Použití spravované identity přiřazené uživatelem v Azure může mít několik bezpečnostních důsledků, pozitivní i negativní:
Pozitivní bezpečnostní důsledky
1. Eliminace správy pověření: Uživatelem přiřazená spravovaná identita eliminuje potřebu ručně řídit přihlašovací údaje, snižovat riziko úniku pověření a lidské chyby. To zvyšuje zabezpečení automatickým zpracováním životního cyklu identity a zjednodušením ověřování pro služby Azure [10].
2. Flexibilita a kontrola: Spravovaná identita přiřazená uživatelem je všestrannější než identita přiřazená systémem, protože je lze znovu použít napříč více zdroji a nejsou spojeny s konkrétním životním cyklem zdrojů. To umožňuje lepší kontrolu nad správou identity a oprávnění [3] [11].
3. autorizace a řízení přístupu: Spravované identity lze integrovat do řízení přístupu založeného na rolích Azure (Azure RBAC), aby se definovala přesná oprávnění pro přístup k zdrojům. Tím je zajištěno, že identity mají pouze nezbytná oprávnění, což snižuje riziko nadhodnocení [10].
Negativní bezpečnostní důsledky
1.. Rizika nesprávné konfigurace: Pokud není správně nakonfigurována, může spravovanou identitou přiřazenou uživatelem vést k problémům s zabezpečením. Například udělení nadměrných oprávnění může vést k eskalaci privilegií, což umožňuje neoprávněný přístup k citlivým zdrojům [1].
2. Persistence and Stealth: Existují případy, kdy útočníci využili spravovanou identitu, aby udrželi perzistenci v Azure Services. K tomu může dojít, pokud útočník získá přístup k tokenu ID ID spojeného s řízenou identitou, což jim umožní vydávat se za identitu bez detekce [4].
3. Omezení tokenů: Změny oprávnění spravované identity se nemusí okamžitě projevit kvůli tokenovému ukládání do mezipaměti. To může vést ke zpoždění při odvolání přístupu, což potenciálně umožňuje neoprávněné akce pokračovat několik hodin [3].
4. Prevence neautorizovaného použití: Aby se zabránilo neoprávněnému použití, je zásadní provádět robustní kontroly přístupu, jako je politika Azure, RBAC a sledování změn v přiřazení spravovaných identity [2] [9].
Celkově, zatímco uživatelem přiřazená spravovaná identita nabízí významné bezpečnostní dávky, vyžadují pečlivé řízení a monitorování, aby zmírnily potenciální rizika.
Citace:
[1] https://practical365.com/heard-at-tec-mischief-aged-Actacking and Securing-Azure-aged-identity/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recomingmendations
[4] https://www.youtube.com/watch?v=SGP91LUDA3K
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-anaged-identity
[6] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-ASSised-Managed-identity
[7] https://www.varonis.com/blog/azure-amaged-identity
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_AsSigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_athers_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[11] https://www.red-gate.com/Simple-Talk/Cloud/azure/azure-function-and-user-Assigned-anaged-identities/