Что такое удостоверения рабочих нагрузок?

Удостоверение рабочей нагрузки — это удостоверение, которое назначается рабочей нагрузке программного обеспечения (например, приложению, службе, скрипту или контейнеру) для проверки подлинности и доступа к другим службам и ресурсам. Терминология в отрасли не согласована, но, как правило, удостоверение рабочей нагрузки — это то, что необходимо для вашей сущности программного обеспечения для проверки подлинности в определенной системе. Например, чтобы для GitHub Actions получить доступ к подпискам Azure, действие должно иметь удостоверение рабочей нагрузки, которое имеет доступ к этим подпискам. Удостоверение рабочей нагрузки также может быть ролью службы AWS, подключенной к экземпляру EC2 с доступом только для чтения к контейнеру Amazon S3.

В Microsoft Entra удостоверения рабочей нагрузки — это приложения, субъекты-службы и управляемые удостоверения.

Приложение — это абстрактная сущность или шаблон, определяемый объектом приложения. Объект приложения — это глобальное представление приложения во всех арендатором. Объект приложения описывает способ выдачи маркеров, ресурсы, к которым требуется доступ приложению, и действия, которые может выполнять приложение.

Субъект-служба — это локальное представление или экземпляр приложения глобального объекта приложения в определенном арендаторе. Объект приложения используется в качестве шаблона для создания объекта субъекта-службы в каждом арендаторе, где используется приложение. Объект субъекта-службы определяет, какие действия приложение фактически может выполнять в определенном арендаторе, кто имеет доступ к приложению и к каким ресурсам приложение может получить доступ.

Управляемое удостоверение — это особый тип субъекта-службы, который избавляет разработчиков от необходимости управлять учетными данными.

Ниже приведены некоторые способы использования удостоверений рабочей нагрузки в идентификаторе Microsoft Entra ID:

  • Приложение, которое позволяет веб-приложению получать доступ к Microsoft Graph с согласия администратора или пользователя. Этот доступ может осуществляться от имени пользователя или приложения.
  • Управляемое удостоверение, используемое разработчиком для предоставления своей службе доступа к ресурсу Azure, такому как Azure Key Vault или служба хранилища Azure.
  • Субъект-служба, используемый разработчиком для включения конвейера CI/CD для развертывания веб-приложения из GitHub в Службе приложений Azure.

Удостоверения рабочих нагрузок, другие удостоверения компьютеров и удостоверения людей

Грубо говоря, существует два типа удостоверений: принадлежащие людям и не принадлежащие людям или машинные. Удостоверения рабочих нагрузок и удостоверения устройств вместе составляют группу, называемую машинными (или не принадлежащими людям) удостоверениями. Удостоверения рабочих нагрузок представляют рабочие нагрузки программного обеспечения, а удостоверения устройств представляют такие устройства, как настольные компьютеры, мобильные устройства, датчики IoT и управляемые устройства IoT. Удостоверения компьютеров отличаются от удостоверений людей, которые представляют таких сотрудников, как сотрудники (внутренние работники и сотрудники, работающие с клиентами) и внешние пользователи (клиенты, консультанты, поставщики и партнеры).

Diagram that shows different types of machine and human identities.

Необходимость защиты удостоверений рабочей нагрузки

Все больше и больше решений зависят от нечеловеческих сущностей для выполнения жизненно важных задач, и число нечеловеческих удостоверений резко увеличивается. Недавние кибератаки показывают, что злоумышленники все чаще нацелены на нечеловеческие удостоверения по поводу человеческих удостоверений.

Обычно у пользователей есть одно удостоверение, используемое для доступа к широкому спектру ресурсов. В отличие от пользователя, рабочая нагрузка программного обеспечения может иметь несколько учетных данных для доступа к разным ресурсам, и эти учетные данные должны храниться безопасно. Также трудно отслеживать, когда создается удостоверение рабочей нагрузки или когда оно должно быть отменено. Предприятия рискуют, что их приложения или службы используются или нарушаются из-за трудностей в защите удостоверений рабочей нагрузки.

Diagram that shows pain points in securing workload identities.

Большинство решений по управлению удостоверениями и доступом на рынке сегодня сосредоточены только на защите удостоверений человека, а не удостоверений рабочей нагрузки. Идентификация рабочей нагрузки Microsoft Entra помогает устранить эти проблемы при защите удостоверений рабочей нагрузки.

Ключевые сценарии

Ниже приведены некоторые способы использования удостоверений рабочей нагрузки.

Безопасный доступ с помощью адаптивных политик:

Интеллектуальное обнаружение скомпрометированных удостоверений:

  • Обнаружение рисков (например, утечка учетных данных), наличие угроз и снижение риска для удостоверений рабочих нагрузок с помощью защиты идентификации.

Упрощение управления жизненным циклом:

  • Доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами для рабочих нагрузок, работающих в Azure, с помощью управляемых удостоверений.
  • Доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами с помощью федерации удостоверений рабочей нагрузки для поддерживаемых сценариев, таких как GitHub Actions, рабочие нагрузки, работающие в Kubernetes или рабочие нагрузки, работающие на вычислительных платформах за пределами Azure.
  • Просмотрите субъекты-службы и приложения, назначенные привилегированным ролям каталога в идентификаторе Microsoft Entra, используя проверки доступа для субъектов-служб.

Следующие шаги