Controllo degli accessi in base al ruolo in Azure Enclave

Azure Enclave supporta la delega granulare delle autorizzazioni usando il controllo degli accessi in base al ruolo nativo di Azure. La delega garantisce che sia possibile isolare le responsabilità tra i limiti della community, dell'enclave e del carico di lavoro senza compromettere la sicurezza o l'integrità operativa degli ambienti.

Questo articolo spiega come Azure Enclave implementa il controllo degli accessi basato sui ruoli e introduce i ruoli predefiniti integrati che consentono di gestire l'accesso all'interno della gerarchia di Azure Enclave.

Panoramica della gerarchia delle risorse dell'enclave Azure

Azure Enclave organizza le risorse in tre livelli logici:

  • Comunità – Il confine principale di governance per i tuoi ambienti isolati.
  • Enclave: zone di destinazione protette e isolate dalla rete virtuale create all'interno di una community.
  • Carichi di lavoro : applicazioni e servizi distribuiti in gruppi di risorse enclave.

Ogni livello espone operazioni di gestione distinte e Azure Enclave fornisce ruoli predefiniti per isolare l'accesso tra di essi.

RBAC in Azure Enclave

Il controllo di accesso basato sui ruoli in Azure Enclave viene applicato mediante assegnazioni di ruolo RBAC standard, in combinazione con assegnazioni di negazione, per consentire un controllo granulare sulle risorse e sui carichi di lavoro gestiti da Community/Enclave.

Concetti chiave del controllo degli accessi basato sui ruoli (RBAC):

  • Controlli di accesso della community e dell'enclave : le assegnazioni di rifiuto vengono applicate ai gruppi di risorse gestiti della community e dell'enclave per impedire modifiche non autorizzate. Le impostazioni di amministrazione della community/enclave determinano quali utenti/gruppi ottengono assegnazioni di ruolo sulle risorse gestite. La modalità di manutenzione determina chi può eseguire azioni con privilegi specifici che possono influire sulla sicurezza e l'isolamento.
  • Controlli di accesso al carico di lavoro : i gruppi di risorse del carico di lavoro sono anche protetti facoltativamente con assegnazioni di rifiuto per garantire che solo gli utenti o i gruppi definiti in modo esplicito abbiano accesso con privilegi sulle risorse del carico di lavoro.
  • Modalità di manutenzione - Concede a utenti/gruppi esplicitamente definiti eccezioni alle assegnazioni di negazione nei gruppi di risorse gestiti da Community ed Enclave, per eseguire azioni privilegiate sulle risorse gestite.

Ruoli predefiniti per Azure Enclave

I seguenti ruoli RBAC predefiniti sono disponibili in Azure Enclave per adattarsi ai modelli operativi comuni per i tipi di risorsa Microsoft.Mission. Questi ruoli consentono di seguire il principio dei privilegi minimi assegnando l'accesso solo a ciò che è necessario.

Ruoli a livello di community

Ruoli applicabili a livello di community.

Nome ruolo Description
Proprietario della community Controllo completo di una community, inclusa la creazione di enclave e la gestione della registrazione e della diagnostica.
Collaboratore della community Può creare e gestire le risorse dell'enclave all'interno della community, ma non può assegnare ruoli.
Lettore della community Accesso di sola visualizzazione alla Community e a tutte le enclave al suo interno.

Ruoli dell'enclave

Ruoli applicabili a livello di enclave.

Nome ruolo Description
Proprietario dell'enclave Controllo completo di un enclave, tra cui rete, configurazione degli endpoint e creazione del carico di lavoro.
Collaboratore di Enclave Può modificare le impostazioni dell'enclave e distribuire i carichi di lavoro, ma non può assegnare ruoli RBAC.
Lettore Enclave Accesso di sola visualizzazione ai metadati dell'enclave, agli endpoint e ai carichi di lavoro associati.
Ruolo di approvatore enclave Può visualizzare i dettagli dell'enclave e approvare le richieste di distribuzione o aggiornamento all'interno di flussi di lavoro gestiti.

Accesso ai carichi di lavoro

Azure Enclave non introduce nuovi ruoli specifici del carico di lavoro. Invece, si usano ruoli RBAC di Azure standard, ad esempio Contributor, Reader e Owner, a livello del gruppo di risorse del carico di lavoro per controllare l'accesso ad applicazioni e servizi distribuiti.

Isolamento dell'accesso all'interno dell'enclave Azure

Il controllo degli accessi basato sui ruoli in Azure Enclave è volutamente strutturato su più livelli per consentire di assegnare team o profili distinti ad ambiti diversi:

  • Platform Team ha designato il Responsabile della community per definire il perimetro di governance.
  • I tecnici della rete cloud ricevono l'accesso al proprietario dell'enclave per gestire le risorse a livello di enclave.
  • Agli sviluppatori di app o agli amministratori del carico di lavoro vengono concessi ruoli Collaboratore o Lettore solo a livello di gruppo di risorse del carico di lavoro.
  • Ai team di sicurezza e controllo viene assegnato lettore enclave o lettore della community per monitorare l'infrastruttura senza rischiare modifiche alla configurazione.

Questo modello garantisce una rigorosa separazione delle problematiche e riduce al minimo le conseguenze negative dovute a errori di configurazione o compromissione.

Procedure consigliate per l'assegnazione di ruolo

Per implementare un controllo di accesso sicuro ed efficace nell'enclave Azure:

  • Usare i principi dei privilegi minimi : assegnare il ruolo più restrittivo che consente agli utenti di svolgere il proprio lavoro.
  • Assegnare ruoli nell'ambito più ristretto possibile (gruppo di risorse anziché sottoscrizione, se appropriato).
  • Monitorare regolarmente le assegnazioni di ruolo usando Criteri di Azure e i log di controllo.
  • Valutare l'associazione dei ruoli di Azure Enclave con Azure PIM (Privileged Identity Management) per l'accesso just-in-time.

Passaggi successivi