保障Azure安全：身份、访问与策略管理

### 保障 Azure 安全：身份、访问与策略管理 在当今数字化时代，云计算安全至关重要。Azure 作为领先的云计算平台，提供了一系列强大的安全功能和工具，帮助用户保护其资源和数据。本文将深入探讨 Azure 中的安全管理，包括角色访问控制、多因素认证、身份保护、安全中心以及策略管理等方面。 #### 1. 安全基础设置 在 Azure 环境中，有几个基础的安全设置可以显著提升安全性： - **强制管理员使用 MFA**：要求管理员始终使用多因素认证（MFA），以增加账户的安全性。 - **阻止旧版认证协议**：防止使用不安全的旧版认证协议，减少被攻击的风险。 - **保护特权活动**：例如，对访问 Azure 门户等特权活动进行额外的保护。 #### 2. 基于角色的访问控制（RBAC） Azure RBAC 是一种授权系统，用于管理 Azure AD 身份对特定资源的访问权限。它基于三个核心元素： - **安全主体**：代表用户、组、服务主体或托管标识的对象，角色将被分配给这些主体。 - **角色定义**：包含一组权限，如读取、写入、删除等。角色分为内置角色和自定义角色。 - **范围**：定义了角色分配的级别，包括管理组、订阅、资源组和资源。 角色分配具有继承性，如果在订阅级别分配了角色，用户将在该订阅下的所有资源组中拥有相同的权限。当多个角色分配存在重叠时，权限将累加。 Azure RBAC 包含 70 多个内置角色，其中四个基础角色如下： | 角色 | 权限描述 | | --- | --- | | 所有者 | 对分配范围内的所有资源具有完全访问权限，并可以委派访问权限 | | 参与者 | 可以创建和管理资源，但不能授予他人访问权限 | | 读者 | 仅具有查看资源的权限 | | 用户访问管理员 | 管理用户对 Azure 资源的访问权限 | ##### 2.1 角色分配方法 可以使用 Azure 门户、Azure PowerShell、Azure CLI 和 ARM 模板来分配角色。角色分配有数量限制，管理组范围最多可分配 500 个角色，订阅及以下范围最多可分配 2000 个角色。 - **Azure 门户**：用户需要具有 `Microsoft.Authorization/roleAssignments/write` 权限（如所有者或用户访问管理员）。定义分配范围后，通过访问“访问控制 (IAM)”来进行角色分配。点击“添加”按钮，建议选择预览选项，以便查看内置角色的细粒度选项，并可查看角色分配的 JSON 表示，用于后续创建 ARM 模板自动化部署。 - **ARM 模板、PowerShell 和 Azure CLI**：部署代码较大，相关脚本存储在 Apress GitHub 账户中。 ##### 2.2 自定义角色 当内置角色无法满足需求时，可以创建自定义角色。例如，“网络参与者”角色可能提供了过多的权限，如果只需要允许特定服务主体发起 VNet 对等连接，可以创建如下自定义角色： ```json { "properties": { "roleName": "InitiateVnetPeering", "description": "Allowed to write Vnet Peerings and read resources", "assignableScopes": [], "permissions": [ { "actions": [ "Microsoft.Network/virtualNetworks/peer/action", "Microsoft.Network/virtualNetworks/read" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } } ``` #### 3. 多因素认证（MFA） MFA 已成为访问各种服务的标准流程，除了输入用户名和密码外，还需要额外的身份验证，如移动应用的验证码、短信等。不使用 MFA 可能会使 Azure 环境面临被攻击的风险。 目前可用的 MFA 验证选项包括： - Microsoft 验证器应用 - OATH 硬件令牌 - SMS - 语音通话 在 Azure AD 中设置 MFA 可以简单地为用户启用一个额外选项，也可以通过条件访问策略进行复杂设置。安全默认值可以快速为所有用户启用 MFA，但为了更精细的控制，建议使用条件访问策略。需要注意的是，条件访问策略的使用取决于 AD 许可证，只有 Premium P1（部分支持）和 P2（完全支持）版本支持该功能，Azure AD 免费版只能使用安全默认值设置。 #### 4. 身份保护 Azur