Controlo de acesso baseado em funções (RBAC) no Azure Enclave

O Azure Enclave suporta a delegação granular de permissões usando o controlo de acesso nativo baseado em papéis (RBAC) do Azure. A delegação garante que pode isolar responsabilidades entre comunidades, enclaves e limites de carga de trabalho sem comprometer a segurança ou a integridade operacional dos seus ambientes.

Este artigo explica como o Azure Enclave implementa o RBAC e apresenta os papéis incorporados que o ajudam a gerir o acesso em toda a hierarquia do Azure Enclave.

Visão geral da hierarquia de recursos do Azure Enclave

O Azure Enclave organiza os recursos em três camadas lógicas:

  • Comunidades – O limite principal de governança para os seus ambientes isolados.
  • Enclaves – Zonas de aterragem seguras, virtuais e isoladas em rede, criadas dentro de uma comunidade.
  • Cargas de trabalho – Aplicações e serviços implementados em grupos de recursos do enclave.

Cada camada expõe operações de gestão distintas, e o Azure Enclave fornece funções construídas de propósito para isolar o acesso entre elas.

RBAC no Azure Enclave

O controlo de acesso baseado em funções (RBAC) no Azure Enclave é aplicado através de atribuições padrão de funções RBAC, em conjunto com atribuições de negação, para permitir um controlo granular sobre os recursos e as cargas de trabalho geridos pela Community/Enclave.

Conceitos-chave do RBAC:

  • Controlos de Acesso à Comunidade e Enclave - As atribuições de negação são aplicadas a grupos de recursos geridos pela Comunidade e Enclave para evitar alterações não autorizadas. As Definições de Administrador da Comunidade/Enclave determinam quais os utilizadores/grupos que recebem atribuição de funções em vez de recursos geridos. O Modo de Manutenção determina quem pode realizar ações privilegiadas específicas que podem afetar a segurança e o isolamento.
  • Controlos de Acesso à Carga de Trabalho - Os grupos de recursos de carga de trabalho também são opcionalmente protegidos com atribuições de negação para garantir que apenas utilizadores/grupos explicitamente definidos tenham acesso privilegiado sobre os recursos da carga de trabalho.
  • Modo de Manutenção - Concede a utilizadores/grupos explicitamente definidos exceções às atribuições de negação nos grupos de recursos geridos pela Comunidade e pelo Enclave para executar ações privilegiadas sobre recursos geridos.

Funções incorporadas para Azure Enclave

As seguintes funções RBAC incorporadas são fornecidas no Azure Enclave para se alinharem com padrões operacionais comuns nos tipos de recursos Microsoft.Mission. Estes papéis permitem-lhe seguir o princípio do menor privilégio, atribuindo acesso apenas ao que é necessário.

Funções ao nível da comunidade

Funções aplicáveis a nível comunitário.

Nome da Função Description
Proprietário da Comunidade Controlo total de uma comunidade, incluindo a criação de enclaves e a gestão de registos e diagnósticos.
Colaborador da Comunidade Pode criar e gerir os recursos do enclave dentro da comunidade, mas não pode atribuir funções.
Leitor da Comunidade Acesso apenas de visualização à Comunidade e a todos os enclaves nela contidos.

Funções da Enclave

Funções aplicáveis ao nível do enclave.

Nome da Função Description
Proprietário do Enclave Controlo total de um enclave, incluindo rede, configuração de endpoints e criação de cargas de trabalho.
Colaborador do Enclave Pode modificar as definições do enclave e implementar cargas de trabalho, mas não pode atribuir funções RBAC.
Enclave Reader Acesso apenas de visualização aos metadados do enclave, endpoints e cargas de trabalho associadas.
Função de aprovador do Enclave Pode visualizar detalhes do enclave e aprovar pedidos de implementação ou atualização dentro de fluxos de trabalho bloqueados.

Acesso à carga de trabalho

O Azure Enclave não introduz novos papéis específicos de carga de trabalho. Em vez disso, utiliza-se os papéis padrão do Azure RBAC (por exemplo, Contribuidor, Leitor, Proprietário) ao nível do grupo de recursos da carga de trabalho para controlar o acesso a aplicações e serviços implementados.

Isolamento do acesso dentro do Azure Enclave

O RBAC no Azure Enclave é intencionalmente em camadas para permitir atribuir equipas ou personas distintas a diferentes escopos:

  • A Equipa da Plataforma designou o Proprietário da Comunidade para definir a fronteira de governação.
  • Os Engenheiros de Redes Cloud recebem acesso ao Proprietário do Enclave para gerir recursos ao nível do enclave.
  • Desenvolvedores de aplicações ou administradores de carga de trabalho recebem funções de Contribuidor ou Leitor apenas ao nível do grupo de recursos de carga de trabalho.
  • As equipas de Segurança e Auditoria recebem o Enclave Reader ou Community Reader para monitorizar a infraestrutura sem arriscar alterações na configuração.

Este modelo assegura uma separação rigorosa de responsabilidades e minimiza as consequências negativas decorrentes de uma má configuração ou comprometimento.

Práticas recomendadas de atribuição de funções

Para implementar controlo de acesso seguro e eficaz no Azure Enclave:

  • Use os princípios do privilégio mínimo : atribui o papel mais restritivo que permita aos utilizadores desempenhar o seu trabalho.
  • Atribuir funções no menor âmbito possível (grupo de recursos em vez de subscrição, quando apropriado).
  • Monitorize regularmente as atribuições de funções usando o Azure Policy e registos de auditoria.
  • Considere associar as funções do Azure Enclave ao Azure PIM (Privileged Identity Management) para acesso Just-In-Time.

Passos seguintes