès utilisateur, les plans de contrôle et de gestion, l’accès externe, et l’accès privilégié, pour améliorer la productivité et atténuer le risque d’escalade de privilège non autorisée ou d’exfiltration de données.
Azure offre un ensemble complet de services, outils, et architectures de référence pour aider votre organisation à créer des environnements hautement sécurisés et opérationnellement efficaces. Il existe plusieurs options pour gérer l’identité dans un environnement cloud. Chaque option varie en coût et en complexité. Déterminez vos services d’identité basés sur le cloud en fonction de combien vous devez les intégrer avec votre infrastructure d’identité existante sur site. Pour plus d’informations, veuillez consulter le guide de décision sur l’identité.
Gestion des identités et des accès dans les zones d’atterrissage Azure
La gestion des identités et des accès est une considération centrale dans les zones d’atterrissage tant pour la plate-forme que pour l’application. Sous le principe de conception de la démocratisation de l’abonnement, les propriétaires d’application devraient avoir l’autonomie de gérer leurs propres applications et ressources avec une intervention minimale de l’équipe de la plate-forme. Les zones d’atterrissage sont une frontière de sécurité, et la gestion des identités et des accès offre un moyen de contrôler la séparation d’une zone d’atterrissage d’une autre, ainsi que des composants tels que le réseau et la politique Azure. Appliquez une conception robuste de gestion des identités et des accès pour aider à atteindre l’isolement de la zone d’atterrissage des applications.
L’équipe de la plate-forme est responsable de la fondation de la gestion des identités et des accès, incluant le déploiement et la gestion des services d’annuaire centralisés, tels que Microsoft Entra ID, Microsoft Entra Domain Services, et Active Directory Domain Services (AD DS). Les administrateurs et les utilisateurs de la zone d’atterrissage des applications qui accèdent aux applications consomment ces services.
L’équipe d’application est responsable de la gestion des identités et des accès de leurs applications, incluant la sécurisation de l’accès utilisateur aux applications et entre les composants d’application, tels que Azure SQL Database, les machines virtuelles, et Azure Storage. Dans une architecture de zone d’atterrissage bien mise en œuvre, l’équipe d’application peut consommer sans effort les services que l’équipe de la plate-forme fournit.
Beaucoup des concepts fondamentaux de la gestion des identités et des accès sont les mêmes dans les zones d’atterrissage de la plateforme et de l’application, tels que le contrôle d’accès basé sur le rôle (RBAC) et le principe du moindre privilège.
Examen de la zone de conception
Fonctions : La gestion des identités et des accès nécessite le soutien d’une ou plusieurs des fonctions suivantes. Les rôles qui exécutent ces fonctions peuvent aider à prendre et à mettre en œuvre des décisions.
- Fonctions de plateforme cloud
- Fonctions du centre d’excellence du cloud
- Fonctions de l’équipe de sécurité du cloud
Périmètre : Le but de ce domaine de conception est de vous aider à évaluer les options pour votre fondation d’identité et d’accès. Lorsque vous concevez votre stratégie d’identité, vous devriez effectuer les tâches suivantes :
- Authentifier les utilisateurs et les identités de charge de travail.
- Assigner l’accès aux ressources.
- Déterminer les exigences fondamentales pour la séparation des tâches.
- Synchroniser les identités hybrides avec Microsoft Entra ID.
Hors périmètre : La gestion des identités et des accès forme une fondation pour un contrôle d’accès adéquat, mais elle ne couvre pas les aspects plus avancés comme :
- Le modèle Zero Trust.
- La gestion opérationnelle des privilèges élevés.
- Les garde-fous automatisés pour prévenir les erreurs communes d’identité et d’accès.
Les domaines de conception de la conformité pour la sécurité et la gouvernance abordent les aspects hors périmètre. Pour des recommandations complètes pour la gestion des identités et des accès, veuillez consulter les Bonnes pratiques de sécurité pour la gestion de l’identité et du contrôle d’accès Azure.
Vue d’ensemble de la zone de conception
L’identité constitue la base d’une grande variété de garanties de sécurité. Elle octroie un accès basé sur des contrôles d’authentification et d’autorisation dans les services cloud. Le contrôle d’accès protège les données et les ressources et aide à déterminer quelles requêtes devraient être autorisées.
La gestion des identités et des accès aide à sécuriser les frontières internes et externes d’un environnement de cloud public. Il s’agit du fondement de toute architecture de cloud public entièrement sécurisée et conforme.
Les articles suivants examinent les considérations de conception et les recommandations pour la gestion des identités et des accès dans un environnement cloud :
- Identité hybride avec Active Directory et Microsoft Entra ID
- Gestion de l’identité et des accès dans les zones de déploiement
- Gestion de l’identité et des accès d’application
Pour des conseils sur la conception de solutions sur Azure en utilisant des modèles et des pratiques établies, consultez la conception d’architecture d’identité.
Conseil
Si vous avez plusieurs locataires Microsoft Entra ID, consultez les zones d’atterrissage Azure et plusieurs locataires Microsoft Entra.