RBAC (controle de acesso baseado em função) no enclave Azure

Azure Enclave dá suporte à delegação granular de permissões usando o RBAC (controle de acesso baseado em função) nativo do Azure. A delegação garante que você possa isolar as responsabilidades entre os limites de comunidade, enclave e carga de trabalho sem comprometer a segurança ou a integridade operacional de seus ambientes.

Este artigo explica como Azure Enclave implementa o RBAC e apresenta as funções internas que ajudam você a gerenciar o acesso em toda a hierarquia do enclave Azure.

Visão geral da hierarquia de recursos do enclave Azure

Azure Enclave organiza recursos em três camadas lógicas:

  • Comunidades – A fronteira raiz de governança para seus ambientes isolados.
  • Enclaves – zonas de destino isoladas de rede virtual e seguras que são criadas em uma comunidade.
  • Cargas de trabalho – Aplicativos e serviços implantados em grupos de recursos de enclave.

Cada camada expõe operações de gerenciamento distintas e Azure Enclave fornece funções criadas com finalidade para isolar o acesso entre elas.

RBAC no Azure Enclave

O RBAC no Azure Enclave é aplicado por meio de atribuições de função RBAC padrão, em combinação com atribuições de negação de acesso, para permitir controle granular sobre recursos e cargas de trabalho gerenciados pela Community/Enclave.

Principais conceitos do RBAC:

  • Controles de acesso da Community e da Enclave - as atribuições de negação são aplicadas aos grupos de recursos gerenciados pela Community e pela Enclave para evitar alterações não autorizadas. As Configurações de Administrador de Comunidade/Enclave determinam quais usuários/grupos obtêm atribuições de função em relação aos recursos gerenciados. O Modo de Manutenção determina quem pode executar ações privilegiadas específicas que podem afetar a segurança e o isolamento.
  • Controles de acesso à carga de trabalho - os grupos de recursos de carga de trabalho também podem ser protegidos com atribuições de negação para garantir que apenas usuários/grupos explicitamente definidos tenham acesso privilegiado aos recursos da carga de trabalho.
  • Modo de manutenção - Concede a usuários/grupos explicitamente definidos exceções às atribuições de negação sobre grupos de recursos gerenciados pela Community e pelo Enclave para executar ações privilegiadas nos recursos gerenciados.

Funções internas do Azure Enclave

As funções internas de RBAC a seguir são fornecidas no Azure Enclave para se alinharem a padrões operacionais comuns nos tipos de recurso Microsoft.Mission. Essas funções permitem que você siga o princípio do privilégio mínimo atribuindo acesso apenas ao que é necessário.

Funções de nível de comunidade

Funções aplicáveis no nível da comunidade.

Nome da Função Description
Proprietário da comunidade Controle total de uma comunidade, incluindo a criação de enclaves e o gerenciamento de logs e diagnósticos.
Colaborador da Comunidade Pode criar e gerenciar recursos de enclave dentro da comunidade, mas não pode atribuir funções.
Leitor da Comunidade Acesso somente para visualização à Comunidade e a todos os enclaves dentro dela.

Funções de enclave

Funções aplicáveis no nível do enclave.

Nome da Função Description
Proprietário do Enclave Controle total de um enclave, incluindo configuração de rede, configuração de endpoint e criação de cargas de trabalho.
Colaborador do Enclave Pode modificar as configurações de enclave e implantar cargas de trabalho, mas não pode atribuir funções RBAC.
Leitor de Enclave Acesso somente leitura a metadados de enclave, endpoints e cargas de trabalho associadas.
Função de aprovador de enclave Pode exibir detalhes do enclave e aprovar solicitações de implantação ou atualização em fluxos de trabalho fechados.

Acesso à carga de trabalho

Azure Enclave não introduz novas funções específicas de carga de trabalho. Em vez disso, você usa funções RBAC de Azure padrão (por exemplo, Colaborador, Leitor, Proprietário) no nível do grupo de recursos de carga de trabalho para controlar o acesso a aplicativos e serviços implantados.

Isolando o acesso no enclave Azure

O RBAC no enclave Azure é intencionalmente em camadas para permitir que você atribua equipes ou personas discretas a escopos diferentes:

  • A equipe de plataforma designou o responsável pela comunidade para configurar a fronteira de governança.
  • Os Engenheiros de Rede de Nuvem recebem acesso ao Proprietário do Enclave para gerenciar recursos no nível do enclave.
  • Os Desenvolvedores de Aplicativos ou Administradores de Carga de Trabalho recebem funções de Colaborador ou Leitor somente no nível do grupo de recursos de carga de trabalho.
  • As equipes de segurança e auditoria recebem leitor de enclave ou leitor de comunidade para monitorar a infraestrutura sem arriscar alterações de configuração.

Esse modelo garante a separação estrita de preocupações e minimiza as consequências negativas devido à configuração incorreta ou ao comprometimento.

Práticas recomendadas de atribuição de função

Para implementar o controle de acesso seguro e eficaz no enclave Azure:

  • Use princípios de privilégio mínimo : atribua a função mais restritiva que permite que os usuários executem seu trabalho.
  • Atribua funções no menor escopo possível (grupo de recursos em vez de assinatura, quando apropriado).
  • Monitore regularmente as atribuições de função por meio da Azure Policy e de logs de auditoria.
  • Considere combinar as funções do Azure Enclave com o Azure PIM (Privileged Identity Management) para acesso just-in-time.

Próximas Etapas